[28/02/2018] He estado en la seguridad informática por más de 30 años, y ningún trabajo ha sido más desafiante y divertido que las pruebas de penetración profesional (pen test), o como se suele llamar, el hacking ético. Los verificadores de pen test y los hackers éticos básicamente reciben un pago por entrar legalmente en computadoras o dispositivos, y no hay desventaja. Si hackea las defensas actuales, le ha dado al cliente la oportunidad de cerrar el agujero antes de que el atacante lo descubra. Si no encuentra nada, su cliente estará aún más feliz porque ahora declararán que su producto es "lo suficientemente seguro como para que incluso los hackers pagados no puedan entrar en él". ¡Ganar-ganar!
Esto no quiere decir que el hacking ético sea siempre fácil. No lo es (pero tampoco tiene que tener un alto coeficiente de inteligencia). También tiene algunos desafíos aparentemente insuperables en diferentes escenarios. Sin embargo, si le gusta que le paguen para mantenerse a la vanguardia de la tecnología y participar en las cosas, las pruebas de penetración son el trabajo de sus sueños.
¿Qué es un hacker ético certificado?
Varias organizaciones ofrecen capacitación y certificaciones éticas de hacking/pen test. La certificación muestra que los hackers éticos han alcanzado un grado mínimo de experiencia en el campo. Los hackers éticos no siempre tienen que estar certificados; y, de hecho, muchos de los mejores son autodidactas. Sin embargo, la certificación da a algunos empleadores potenciales más tranquilidad acerca de las calificaciones de un candidato y abrirá más oportunidades para puestos bien remunerados y tareas de consultoría.
Algunas de las organizaciones más respetuosas que ofrecen certificaciones éticas de hacking o pen test son SANS, EC-Council, McAfee Foundstone y CREST. Para obtener más información sobre estos programas de certificación, consulte "Los mejores cursos y certificaciones de hacking ético".
De hacker a verificador de penetración
Cualquier pirata informático debe tomar algunas medidas comunes para convertirse en un hacker informático ético, cuyo mínimo es asegurarse de contar con el permiso documentado de las personas adecuadas antes de introducirse en algo. No infringir la ley es primordial para ser un verificador de penetración profesional. Todos los hackers éticos deben seguir un código de ética para orientar todo lo que hacen. El Consejo de la CE, creadores del examen de hacker ético certificado (CEH, por sus siglas en inglés), tiene uno de los mejores códigos de ética pública disponible.
Pasos de hackeo ético
1. Alcance y fijación de objetivos: Es esencial para cualquier verificador de penetración profesional documentar el alcance y los objetivos acordados. Estos son los tipos de preguntas sobre el alcance que debe hacer:
- ¿Qué activos informáticos están en el alcance de la prueba?
- ¿Incluye todas las computadoras, solo una determinada aplicación o servicio, ciertas plataformas de sistemas operativos o dispositivos móviles y servicios en la nube?
- ¿El alcance incluye solo cierto tipo de activos informáticos, como servidores web, servidores SQL, todas las computadoras a nivel del sistema operativo host, y se incluyen dispositivos de red?
- ¿Las pruebas de penetración pueden incluir escaneo automatizado de vulnerabilidad?
- ¿Se permite la ingeniería social? De ser así, ¿qué métodos?
- ¿En qué fechas se permitirá la prueba de penetración o pen test?
- ¿Hay días u horas en que no se deben probar las pruebas de penetración (para evitar interrupciones involuntarias o interrupciones del servicio)?
- ¿Deben los probadores hacer su mejor esfuerzo para evitar causar interrupciones en el servicio o están causando algún tipo de problema que un atacante real pueda hacer, incluidas las interrupciones del servicio, una parte crucial de la prueba?
- ¿La prueba de penetración será blackbox (lo que significa que el pen tester tiene pocos o ningún detalle interno de los sistemas o aplicaciones involucrados) o whitebox (lo que significa que tienen conocimiento interno de los sistemas atacados, posiblemente con un código fuente relevante)?
- ¿Se informará a los defensores de la seguridad informática acerca de la prueba de penetración o serán parte de la prueba para ver si los defensores lo notan?
- ¿Deberían atacar los atacantes profesionales (por ejemplo, el equipo rojo) sin ser detectados por los defensores (por ejemplo, el equipo azul), o deberían usar métodos normales que los intrusos reales podrían usar para ver si desatan las defensas de detección y prevención existentes?
Haga estas preguntas con respecto a los objetivos de la prueba de penetración.
- ¿Es simplemente para demostrar que puede entrar en una computadora o dispositivo?
- ¿La denegación de servicio se considera una meta dentro del alcance?
- ¿El acceso a una computadora en particular o la filtración de información son parte del objetivo, o simplemente está obteniendo acceso privilegiado suficiente?
- ¿Qué debe enviarse como parte de la documentación al finalizar la prueba? ¿Debería incluir todos los métodos de piratería fallidos y exitosos, o solo los hacks más importantes? ¿Cuánto detalle se necesita, cada pulsación de tecla y clic del mouse, o simplemente descripciones de resumen? ¿Los hacks deben capturarse en video o capturas de pantalla?
Es importante que el alcance y los objetivos se describan en detalle, y se acuerden antes de cualquier intento de prueba de penetración.
2. Seleccione las herramientas adecuadas de pen test: El verificador de penetración generalmente tiene un conjunto estándar de herramientas de pirateo que usan todo el tiempo, pero es posible que tengan que buscar y abastecerse de diferentes herramientas según el trabajo de pirateo ético. Por ejemplo, si se le pide que ataque los servidores SQL y no tiene experiencia relevante, es posible que desee comenzar a investigar y probar diferentes herramientas de ataque SQL.
La mayoría de los verificadores de penetración comienzan con una "distribución" de sistema operativo Linux que está especializada en pruebas de penetración. Las distribuciones de Linux para hackear van y vienen a través de los años, pero ahora la distro de Kali es la que prefieren los verificadores de penetración más profesionales. Existen miles de herramientas de pirateo, incluyendo muchas de incondicionales que utilizan casi todos los pen testers.
El punto más importante de cualquier herramienta de piratería, más allá de su calidad y adecuación para el trabajo en cuestión, es asegurarse de que no contenga malware u otro código diseñado para hackear al pirata informático. La gran mayoría de las herramientas de piratería que puede obtener en Internet, especialmente de forma gratuita, contienen malware y puertas traseras no documentadas. Por lo general, puede confiar en las herramientas de piratería más comunes y populares, como Nmap, pero los mejores verificadores de penetración escriben y utilizan sus propias herramientas porque no confían en nada escrito por otra persona.
3. Descubrimiento: aprenda sobre su objetivo de prueba de penetración: Cada verificador de penetración comienza sus activos de hacking (excluyendo las técnicas de ingeniería social para esta discusión) al aprender tanto como puedan sobre los objetivos de la prueba de penetración. Quieren saber las direcciones IP, las plataformas de sistema operativo, las aplicaciones, los números de versión, los niveles de parches, los puertos de red anunciados, los usuarios y cualquier otra cosa que pueda conducir a un exploit. Es una rareza que un pen tester no vea una vulnerabilidad potencial obvia al pasar solo unos minutos mirando un activo. Por lo menos, incluso si no ven algo obvio, pueden usar la información aprendida en el descubrimiento para el análisis continuo y los intentos de ataque.
4. Explotación - irrumpir en el activo del objetivo: Esto es por lo que se le paga al pirata informático ético: el "asalto". Utilizando la información aprendida en la fase de descubrimiento, el pen tester necesita explotar una vulnerabilidad para obtener acceso no autorizado (o denegación de servicio, si ese es el objetivo) Si el hacker no puede ingresar a un activo en particular, entonces debe probar con otros activos al alcance. Personalmente, si he hecho un trabajo de descubrimiento exhaustivo, siempre he encontrado un exploit. Ni siquiera sé de un probador de penetración profesional que no haya entrado a un activo por el que fue contratado, al menos inicialmente, antes de que su informe permitiera al defensor cerrar todos los agujeros encontrados. Estoy seguro de que hay probadores de penetración que no siempre encuentran exploits y logran sus objetivos de piratería, pero si se hace un proceso de descubrimiento suficiente, la parte de explotación no es tan difícil como mucha gente cree. Ser un buen verificador de penetración o hacker no se trata tanto de ser un genio, sino más de paciencia y minuciosidad.
Dependiendo de la vulnerabilidad y el exploit, el acceso obtenido puede requerir una "escalada de privilegios" para convertir el acceso de un usuario normal en un acceso administrativo superior. Esto puede requerir el uso de un segundo exploit, pero solo si el exploit inicial no le otorgó acceso privilegiado al atacante.
Dependiendo de su alcance, el descubrimiento de vulnerabilidades puede automatizarse mediante el uso del software de exploración de vulnerabilidad o escaneo. El último tipo de software generalmente encuentra vulnerabilidades, pero no las explota para obtener acceso no autorizado.
Luego, el pen tester realiza la acción de objetivo acordada si se encuentra en su destino final o utiliza la computadora actualmente explotada para obtener acceso más cercano a su destino final. Los verificadores de penetración y los defensores llaman a este movimiento "horizontal" o "vertical", dependiendo de si el atacante se mueve dentro de la misma clase de sistema o hacia fuera a los sistemas no relacionados. A veces, debe demostrarse que se ha alcanzado el objetivo del probador de penetración profesional (como revelar secretos del sistema o datos confidenciales), o basta con la mera documentación de cómo podría haberse llevado a cabo con éxito.
5. Documente el esfuerzo de la prueba de penetración: Por último, el verificador de penetración profesional debe redactar y presentar el informe acordado, incluidos los hallazgos y las conclusiones.
El trabajo de la prueba de penetración es sofisticado y evoluciona
Al igual que cualquier otra disciplina de seguridad de TI, la prueba de penetración profesional está madurando. Los hackers independientes que simplemente muestran destreza técnica sin profesionalismo y sofisticación, son cada vez menos solicitados. Los empleadores están buscando al pirata informático profesional completo, tanto en la práctica como en los conjuntos de herramientas que utilizan.
Mejores juegos de herramientas: El software de prueba de penetración o vulnerabilidad siempre ha formado parte del conjunto de herramientas del hacker ético. Lo más probable es que el cliente ya esté ejecutando uno o ambos de forma regular. Uno de los desarrollos más interesantes en los pen tests son herramientas que esencialmente hacen todo el trabajo duro desde el descubrimiento hasta la explotación, de forma muy similar a como lo haría un atacante.
Un ejemplo de este tipo de herramienta es Bloodhound, de fuente abierta. Bloodhound permite a los atacantes ver, gráficamente, las relaciones entre diferentes computadoras en una red de Active Directory. Si ingresa un objetivo deseado, Bloodhound puede ayudarle a ver varios caminos de piratería para llegar desde donde comienza hasta ese objetivo, a menudo identificando rutas que no sabía que existían. He visto usos complejos en los que los verificadores solo ingresaron en los puntos inicial y final, y Bloodhound y algunos scripts hicieron el resto, incluidos todos los pasos necesarios para pasar del punto A al Z. Por supuesto, el software de prueba de penetración comercial ha tenido este tipo de sofisticación por mucho más tiempo.
Una imagen vale más que mil palabras: solía ser que, para vender una defensa a la alta gerencia, los verificadores de penetración hackeaban a la alta gerencia o les mostrarían documentación. Hoy en día, la alta gerencia desea mazos de diapositivas, videos o animaciones sobre cómo se realizaron hacks particulares en su entorno. Lo usan no solo para mostrarle a otros altos directivos sobre defensas particulares, sino también como parte de la educación de los empleados.
Gestión de riesgos: Tampoco es suficiente entregar una lista de vulnerabilidades encontradas al resto de la compañía y considerar que su trabajo ya está hecho. No, los probadores profesionales de penetración de hoy deben trabajar con la administración de TI para identificar las amenazas más grandes y más probables. Los evaluadores de penetración ahora son parte del equipo de gestión de riesgos, lo que ayuda a reducir el riesgo de manera más eficiente que las vulnerabilidades puras. Esto significa que los hackers éticos proporcionan aún más valor al mostrarle a los gerentes y defensores lo que probablemente sucederá y cómo, y no solo mostrarles un truco único que es poco probable que ocurra con un intruso de la vida real.
Capacitación y certificaciones: Hoy en día, existen todo tipo de vías para que las personas se conviertan en verificadores de penetración profesionales, incluida una amplia gama de cursos y certificaciones. Estos cursos a menudo vienen con la exposición a diferentes herramientas de piratería en sofisticados laboratorios de simulación, impartidos por instructores expertos. Los estudiantes que se gradúan u obtienen una certificación a menudo se vuelven parte de una comunidad más grande de examinadores de penales, continúan su educación y contribuyen de nuevo a la sociedad que les enseñó tanto.
Las pruebas de penetración profesional no son para todos. Requiere convertirse en un experto cercano en varias tecnologías y plataformas diferentes, así como en un deseo intrínseco de ver si se puede romper algo más allá de los límites normalmente presentados. Si tiene ese deseo y puede seguir algunas pautas legales y éticas, también puede ser un hacker profesional.
Roger A. Grimes, CSO (EE.UU.)