la empresa. Esta prueba de penetracin trata de simular los ataques de un ente ext
erno a la empresa.
*Tests de intrusin informada: se utiliza informacin privada, otorgada por la e
mpresa, sobre sus sistemas informticos. Esta prueba de penetracin trata de simular
ataques hechos por un ente interno a la empresa y con cierto grado de informacin
privilegiada.
*Tests de intrusin externa: se realiza de manera externa a las instalaciones
de la empresa. La motivacin de esta prueba es evaluar los mecanismos perimetrales
de seguridad informtica de la empresa.
*Tests de intrusin interna: es realizada dentro de las instalaciones de la em
presa con el motivo de probar las polticas y los mecanismos internos de seguridad
de la empresa.
El resultado de este servicio le brinda al cliente un documento con una lista de
tallada de las vulnerabilidades encontradas y certificadas (eliminacin de falsos
positivos). Adicionalmente el documento provee una lista de recomendaciones a ap
licar, sobre la cual los responsables de seguridad de la organizacin pueden apoya
r su programa de control.
2.2 A quin va dirigido este servicio?
A empresas con infraestructura de red propia con servicios accesibles desde el e
xterior, como por ejemplo, Internet (compaas que alojen su propia pgina web, Provee
dores de Servicios de Internet (ISP), empresas que permitan el acceso remoto a s
us trabajadores (VPN, RAS), etc.).
2.3 Por qu es importante realizar pruebas de penetracin peridicas?
La seguridad de una organizacin es un aspecto cambiante. Una empresa puede alcanz
ar un nivel de proteccin ptimo en un momento determinado y ser totalmente sensible
poco despus, tras cambios en la configuracin de un servidor o tras la instalacin d
e nuevos dispositivos de red. Al mismo tiempo, continuamente aparecen nuevos fal
los de seguridad en softwares existentes, que previamente se crean seguros.
Una poltica de realizacin de pruebas de penetracin peridicas mitiga, en gran medida,
el riesgo asociado a un entorno en constante cambio, tal como lo representan lo
s sistemas informticos de cualquier compaa.
2.4 Descripcin del servicio
Las empresas dedicadas a realizar pruebas de penetracin, generalmente, al comenza
r realizan un reconocimiento de la visibilidad de los sistemas desde el exterior
. Comenzando por recopilar informacin sobre el cliente (la organizacin a testear)
y sobre los sistemas informticos de los que este dispone. Para ello se emplean tcn
icas no intrusivas. Este anlisis permite conocer qu tipo de informacin muestra la o
rganizacin al exterior y puede ser accesible por cualquiera.
A continuacin se detalla que sistemas entrarn dentro del alcance del test y se pro
cede a iniciar el ataque. En este ataque se respetan los siguientes puntos, suje
tos a cambios en funcin de las necesidades del cliente:
*Se realiza desde una mquina remota, cuya direccin IP pblica se pondr en conocim
iento del cliente antes de iniciar la intrusin.
*Se tienen en cuenta las metodologas OSSTMM, ISSAF y OWASP durante todo el pr
oceso, aunque el equipo auditor podr hacer chequeos adicionales no contemplados e
seguridad, integradas con las tareas a llevar a cabo en los diferentes puntos d
e revisin (Seguridad de la Informacin, Seguridad de los Procesos, Seguridad en las
Tecnologas de Internet, Seguridad en las Comunicaciones, Seguridad Inalmbrica y S
eguridad Fsica).
OSSTMM no solo alcanza los mbitos tcnicos y de operacin de seguridad tradicionales,
sino que, se encarga de normar aspectos tales como: las credenciales del profes
ional a cargo del test, la forma en la que el test debe ser comercializado, la f
orma en la que los resultados del mismo deben ser presentados, las normas ticas y
legales que deben ser tenidas en cuenta al momento de concretar el test, los ti
empos que deberan ser tenidos en cuenta para cada una de las tareas, y por sobre
todas las cosas, incorpora el concepto de RAVs (Valores de Evaluacin de Riesgo) y
con ellos la frecuencia con la cual la prueba debe ser ejecutada a fin de prove
er ms que una instantnea en el momento de su ejecucin.
3.2 ISSAF
Constituye un framework detallado respecto de las prcticas y conceptos relacionad
os con todas y cada una de las tareas a realizar al conducir un testeo de seguri
dad. La informacin contenida dentro de ISSAF, se encuentra organizada alrededor d
e lo que se ha dado en llamar "Criterios de Evaluacin", cada uno de los cuales ha
sido escrito y/o revisado por expertos en cada una de las reas de aplicacin. Esto
s criterios de evaluacin a su vez, se componen de los siguientes elementos:
*Una descripcin del criterio de evaluacin
*Puntos y Objetivos a cubrir
*Los pre-requisitos para conducir la evaluacin
*El proceso mismo de evaluacin
*El informe de los resultados esperados
*Las contramedidas y recomendaciones
*Referencias y Documentacin Externa.
Por su parte y a fin de establecer un orden preciso y predecible, dichos "Criter
ios de Evaluacin", se encuentran contenidos dentro de diferentes dominios entre l
os que es posible encontrar, desde los aspectos ms generales, como ser los concep
tos bsicos de la "Administracin de Proyectos de Testeo de Seguridad", hasta tcnicas
tan puntuales como la ejecucin de pruebas de Inyeccin de Cdigo SQL (SQL Injection)
o como las "Estrategias del Cracking de Contraseas.
A diferencia de lo que sucede con metodologas "ms generales", si el framework no s
e mantiene actualizado, muchas de sus partes pueden volverse obsoletas rpidamente
(especficamente aquellas que involucran tcnicas directas de testeo sobre determin
ado producto o tecnologa). Sin embargo esto no debera ser visto como una desventaj
a, sino como un punto a tener en cuenta a la hora de su utilizacin.
3.3 OTP (OWASP Testing Project)
OTP promete convertirse en uno de los proyectos ms destacados en lo que al testeo
de aplicaciones web se refiere. La metodologa consta de 2 partes, en la primera
se abarcan los siguientes puntos:
*Principios del testeo
*Explicacin de las tcnicas de testeo.
s que cuentan la mayora de las compaas a nivel mundial, y porque no existe conocimi
ento relacionado con la planeacin de un esquema de seguridad eficiente que protej
a los recursos informticos de las actuales amenazas combinadas.
Podemos afirmar entonces que una alternativa viable, en aras de alcanzar una seg
uridad informtica apropiada para cualquier red o sistema (aunque para la mayora de
los expertos el concepto de seguridad en la informtica es utpico porque no existe
un sistema 100% seguro) lo representa, sin duda alguna, las empresas que se ded
ican a estos menesteres, jugando un rol importante en esta tarea los servicios d
e ethical hacking.
En este trabajo, luego de realizar una introduccin previa al tema, se abord de man
era resumida el enfoque al que estn dirigidos los servicios de ethical hacking. S
e profundiz en los llamados test de intrusin, una de las principales tcnicas utiliz
adas por los ethical hacking, abordando los diferentes tipos que existen, su def
inicin, la importancia y los beneficios que pueden aportar. Finalmente se analiza
ron las principales metodologas que existen en la actualidad para desarrollar est
as tareas, capaces de garantizar una correcta ejecucin y elevados niveles de cali
dad. Se proporcion una breve descripcin de cada una de ellas.
Se considera que este trabajo conduce a una investigacin mucho ms profunda y abarc
adora del tema en cuestin, pero aun as, resulta un estimulante acercamiento a un s
ervicio de gran importancia capaz de adaptarse a las necesidades propias de cada
cliente.