En los próximos artículos voy a dar varios consejos acerca de cómo debe realizarse un Penetration Test de manera profesional. Primero que nada, veremos algunos temas burocráticos que deberemos respetar antes de empezar a trabajar en un Penetration Test.
Un poco de burocracia hacker
Lo más importante: este tipo de trabajos debe realizarse sólo bajo el consentimiento escrito de los propietarios de los sistemas sobre los cuales vamos a realizar las pruebas. Esto es importante tanto para el ‘atacante’ como para el ‘atacado’.
Tenemos que definir exactamente qué sistemas vamos a atacar y con qué propósitos (si buscamos destruir, robar, modificar). Definir las horas en las cuales vamos a realizar los ataques y hasta dónde vamos a llegar. Es decir, si vamos a buscar vulnerabilidades que podrían ser explotadas, o si directamente vamos a explotarlas para verificar si realmente eran vulnerabilidades.
Todas estas cosas deben ser aclaradas de antemano, con el fin de que nuestro cliente no se lleve una sorpresa desagradable al ver daños inesperados en su infraestructura tecnológica y que nosotros no nos llevemos la desagradable sorpresa de un cliente molesto y varias demandas en nuestra contra.
Más adentrados en la parte técnica, veremos que hay dos formas de clasificar a un Penetration Test:
– Si es externo o interno. Básicamente indica dónde vamos a estar ‘parados’ al realizar las pruebas. Dentro de la red interna, o fuera de la red (generalmente, a través de internet).
– Si contamos con información de los sistemas que vamos a atacar. De ser así, se los denomina White-Box. De no contar con información acerca de los sistemas, estamos ante un Black-Box. Entre las White y las Black existen algunos intermedios, pero no son tan comunes.
Una vez definido esto, empezaremos a realizar las pruebas sobre los sistemas en cuestión. Para el caso de estos ejemplos, vamos a hablar de un penetration test del tipo Black-Box Externo (atacando desde internet, y sólo conociendo el nombre de la empresa que queremos atacar).
NOTA: En los siguientes ejemplos vamos a utilizar nombre de compañías ficticias y direcciones IP inválidas para proteger la privacidad de las empresas analizadas.
Paso1: Recolectamos información
En este paso vamos a ser una especie de ‘detectives’, con la misión de conseguir toda la información posible acerca de la organización que vamos a atacar.
La organización que nos ha contratado para este trabajo se llama ‘Sin Nombre S.A.’, así que lo primero que vamos a hacer será escribir eso en nuestro buscador favorito (en mi caso, Google).
Es muy probable que, dentro de los primeros resultados, veamos el sitio web de la empresa en cuestión. Tomaremos nota de la dirección para visitarla luego.
Como el nombre del sitio es www.sinnombre.com.ar, podemos buscar la información correspondiente al registro de ese dominio en el sitio web de nic.ar (www.nic.ar), el cual va a mostrarnos información como:
– Nombre de la entidad registrante (persona física o jurídica)
– Dirección, teléfono, etc.
– Mismos datos del contacto técnico
– Datos de los servidores DNS para ese dominio
Además, utilizando los buscadores de internet, también podremos encontrar documentos de la organización, información de los empleados, datos privados, etc. Pero ése es tema para otro artículo, que podríamos llamar “Google Hacking” (Si no quieren esperar a que tenga tiempo de escribir dicho artículo, pueden buscar el término en internet, incluso existen libros acerca de ese tema).
Con estos datos vamos a poder empezar a trabajar en niveles más técnicos (y más entretenidos), que vamos a analizar en los próximos artículos.
Nos vemos en la próxima entrega!
Fabian Portantier
www.portantier.com
www.twitter.com/#!/portantier
Interesante la nota, siempre es bueno saber que podemos hacer……….para luego aprender a como defendernos de aquellos que quieren hacer!!!!!
Gracias por tu comentario!
Para aprender, lo primero es empezar a leer este tipo de artículos y buscar mucha información en internet.
salu2!
Gracias por el comentario!
salu2!
“Una nueva clase en la Escuela de Hacking a cargo de Fabián Portantier. De día, Fabián es un consultor sobre seguridad informática. De noche, se convierte en hacker para divertirse de lo lindo” –> jajajaajj xD bue… allá el “hacker” 😉 lindas notas suerte y que te diviertas por las noches!! xD
Gracias por tu comentario, salu2!
Gracias por tu comentario!
Para aprender, lo primero es empezar a leer este tipo de artículos y buscar mucha información en internet.
salu2!
Muy interesante el articulo.
me gustaria aprender a hackear ya que me gusta esa idea de aprender alguien me puede guiar un poco les agradesco
Los artículos vienen con asesoría Legal,o hay que tenerla de ante mano!! ji ji ji
Pero me parecen entretenidos, gracias .- Lástima que no tengo 85 años como las abuelitas , que robaban ropa en las tiendas, que vi por la TV el otro día,porque por la edad pasas en tu casa confinada en vez de la carcel!!! oléeeee
Pero igual!! adelante ,Rocinante!!!,
que la batalla es nuestra!!!!
espero que en alguno de estos tutoriales expliquen como analizar un desbordamiento de buffer, hacer un exploit y luego un shellcode.
pero si hay que empezar con programa automaticos que hacen todo como Metasp… y otros esta bien para empezar. solo quiero que en algun momento lleguen a un nivel avanzado estas guias.
@webcoco ¿vos pensas que la gente es est upida o que? la informacion es libre y cada quien sabra si la usa para bien o mal. ademas alguien que no tiene ni la mas minima idea no va a poder hacer nada porque ni siquiera entiende lo basico, y alguien que esta obsecionado con aprender esto al final va a terminar aprendiendo de cualquier fuente que haya en internet o libros.
sea lo que se que pase es inevitable, pero la informacion esta ahi para quien la quiera.
Gracias por el comentario, pero no lo entendí.
salu2!
Gracias por el comentario!
Comparto completamente. salu2!
despues se quejan de taringa… se pasan ustedes!!!
Intersante , ademas las herramientas son eso herramientas , un martillo sirve para claver clavos pero tambien para romper una cabeza , TODO esta en quien y como la usa….
Gracias por tu comentario!
La información siempre está, incluso hay muchísimos libros que muestran cómo se debe hackear un sistema.
Aquí estamos mostrando cómo se debe realizar un penetration test, que es una tarea profesional.
salu2!
Me parece que estos artículos estan dando demasiada información que solo hace capacitar a futuros hackers.
Hola Leandro,
la verdad es que es una profesión muy interesante.
Contá conmigo para lo que pueda ayudarte. Lo primero que te recomiendo es que busques mucho en internet. Hay millones de libros, papers, presentaciones, etc.
salu2!
Me encantaria laburar de eso, me podrian dar info al respecto sobre seguridad informatica?
Hugo, gracias por tu comentario!
Es la típica situación de para qué utilizamos el conocimiento que tenemos. Hay varios libros que enseñan cómo atacar sistemas. Pero no podemos basar nuestra seguridad en que la gente NO sepa hacer ataques, si no que tenemos que basarla en la educación y el respeto, para que las personas no intenten dañar a los demás.
Ya no tenemos forma de evitar que la gente sepa hacer estos ataques. Lo que nos queda es educar, y hablar siempre del “Ethical Hacking”.
salu2!
no veo mal esta seccion, pero asta que punto sirve dar datos como estos y el uso que se le puede dar si uno trabaja de esto con enpresas para fortalecer sus vulnerabilidades bien, ahora como sabemos que un adolecente caprichoso y rebelde usa estos conocimientos para su propio bienestar.