La guía nerdish para las pruebas de penetración

Hoy en día, el mundo ha llegado hacia una era en la que todas las empresas necesitan utilizar la tecnología como columna vertebral de sus operaciones diarias. No solo las empresas, las empresas sin fines de lucro e incluso las organizaciones religiosas también tuvieron que adoptar la tecnología para satisfacer sus necesidades. Como resultado de eso, tener buenos sistemas informáticos se ha convertido en un pilar del éxito de las empresas modernas.

Si bien estos sistemas informáticos han incrementado la productividad y la calidad del servicio de la operación diaria, conlleva amenazas contra la confidencialidad, integridad y disponibilidad de la información que manejan estos sistemas, los cuales se contabilizan como activos de la organización. Esas amenazas pueden ser causadas por varios tipos de ataques informáticos.

Con la integración de las redes informáticas a estos sistemas, el número de posibles tipos de ataques se multiplica aún más. Debido a esta situación, las empresas grandes y medianas tienden a invertir millones de dólares para realizar auditorías de seguridad para sus sistemas corporativos de TI, redes e infraestructura de manera recurrente.

La evaluación de vulnerabilidades y las pruebas de penetración son las auditorías de seguridad más comunes en la auditoría de seguridad del sistema y la red. Como explicado por Baloch (2017), La prueba de penetración o prueba de penetración es el proceso que identifica las vulnerabilidades de un sistema y verifica si esas vulnerabilidades son realmente explotables por una parte no autorizada.. Sin embargo, una evaluación de vulnerabilidades solo señala todas las vulnerabilidades de un sistema o red, independientemente de su explotabilidad. Dado que el informe de penetración no contiene vulnerabilidades falsas positivas, es una opción más conveniente realizar auditorías de seguridad.

Una prueba de penetración identifica y simula los vectores de ataque que un atacante puede aprovechar para inmiscuirse en el perímetro de seguridad de una organización mientras documenta los hallazgos junto con las recomendaciones para mitigar las amenazas identificadas como se indica en Tumbas (2010). El siguiente marco de pruebas de penetración define cómo llevar a cabo un pentest exitoso en tres fases diferentes como un plan.

Descargo de responsabilidad: La información que se menciona a continuación es solo para referencia educativa. El editor ha desdibujado intencionalmente las direcciones IP públicas y la mayoría de las marcas organizativas en las siguientes cifras debido a razones de seguridad.

Fase 1: Pre-ataque

1.1 Introducción

Tumbas (2010) ha dicho que Pre-Attack es una fase de combinación de Reconocimiento (recopilación de información sensible sobre el objetivo que ya está disponible en otras fuentes), Exploración (Localización de bloque de IP y topología de red de la red de destino) y Huella (Información valiosa sobre el sistema operativo que se ejecuta en el objetivo).

Además de estos, la fase previa al ataque incluye un documentando parte para satisfacer los requisitos legales y defensivos del pentester y el cliente.

1.2 Procedimientos

El autor sugiere seguir el proceso paso a paso ilustrado en la figura 1 para realizar la fase previa al ataque.

1. Definición del alcance: El alcance de una prueba de penetración se documenta como el acuerdo de Prueba de penetración, que incluye el tipo de prueba (anunciada / no anunciada), las áreas de seguridad afectadas en la prueba, los límites, la duración y los entregables / resultados de la prueba.
2. NDA de contratación: El Acuerdo de no divulgación (NDA) es un documento legal que permite compartir recursos o información entre dos o más partes de forma confidencial. En una prueba de penetración, el cliente (Parte Reveladora) prepara un NDA y el pentester firma el NDA como Parte Receptora para obligarse legalmente a usar los datos del cliente de manera autorizada.
3. Preparación del presupuesto: El pentester debe proporcionar un presupuesto estimado junto con los detalles de pago para realizar las transferencias de fondos y debe obtener la aprobación del presupuesto por parte del cliente. El presupuesto se puede calcular en función del recuento (Ej .: no. De máquinas) o superficie de ataque. Es una buena práctica presentar tres opciones de presupuesto con limitaciones de funciones.
4. Planificación del cronograma del proyecto: Proporcionar un cronograma / cronograma para la prueba de penetración basada en componentes y tareas individuales junto con las duraciones utilizando herramientas profesionales de gestión de proyectos como Diagramas de Gantt, Tableros Kanban.
5. Reconocimiento: Los pentesters realizan reconocimientos activos (involucrando al objetivo) y pasivos (de recursos externos) mediante el uso de las herramientas mencionadas en la sección 2.1.3.
6. Escaneo y huellas: El escaneo permite a los pentesters distinguir el bloque de IP y la topología de red del objetivo. Footprinting revela el sistema operativo que se ejecuta en el objetivo. Las herramientas de huellas digitales (huellas digitales) se mencionan en la sección 2.1.3.

1.3 Herramientas y técnicas

Pentester debe seleccionar las herramientas más efectivas que se mencionan a continuación en función del objetivo para llevar a cabo un reconocimiento adecuado.

Silbido

Verifique la disponibilidad de un host remoto a través de ICMP.

Emita PING o FPING con la IP de destino en la Terminal / Símbolo del sistema como se muestra a continuación.

Búsqueda de DNS

Identifique las direcciones IP del servidor DNS y del servidor de correo.

Emita NSLOOKUP con la IP / Dominio de destino en la Terminal / Símbolo del sistema como se muestra a continuación.

Búsqueda de WHOIS

Encontrar servidores DNS, detalles de contacto, etc. asociados con un dominio.

La búsqueda de WHOIS se puede realizar a través del sitio web de ICANN: https://whois.icann.org Pero hay una mejor manera de realizar esto a través de la terminal ParrotSec como experto en seguridad cibernética como se muestra a continuación.

Auditores de sitios web en línea

Encontrar datos confidenciales relacionados con el objetivo a partir de herramientas de búsqueda en línea.

Existen muchas herramientas de auditoría en línea que presentan muchas estadísticas sobre un sitio web o dominio. Uno de los mejores ejemplos es Netcraft (https://www.netcraft.com), una herramienta de auditoría de seguridad en línea para sitios web.

Way Back Machine

Encontrar datos confidenciales relacionados con el objetivo de logros anteriores del sitio web.

Navegando por los logros a través de https://archive.org/web

Búsqueda avanzada de Google / GHDB

Obtener información confidencial revelada sobre el objetivo que está indexado en Google.

Elaboración de consultas de búsqueda al arbitrar los parámetros especiales de Google.

NMAP / ZENMAP / SuperScan / Hping / Xprobe2 / P0f

Identificación de puertos y sistemas operativos que se ejecutan en el objetivo.

La huella se puede realizar a través de NAMP como se muestra a continuación.

Ingeniería social

Recopilación de información sobre el objetivo mediante manipulación psicológica.

Buceo en basureros, suplantación de identidad (phishing), análisis de anuncios de empleo pueden ser útiles para encontrar más información sobre el objetivo.

Fase 2: Ataque

2.1 Introducción

En esta fase, el pentester hace un escaneo completo para identificar las vulnerabilidades del objetivo y simular los ataques, como lo menciona Tumbas (2010). Esta es la fase más crítica de las pruebas de penetración, que normalmente toma la parte más considerable de la carga de trabajo de la prueba.

2.2 Procedimientos

Se deben seguir los siguientes pasos en la fase de Ataque, según lo sugerido por el autor.

1. Parámetro penetrante: La identificación de las cuentas de usuario, las aplicaciones, los puertos abiertos y la configuración de la red se cuentan como este paso. Especialmente probando y evadiendo el firewall de la máquina víctima.
2. Adquirir el objetivo: En este paso se realiza el análisis y la auditoría de vulnerabilidades. Los escáneres de vulnerabilidades pueden señalar las vulnerabilidades de hosts remotos individuales. Sin embargo, los escáneres de vulnerabilidades generan un ruido significativo (registros), que la víctima puede notar. Dado que la prueba de penetración ocurre con la autorización del objetivo, no es una mala práctica utilizar esas herramientas.
3. Privilegios en aumento: Identificar y verificar las vulnerabilidades que pueden ser un vector de ataque real para el objetivo mediante la explotación de cada vulnerabilidad identificada mediante la piratería del host remoto o la piratería de contraseñas o cualquier otra técnica de piratería. Después de iniciar sesión, un atacante puede recopilar los hashes de contraseñas de las cuentas existentes en el objetivo y descifrar esos hashes con la ayuda de una herramienta para descifrar contraseñas.
4. Ejecutar, implantar, retraer: En esta fase, el objetivo ya ha sido comprometido por el probador de penetración, y las actividades realizadas en el paso anterior, como la modificación de archivos o la ejecución de un script, pueden verse afectadas por las operaciones comerciales del cliente. Por lo tanto, este es el momento para que el evaluador elimine y deshaga toda la modificación del nivel de explotación que se ha ejecutado.

2.3 Herramientas y técnicas

Nmap

Escaneo de puertos sin pasar por el firewall.

Mediante el uso nmap -f -p número de puerto dirección IP comando, un probador puede escanear el estado de un puerto filtrado por el firewall del objetivo.

Wafw00f

Identificación del cortafuegos de un objetivo.

El comando wafw00f IP-address revela la información sobre la disponibilidad del firewall en un objetivo.

OpenVAS

Identificar todas las posibles vulnerabilidades en un host.

OpenVAS es un escáner de vulnerabilidades de código abierto que proporciona una vista en profundidad de las vulnerabilidades de un host.

Nessus

Identificar todas las posibles vulnerabilidades en un host.

Nessus es un escáner de vulnerabilidades patentado que presenta una posible lista de vulnerabilidades de un host de manera organizada.

Marco de Metasploit

Explotación de objetivos a través de vívidos exploits de host remoto.

Metasploit es un popular framework de Pentesting desarrollado por Rapid7 basado en el lenguaje de programación Ruby.

Los siguientes comandos guían cómo explotar un objetivo usando Metasploit en el orden.

1. Buscar la palabra clave : Busque el exploit / payload.
2. USE exploit_location : Seleccionar un exploit.
3. MOSTRAR OPCIONES : Muestra todas las opciones que se pueden configurar para el exploit seleccionado.
4. SET valor de opción : Valor de configuración de una opción.
5. ESTABLECER PAYLOAD payload_location : Configuración de una carga útil específica para la explotación.
6. CORRER o EXPLOTAR : Realización de la explotación al objetivo.

Hidra

Explotar un objetivo mediante diccionario o ataques de fuerza bruta.

Buceo en basureros, suplantación de identidad (phishing), análisis de anuncios de empleo pueden ser útiles para encontrar más información sobre el objetivo.

Hydra es una sigilosa herramienta de hackeo de fuerza bruta que se puede utilizar para descifrar las credenciales de muchos protocolos de red mediante el siguiente comando.

Hydra -V -l username_attack -P location_of_password_file -t number_of_threads -f -s target_IP protocol/port

Shadow Security Scanner, ISS Scanner, SARA, Retina también son escáneres de vulnerabilidades bien conocidos disponibles para usar en esta fase.

Fase 3: Post-ataque

3.1 Introducción

En el Post-Ataque, las pruebas de penetración restauran el sistema a la fase inicial antes de comenzar la prueba. Esto borra todos los archivos, registros y entradas de registro que se generan como resultado de la prueba de penetración y finaliza el informe de penetración según lo indicado por Tumbas (2010).

3.2 Procedimientos

En esta fase, el probador de penetración debe proporcionar al cliente los siguientes entregables, de acuerdo con Graves (2010).

• Lista de vulnerabilidades en el orden de los más críticos primero
• Análisis de hallazgos.
• Contramedidas para mitigar las amenazas identificadas.
• Red y sistema restaurados sin modificaciones ni registros.

3.3 Herramientas y técnicas

La fase posterior al ataque no incluye ninguna herramienta desarrollada específicamente. Sin embargo, el servicio de respaldo que utiliza un sistema o una red puede ser responsable de las tareas de restauración.

Referencias

BALOCH, R. (2017). Guía de pruebas de penetración y piratería ética. Londres: CRC Press.

GRAVES, K. ​​(2010). Guía de estudio de hackers éticos certificados por CEH. Indianápolis, Indiana: Wiley Pub., Págs. 343-358.

.

KuorFaNoctubre 10, 2021

77 8 minutos de lectura

Facebook X Pinterest WhatsApp Telegram Compartir por correo electrónico

Compartir

Facebook X Pinterest WhatsApp Telegram Compartir por correo electrónico Imprimir