Tutorial hacking: Razones para hacer un Pentesting a nuestra empresa

Después de las muchas pruebas que hemos ido viendo a lo largo de las publicaciones de Ethical Hacking, comprobamos la importancia de securizar nuestros sistemas y redes frente a la mayor cantidad de amenazas posibles, o de contar en nuestro equipo con una persona que se encargue de establecer dichas medidas de seguridad y mantenerlas activas y actualizadas.

Lo que vamos a ver hoy son algunas de las diferentes razones (si es que todavía os quedan dudas…) o pasos a seguir por las que tenemos que tomarnos el tema de la seguridad muy en serio .

1. Perspectiva e Inversión : Las pruebas de pentesting nos darán una nueva perspectiva de qué tipo de seguridad hemos implementado, y si necesitamos mejorar algún aspecto o hemos restringido en demasía las conexiones. Atacándonos a nosotros mismos podemos comprobar qué tipo de inversión necesitamos realizar o si podemos estar tranquilos durante unos meses. Estas pruebas o ataques es conveniente realizarlos sin que la plantilla de trabajo sea consciente de que se van a realizar, para que la simulación sea lo más verídica posible.
    
2. Orientación: Podremos ver si tenemos nuestra política de seguridad bien orientada, ya que si en la mayoría de los casos nos centramos en prevenir y detener un ataque, pocas son las empresas que establecen reglas para que quien haya entrado de forma poco habitual sea expulsado de nuestros sistemas.
    
3. Depuración: Un informe bien realizado nos mostrará las rutas que mejor se pueden explotar para entrar a nuestro sistema, las más complejas, más usuales, simples… Con estos informes, si por ejemplo, tenemos una aplicación y un equipo de desarrollo de la misma, podríamos pasar a nuestros programadores los resultados, para que consideren de qué forma podrían solventarse dichas vulnerabilidades o fallos, para hacer la aplicación más segura y fiable de cara a ganar en este campo frente a la competencia. Existen varios tipos de pentesting que se diferencian entre sí por la cantidad de información y acceso que se le concede al auditor.

Veamos algunos de ellos:

• White Box Pentesting (Pruebas de Caja Blanca): Este caso es el más “sencillo” de llevar a cabo, ya que la particularidad de este informe reside en que a quien vaya a realizar la prueba se le dará toda la información posible (cantidad de equipos conectados, tipos de sistemas, estructura de la red, servidores, contraseñas, y cualquier otro dato relevante) acerca de nuestra red o sistema. Digo que es el más “sencillo” porque teniendo toda esta información podemos empezar directamente por buscar vulnerabilidades específicas de hardware en los modelos con los que trabajamos, fallos comunes en los sistemas instalados, etc… evitando las fases de definición del alcance del ataque, recopilación de información e identificación de objetivos, que necesitaríamos para llegar al punto donde en este método comenzamos.
  
  Lo agridulce de esta metodología es que securizamos internamente toda nuestra infraestructura frente a un ataque desde dentro, por lo que si alguien logra acceder a nuestros equipos (en esta metodología no se testea la dificultad para entrar de forma ilícita en nuestros sistemas o redes), tendrá bastante más trabajo si quiere conseguir algo de información, sí, pero ya habrá entrado :(.
   
• Black Box Pentesting (Pruebas de Caja Negra): Al contrario que en el caso anterior, en este escenario no se le facilitará al auditor ningún tipo de dato acerca de la infraestructura, por lo que en el informe que recibiremos podremos comprobar cuán fácil es acceder a nuestros sistemas o equipos. El atacante utilizará todas sus herramientas para ofrecernos un resultado lo más exhaustivo posible, por lo que al igual que en el caso anterior también sería conveniente advertir a cuantas menos personas de nuestro equipo sea posible, para que la veracidad de los ataques demuestre todas las vulnerabilidades que se puedan dar en un día cualquiera.
  
  Una vez dentro del sistema el auditor seguirá “a ciegas”, por lo que deberá identificar los diferentes objetivos y vías de acceso a los mismos, así como por el camino ir etiquetando los componentes hallados para comprobar si existiesen vulnerabilidades registradas para los mismos. Todo este trabajo “extra” de recabar de información conlleva también un aumento en el coste del servicio, pero se trata de dinero bien gastado si vamos a poder conocer de una vez tanto las vías de acceso ilícito a nuestra infraestructura, como las posibilidades de filtración de información a niveles inadecuados dentro de nuestro sistema de trabajo, por citar un ejemplo.
   
• Grey Box Pentesting (Pruebas de Caja Gris): Una combinación de los dos métodos anteriores como se puede suponer, donde al auditor se le dará cierta información, pero no toda. Es comúnmente usada cuando queremos identificar vulnerabilidades en un sector determinado de nuestra arquitectura de trabajo. Por ejemplo, podemos dar credenciales de usuario administrativo y que el atacante compruebe de qué forma podría este usuario acceder a niveles superiores de información.
  
  Muy útil si hemos implementado nuevas medidas de seguridad pero queremos cerciorarnos de su efectividad.

Una vez dentro del sistema el auditor seguirá “a ciegas”, por lo que deberá identificar los diferentes objetivos y vías de acceso a los mismos , así como por el camino ir etiquetando los componentes hallados para comprobar si existiesen vulnerabilidades registradas para los mismos.

Todo este trabajo “extra” de recabar de información conlleva también un aumento en el coste del servicio, pero se trata de dinero bien gastado si vamos a poder conocer de una vez tanto las vías de acceso ilícito a nuestra infraestructura, como las posibilidades de filtración de información a niveles inadecuados dentro de nuestro sistema de trabajo, por citar un ejemplo.

Grey Box Pentesting (Pruebas de Caja Gris): Una combinación de los dos métodos anteriores como se puede suponer, donde al auditor se le dará cierta información, pero no toda. Es comúnmente usada cuando queremos identificar vulnerabilidades en un sector determinado de nuestra arquitectura de trabajo. Por ejemplo, podemos dar credenciales de usuario administrativo y que el atacante compruebe de qué forma podría este usuario acceder a niveles superiores de información. Muy útil si hemos implementado nuevas medidas de seguridad pero queremos cerciorarnos de su efectividad.

En una situación ideal, deberíamos ejecutar las dos primeras opciones en conjunto, sobre todo si ya hemos establecido definitivamente nuestro equipamiento base y queremos ver cuánto necesitamos invertir en securizar nuestro entorno . La combinación de estos dos métodos es bastante cara, pero la información que se obtiene de ambas en conjunto es primordial si queremos asegurarnos de que nuestros datos están lejos de ojos ajenos.

Si ya tenemos nuestras medidas de seguridad implementadas o si hemos realizado algún cambio importante en nuestro sistema o red, deberemos valorar si realizamos pruebas de Caja Blanca o Caja Gris, dependiendo de la cantidad de información que queramos obtener.

Un error muy común a evitar es el no confundir pruebas de pentesting con un escaneo de vulnerabilidades . Las diferencias entre uno y otro básicamente radican hasta dónde llega el auditor con las pruebas que realiza.

Obviamente, en todas los tipos de pentesting que hemos visto anteriormente, hay que realizar escaneos de vulnerabilidades en las diferentes fases por las que se moverá el atacante (obtener información de las IP’s utilizadas, conocer los sistemas operativos usados, los puertos por los que se comunican equipos, servidor, servicios, etc…); y aquí es donde reside esta diferencia.

Si el auditor únicamente recopila las vulnerabilidades y las presenta en un informe estamos ante un escaneo de vulnerabilidades.

Si además de recopilar las vulnerabilidades las explota para ver de qué forma es accesible ilícitamente nuestro sistema , nos da indicaciones de cómo solventarlo y es entonces cuando presenta el informe, estamos ante un pentesting “con todas las de la ley”. Os dejo una tabla resumen de las diferencias entre un Escaneo de Vulnerabilidades y un Pentesting.