Ethical Hacking

Integrantes
Gian Carlo Gonzalo Mamani
Ledvir Antonio Ventura Acosta
Oscar Antonio Larico Condori

Objetivos
Introducir al hacking tico y terminologa esencial
Entender las diferentes fases seguidas por un hacker

Que es el Ethical Hacking?

Las computadoras en todo el mundo son susceptibles de ser atacadas por

crackers o hackers capaces de comprometer los sistemas informticos y robar
informacin valiosa, o bien borrar una gran parte de ella.

Esta situacin hace imprescindible conocer si estos sistemas y redes de datos

estn protegidos de cualquier tipo de intrusiones.

Por tanto el objetivo fundamental del Ethical Hacking (hackeo tico) es explotar
las vulnerabilidades existentes en el sistema de "inters" valindose de test de
intrusin, que verifican y evalan la seguridad fsica y lgica de los sistemas de
informacin, redes de computadoras, aplicaciones web, bases de datos,
servidores, etc.

Con la intencin de ganar acceso y "demostrar" que un sistema es vulnerable,

esta informacin es de gran ayuda a las organizaciones al momento de tomar
las medidas preventivas en contra de posibles ataques malintencionados.

Que es el Ethical Hacking?

Dicho lo anterior, el servicio de Ethical Hacking consiste en la simulacin de

posibles escenarios donde se reproducen ataques de manera controlada, as
como actividades propias de los delincuentes cibernticos, esta forma de actuar
tiene su justificacin en la idea de que:

"Para atrapar a un intruso, primero debes pensar como intruso"

Para garantizar la seguridad informtica se requiere de un conjunto de

sistemas, mtodos y herramientas destinados a proteger la informacin, es
aqu donde entran los servicios del Ethical Hacking , la cual es una disciplina de
la seguridad informtica que hecha mano de una gran variedad de mtodos
para realizar sus pruebas, estos mtodos incluyen tcticas de ingeniera social,
uso de herramientas de hacking , uso de Metasploits que explotan
vulnerabilidades conocidas, en fin son vlidas todas las tcticas que conlleven a
vulnerar la seguridad y entrar a las reas crticas de las organizaciones.

Puede ser tico el Hacking?

El nombre hacker neologismo utilizado para referirse a un experto en

varias o alguna rama tcnica relacionada con las tecnologas de la
informacin y las telecomunicaciones: programacin, redes, sistemas
operativos.

Cracker. Un cracker es alguien que viola la seguridad de un sistema

informtico de forma similar a como lo hara un hacker, solo que a
diferencia de este ultimo, el cracker realiza la intrusin con fines de
beneficio personal o para hacer dao a su objetivo.

Puede ser tico el Hacking?

Hacker tico: profesionales de la seguridad que aplican sus

conocimientos de hacking con fines defensivos y legales.

Diremos hacker siempre, pero hay que fijarse en el contexto.

Elementos de seguridad

Elementos esenciales de la seguridad.

Confidencialidad: tiene que ver con la ocultacin de informacin o

recursos.

Integridad: Se refiere a los cambios no autorizados en los datos.

Disponibilidad: Posibilidad de hacer uso de la informacin y recursos

deseados.

Que puede hacer un hacker?

Reconocimiento

Rastreo (escaneo)

Pasivo

Activo

Acceso

Sistema operativo / aplicacin

Redes

Denegacin de servicio

Mantener el acceso

Borrado de huellas

Tipos de Hacker

Sombrero Negro

Individuos con extraordinarias habilidades en computacin, recurren a

actividades maliciosas o destructivas. Tambin conocidos como Crackers.

Sombrero Blanco

Individuos que tiene habilidades de hacker y usan ello para propositivos

defensivos. Tambin conocidos como Analistas de Seguridad.

Sombrero Plomo

Individuos quienes trabajan ambas, ofensivas y defensivas en varios tiempos.

Quienes son los Ethical Hackers?

Los hackers ticos tambin conocidos como Pen-Tester, como su nombre

lo dice, realizan "Pruebas de Penetracin".

Un hacker tico es un experto en computadoras y redes de datos, su

funcin es atacar los sistemas de seguridad en nombre de sus dueos,
con la intencin de buscar y encontrar vulnerabilidades que un hacker
malicioso podra explotar.

Para probar los sistemas de seguridad, los Ethical Hackers (hackers

ticos) utilizan los mismos mtodos que sus homlogos, pero se limitan
nicamente a reportarlos en lugar de sacar ventaja de ellos.

Quienes son los Ethical Hackers

El Ethical Hacking tambin es conocido como penetration testing

(pruebas de penetracin) o intrusin testing (pruebas de intrusin).

Los individuos que realizan estas actividades a veces son denominados

"hackers de sombrero blanco", este trmino proviene de las antiguas
pelculas del Oeste, en donde el "bueno" siempre llevaba un sombrero
blanco y el "malo" un sombrero negro.

Que puede hacer un hacker tico?

Un hacker tico intenta responder a las siguientes preguntas:

Que puede saber un intruso de su objetivo? Fases 1 y 2

Que puede hacer un intruso con esa informacin? Fases 3 y 4

Se podra detectar un intento de ataque? Fases 5 y 6

Para que querra una empresa contratar a un hacker tico?

Perfil de habilidades de un hacker

tico

Experto en algn campo de la informtica.

Conocimientos profundos de diversas plataformas.

Conocimientos en redes.

Conocimientos de hardware y software.

Que debe hacer un hacker tico?

Fases de un proceso de evaluacin de la seguridad:

Preparacin: Se debe tener un contrato firmado por escrito donde se

exonere al hacker tico de toda responsabilidad como consecuencia de
las pruebas que realice.

Gestin: Preparacin de un informe donde se detallen las pruebas

posibles vulnerabilidades detectadas.

Conclusin: Comunicacin a la empresa del informe y de las posibles

soluciones.

Tipos de Ethical Hacking

Las pruebas de penetracin se enfocan principalmente en las siguientes

perspectivas:

Pruebas de penetracin con objetivo: se buscan las vulnerabilidades en

partes especficas de los sistemas informticos crticos de la
organizacin.

Pruebas de penetracin sin objetivo: consisten en examinar la totalidad

de los componentes de los sistemas informticos pertenecientes a la
organizacin. Este tipo de pruebas suelen ser las ms laboriosas.

Pruebas de penetracin a ciegas: en estas pruebas slo se emplea la

informacin pblica disponible sobre la organizacin.

Tipos de Ethical Hacking

Pruebas de penetracin informadas: aqu se utiliza la informacin

privada, otorgada por la organizacin acerca de sus sistemas
informticos. En este tipo de pruebas se trata de simular ataques
realizados por individuos internos de la organizacin que tienen
determinado acceso a informacin privilegiada.

Pruebas de penetracin externas: son realizas desde lugares externos a

las instalaciones de la organizacin. Su objetivo es evaluar los
mecanismos perimetrales de seguridad informtica de la organizacin.

Pruebas de penetracin internas: son realizadas dentro de las

instalaciones de la organizacin con el objetivo de evaluar las polticas y
mecanismos internos de seguridad de la organizacin.

Tipos de Ethical Hacking

A su vez, cada tipo de pruebas descrito anteriormente se puede ubicar en dos

modalidades dependiendo si el desarrollo de las pruebas es de conocimiento del
personal informtico o no.

Red Teaming : Es una prueba encubierta, es decir que slo un grupo selecto de
ejecutivos sabe de ella. En esta modalidad son vlidas las tcnicas de "Ingeniera
Social" para obtener informacin que permita realizar ataque. sta obviamente
es ms real y evita se realicen cambios de ltima hora que hagan pensar que hay
un mayor nivel de seguridad en la organizacin.

Blue Teaming : El personal de informtica conoce sobre las pruebas. Esta

modalidad se aplica cuando las medidas tomadas por el personal de seguridad de
las organizaciones ante un evento considerado como incidente, repercuten en la
continuidad de las operaciones crticas de la organizacin, por ello es
conveniente alertar al personal para evitar situaciones de pnico y fallas en la
continuidad del negocio.

Por que hacer un Ethical Hacking?

A travs del Ethical Hacking (es posible detectar el nivel de seguridad

interno y externo de los sistemas de informacin de una organizacin,
esto se logra determinando el grado de acceso que tendra un atacante
con intenciones maliciosas a los sistemas informticos con informacin
crtica.

Las pruebas de penetracin son un paso previo a los anlisis de fallas de

seguridad o riesgos para una organizacin. La diferencia con un anlisis
de vulnerabilidades, es que las pruebas de penetracin se enfocan en
comprobar y clasificar vulnerabilidades y no tanto en el impacto que
stas tengan sobre la organizacin.

Por que hacer un Ethical Hacking?

Estas pruebas de penetracin permiten:

Evaluar vulnerabilidades a travs de la identificacin de debilidades

provocadas por una mala configuracin de las aplicaciones.

Analizar y categorizar las debilidades explotables, con base al impacto

potencial y la posibilidad de que la amenaza se convierta en realidad.

Proveer recomendaciones en base a las prioridades de la organizacin

para mitigar y eliminar las vulnerabilidades y as reducir el riesgo de
ocurrencia de un evento desfavorable.

Por que hacer un Ethical Hacking?

La realizacin de las pruebas de penetracin est basada en las

siguientes fases.

1. 1. Recopilacin de informacin

2. 2. Descripcin de la red

3. 3. Exploracin de los sistemas

4. 4. Extraccin de informacin

5. 5. Acceso no autorizado a informacin sensible o crtica

6. 6. Auditora de las aplicaciones web

7. 7. Elaboracin de informes

8. 8. Informe final

Modos de Hacking tico

Redes remotas: Simulacin de un ataque desde Internet.

Redes locales: Simulacin de un ataque desde dentro.

Ingeniera social: Probar la confianza de los empleados.

Seguridad Fsica: Accesos Fsicos (equipos, cintas de backup, etc)

Evaluando la seguridad

Tipos de test de seguridad

Black-Box (sin conocimiento de la infraestructura que se esta

evaluando)

White-box (con un conocimiento completo de la infraestructura que se

esta evaluando).

Test interno (se le conoce tambin como Gray-box Testing) Se examina

la red desde dentro.

Que se debe entregar?

Ethical Hacking Report

Detalles de los resultados de las actividades y pruebas de hacking

realizadas. Comparacin con lo acordado previamente en el contrato.

Se detallaran las vulnerabilidades y se sugiere como evitar que hagan

uso de ellas.

!OJO, que esto debe ser absolutamente confidencial!

Deben quedan registrados en el contrato dichas clausulas de

confidencialidad.

Cuales son los beneficios de un

Ethical Hacking?

Al finalizar el Ethical Hacking se entrega el resultado al cliente mediante

un documento que contiene a grandes rasgos una lista detallada de las
vulnerabilidades encontradas y verificables.

Tambin se provee una lista de recomendaciones para que sean

aplicadas por los responsables de seguridad en la organizacin.

Este documento se compone de un informe tcnico y uno ejecutivo para

que los empleados tcnicos y administrativos puedan entender y
apreciar los riesgos potenciales sobre el negocio.

Cuales son los beneficios de un

Ethical Hacking?

Los beneficios que las organizaciones adquieren con la realizacin de un Ethical

Hacking son muchos, de manera muy general los ms importantes son:

Ofrecer un panorama acerca de las vulnerabilidades halladas en los sistemas

de informacin, lo cual es de gran ayuda al momento de aplicar medidas
correctivas.

Deja al descubierto configuraciones no adecuadas en las aplicaciones

instaladas en los sistemas (equipos de cmputo, switches, routers, firewalls)
que pudieran desencadenar problemas de seguridad en las organizaciones.

Identificar sistemas que son vulnerables a causa de la falta de actualizaciones.

Disminuir tiempo y esfuerzos requeridos para afrontar situaciones adversas en

la organizacin.

Cuales son los beneficios de un

Ethical Hacking?

Los beneficios no slo se ven reflejados en la parte tcnica y operacional

de la organizacin, sino en organizaciones o empresas donde sus
actividades repercuten de forma directa en el cliente, los beneficios
reflejan una buena imagen y reputacin corporativa que en ocasiones es
ms valiosa que las mismas prdidas econmicas, por ejemplo los
bancos, a quienes les importa demasiado la imagen que ofrecen al
cliente, en consecuencia invierten mucho dinero en mecanismos de
seguridad para minimizar las perdidas financieras.

Es muy importante tener en cuenta los aspectos legales en la

realizacin de un Ethical hacking, los cuales deben tenerse muy
presentes tanto por las organizaciones que prestan el servicio como por
quienes lo contratan.

Cuales son los beneficios de un

Ethical Hacking?

Estos aspectos abarcan la confidencialidad, es decir que a la

informacin que los "Pen tester" encuentren no se le d un mal manejo
o uso ms all de los fines previstos por las pruebas.

En lo que respeta a la organizacin que contrata el servicio, sta debe

garantizar que la informacin que se provee al "Pen Tester" es fidedigna
para que los resultados sean congruentes y certeros.