Download - Técnicas de Hacking
-
Tcnicas de Hacking
Prof. Jorge Ludea
-
Ethical Hacking
El termino Ethical Hacking, indica un especialista enconocer las vulnerabilidades del sistema, no para
sacarle provecho, muy por el contrario tiene que
proteger los sistemas para que nadie ms pueda
utilizar esas fallas en contra de su sistema.
-
Ethical Hacking
El Ethical Hacking tambin es conocido comoPenetration Testing (pruebas de penetracin) o
Intrusin Testing (pruebas de intrusin). Los
individuos que realizan estas actividades a veces
son denominados "hackers de sombrero blanco",
este trmino proviene de las antiguas pelculas del
Oeste, en donde el "bueno" siempre llevaba un
sombrero blanco y el "malo" un sombrero negro.
-
Porque ser un Ethical
Hacking
A travs del Ethical Hacking (es posible detectar elnivel de seguridad interno y externo de los sistemas
de informacin de una organizacin, esto se logra
determinando el grado de acceso que tendra un
atacante con intenciones maliciosas a los sistemas
informticos con informacin crtica (valiosa). Para
ello hay que realizar una serie de pruebas que nos
permitan ubicar cada una de las posibles fallas y
luego proceder a asegurarlas.
-
Pruebas
Las pruebas de penetracin son un paso previo alos anlisis de fallas de seguridad o riesgos para
una organizacin. La diferencia con un anlisis de
vulnerabilidades, es que las pruebas de penetracin
se enfocan en comprobar y clasificar
vulnerabilidades y no tanto en el impacto que stas
tengan sobre la organizacin.
-
Pruebas
Estas pruebas dejan al descubierto lasvulnerabilidades que pudieran ser vistas yexplotadas por individuos no autorizados y ajenos ala informacin como: crackers, hackers, ladrones,ex-empleados, empleados actuales disgustados,competidores, etc. Las pruebas de penetracin,estn totalmente relacionadas con el tipo deinformacin que cada organizacin maneja, portanto segn la informacin que se desee proteger,se determina la estructura y las herramientas deseguridad pero nunca a la inversa.
-
En que ayudan las Pruebas?
Estas pruebas de penetracin permiten:
Evaluar vulnerabilidades a travs de la identificacin de debilidadesprovocadas por una mala configuracin de las aplicaciones.
Analizar y categorizar las debilidades explotables, con base alimpacto potencial y la posibilidad de que la amenaza se conviertaen realidad.
Proveer recomendaciones en base a las prioridades de laorganizacin para mitigar y eliminar las vulnerabilidades y asreducir el riesgo de ocurrencia de un evento desfavorable.
-
Como llevar a cabo una
Prueba de Penetracin
La realizacin de las pruebas de penetracin est basada en las siguientesfases.
1. Recopilacin de informacin
2. Descripcin de la red
3. Exploracin de los sistemas
4. Extraccin de informacin
5. Acceso no autorizado a informacin sensible o crtica
6. Auditora de las aplicaciones web
7. Elaboracin de informes
8. Informe final
-
Tipos de Pruebas de
Penetracin
Las pruebas de penetracin se enfocan principalmente enlas siguientes perspectivas:
Pruebas de penetracin con objetivo: se buscan lasvulnerabilidades en partes especficas de los sistemasinformticos crticos de la organizacin.
Pruebas de penetracin sin objetivo: consisten enexaminar la totalidad de los componentes de los sistemasinformticos pertenecientes a la organizacin. Este tipo depruebas suelen ser las ms laboriosas.
Pruebas de penetracin a ciegas: en estas pruebas slose emplea la informacin pblica disponible sobre laorganizacin.
-
Tipos de Pruebas de
Penetracin
Pruebas de penetracin informadas: aqu se utiliza la informacinprivada, otorgada por la organizacin acerca de sus sistemasinformticos. En este tipo de pruebas se trata de simular ataquesrealizados por individuos internos de la organizacin que tienendeterminado acceso a informacin
privilegiada.
Pruebas de penetracin externas: son realizadas desde lugaresexternos a las instalaciones de la organizacin. Su objetivo esevaluar los mecanismos perimetrales de seguridad informtica de laorganizacin.
Pruebas de penetracin internas: son realizadas dentro de lasinstalaciones de la organizacin con el objetivo de evaluar laspolticas y mecanismos internos de seguridad de la organizacin.
-
Beneficios del Ethical
Hacking
Los beneficios que las organizaciones adquieren con la realizacin de unEthical Hacking son muchos, de manera muy general los ms importantesson:
Ofrecer un panorama acerca de las vulnerabilidades halladas enlos sistemas de informacin, lo cual es de gran ayuda al momentode aplicar medidas correctivas.
Deja al descubierto configuraciones no adecuadas en lasaplicaciones instaladas en los sistemas (equipos de cmputo,switches, routers, firewalls) que pudieran desencadenar problemasde seguridad en las organizaciones.
Identificar sistemas que son vulnerables a causa de la falta deactualizaciones.
Disminuir tiempo y esfuerzos requeridos para afrontar situacionesadversas en la organizacin.
-
Beneficios del Ethical
Hacking
Los beneficios no slo se ven reflejados en la partetcnica y operacional de la organizacin, sino enorganizaciones o empresas donde sus actividadesrepercuten de forma directa en el cliente, losbeneficios reflejan una buena imagen y reputacincorporativa que en ocasiones es ms valiosa que lasmismas prdidas econmicas, por ejemplo los bancos,a quienes les importa demasiado la imagen queofrecen al cliente, en consecuencia invierten muchodinero en mecanismos de seguridad para minimizarlas perdidas financieras.
-
GRACIAS