Ciberseguridad y Pentesting.
CIBERSEGURIDAD
La ciberseguridad es la práctica de proteger sistemas, redes y dispositivos contra ataques y uso no autorizado.
Ramas de la ciberseguridad.
- Seguridad de la Información: Son medidas para proteger y resguardar la información, manteniendo la confidencialidad, disponibilidad e integridad de los datos. Incluye normativas y protección de datos como la ISO 27001 (protección de datos personales). Tambien aborda el DLP (Prevención de Perdida de Datos), la continuidad del negocio (ISO 22301) así como el análisis de impacto y de riesgo.
- Código Seguro: Trata de buenas prácticas, autenticación y requisitos de seguridad en aplicaciones u OWASP (Open Web Application Security Project).
- Seguridad Aplicativa (Pentesting):
- Web: Incluye inyección de código, datos sensibles, autenticación, controles de acceso, XML y JSON, configuraciones (componentes con vunerabilidades), deserialización, monitoreo y control e ingeniería reversa.
- Móvil: Se divide en análisis estático, que es el análisis del código y componentes de una aplicación móvil y análisis dinámico que implica interactuar con la aplicación para observar su comportamiento.
- Red: Incluye arquitecturas seguras, protección de servidores y cifrados.
- Criptografía: Algoritmos utilizados para encriptar y proteger la información.
- Esteganografía/marcas de agua: Incluye el uso de imágenes, audio, video y texto para ocultar información.
- Ingeniería Social:
- Phishing: Técnicas de manipulación utilizadas para engañar a las personas y obtener información confidencial.
- Vishing: Ataques telefónicos utilizando técnicas semilares al phishing.
Pentesting.
Es una técnica utilizada para evaluar la seguridad de un sistema informático, red, sitios web, o dispositivos móviles en la cual se realizan ataques para identificar vulnerabilidades en el sistema que puedan ser explotadas por un atacante.
El objetivo del pentesting es proporcionar a las organizaciones detalles sobre la seguridad de sus sistemas y redes para mejorar su seguridad y protegerla ante ataques. El pentesting se realiza de manera legal y autorizada con el fin de hacer más seguros los sistemas de información.
Un pentester es un auditor interno o externo que simula ciberataques a sistemas informáticos para detectar y reportar vulnerabilidades. Algunas de las responsabilidades de un pentester son;
Informar sobre el estado de la ciberseguridad de la empresa y proponer un nivel de riesgo.
Proporcionar soluciones y controles posibles para las fallas detectadas independientemente si sea un auditor interno o externo.
Seguir una metodología al llevar a cabo una metodología como por ejemplo la PTES (Penetration Testing Execution Standard ).
Metodología PTES.
Interacción previa:
Antes de realizar las pruebas de penetración se deben preparar y firmar acuerdos que especifiquen el alcance de la auditoría, el horario en que se realizarán las pruebas, el tiempo de duración de las mismas, qué activos deben tocarse y cuáles no, además de un acuerdo de confidencialidad.
Recolección de información:
Recopilar toda la información posible sobre los objetivos que serán probados durante la auditoria ya sea obtenida de fuentes públicas o interactuando directamente con los servidores.
Modelo de amenazas:
En esta etapa se consideran los riesgos y amenazas más probables a las que el cliente puede estar expuesto, los bienes y activos que más debería proteger.
Análisis de vulnerabilidades:
Identificar posibles fallos de seguridad que puedan ser explotados, malas configuraciones, contraseñas débiles o versiones de software desactualizadas etc.
Explotación de vulnerabilidades:
El objetivo de esta fase es ganar acceso al sistema o dispositivo aprovechandose de las fallas de seguridad.
Post-explotación:
Mantener el acceso dentro del sistema para despues aplicar pivoting o movimiento lateral para comprometer otros dispositivos dentro de la misma red.
Reporte:
Al finalizar la auditoria se debe realizar un reporte ejecutivo y un reporte técnico a partir de la información recolectada, las fallas identificadas y explotadas y la información sensible obtenida.
Tipos de pentesting.
- Blackbox: Es donde el pentester no cuenta con mucha información acerca de su objetivo, solo cuenta con la url o la dirección IP para llevar acabo la auditoria. El pentester tiene que recolectar información de fuentes públicas, revisar el sitio web para ver si hay alguna fuga de información, ver la versión del gestor de contenido (CMS) y del sistema operativo, el lenguaje de programación utilizado, entre otras.
- Whitebox: En este tipo de pruebas el pentester tiene credenciales de acceso o ciertos privilegios dentro de una red para poder facilitar el proceso de pentesting.
- Graybox: Se tienen accesos limitados dentro de la red. Por ejemplo, una auditoria realizada solo a un segmento de red.
Fases del pentesting.
Reconocimiento:
Definir el objetivo de la auditoria, recolectar información, indentificar información clave sobre el objetivo (es darle valor a la información).
Recopilación de información:
Existen dos tipos de recopilación de información, la recolección activa y la pasiva. La recopilación pasiva consiste en buscar toda aquella información que provenga de fuentes públicas sobre la organización que se va a auditar, y la recopilación activa consiste en interactuar directamente con los servidores de la organización para obtener información
whois es una herramienta de linea de comandos que te permite obtener información de forma pasiva sobre un dominio, como quien lo registro, quien es el administrador del sitio, cuando expira y cuando fue registrado. Tambien puedes encontrar información de contacto como; números de teléfono, y direcciones de correo.
Puedes tambien consultar el sitio https://lookup.icann.org/es el cual te permitirá hacer lo mismo que whois solo que de manera gráfica.
whois ejemplo.com
Escaneo:
Escaneo de protocolos (TCP o UDP), identificación de vulnerabilidades y análisis de potenciales riesgos como el actualizar sistemas, poner parches de seguridad, cambiar contraseñas por defecto, etc, cosas que ayuden a mejorar la seguridad.
Explotación:
Acceder a sistemas vulnerables, obtener privilegios, obtener información o accesos relevantes y a todo eso darle un valor agregado al cliente para que pueda entender el impacto y el riesgo que puede llegar a tener dentro de su sistema.
Post-explotación:
Mantener el acceso o privilegio y generar nuevos accesos por medio del movimiento lateral o pivoting.