Pentesting - Descrubiendo Vulnerabilidades en la Seguridad de la Información
Las empresas, en este era digital en donde todos estamos interconectados, donde con el fin de tener inmediatez en la información se ha optado por la aplicación de herramientas en las nubes, se hace imprescindible ser conscientes de los riesgos a los que se enfrenta la empresa. Sin embargo, no tan común como debería. Una manera de entender con seguridad la gravedad de los peligros a los que nuestra empresa se expone existen algunas herramientas que deberíamos comprender y valorar adecuadamente. Si no, muy seguramente estamos subestimando brechas de seguridad que sufre o podría sufrir nuestra empresa. La buena noticia es que conocerlas de forma precisa es posible gracias a los pentest o penetration tests.
Pentesting es una palabra que está ahora muy de moda en lo referente a la seguridad informática. Es una abreviatura de las palabras inglesas “penetration” y “testing”, que significa test. Pentesting o Penetration Testing es la práctica de atacar diversos entornos con la intención de descubrir fallos, vulnerabilidades u otros fallos de seguridad, para así poder prevenir ataques externos hacia esos equipos o sistemas. En esta ocasión te hablaremos sobre las primeras tres fases del ciclo del pentesting (Recolección de información, Scanning, Análisis de vulnerabilidades), que realizamos para uno de nuestros clientes.
Fase de Recolección de Información:
En esta etapa se utilizaron una serie de pruebas técnicas con apoyo de herramientas de red y protocolos de comunicaciones.
- Pruebas. Las pruebas realizadas fueron:
- Pruebas con herramientas de red (ping, traza de ruta, NSLookUp, MXToolBox): Este tipo de pruebas, consiste en ejecutar varias herramientas de red y algunos clientes y/o aplicaciones de protocolos TCP-UDP que se ejecuten contra su parte servidor, con el propósito de identificar que datos importantes se pueden obtener, respecto a los servidores, y/o host de la plataforma tecnológica delimitada como alcance en el presente proceso de auditoría de seguridad del tipo Pentesting.
- Pruebas al sitio web: Este tipo de pruebas, consiste en recolectar de una forma manual o automatizada, información relevante para las pruebas de seguridad, en lo que respecta al sitio web corporativo de la entidad.
- Pruebas de hacking con buscadores: Esta prueba consiste en enumerar y/o identificar información relevante al sitio web y sus respectivos subdominios, con el propósito de validar si se tiene indexada algún tipo de URL que despliegue información confidencial, o que ponga en riesgo el sistema de información y sus respectivos Host, delimitados como alcance en el presente proceso de auditoría del tipo Pentesting.
- Pruebas de extracción y análisis de metadatos: Esta prueba consiste en proceder de forma secuencial a la extracción de los metadatos de los archivos obtenidos de forma precedente en las pruebas de hacking con buscadores.
- Pruebas de ejecución de scripts públicos, y herramientas automatizadas: Esta prueba consiste en la ejecución de scripts y herramientas disponibles de forma pública y legal en internet, los cuales se usan para la enumeración y recolección de información pública de un sitio web en particular.
- Hallazgos. En los hallazgos identificados se puede evidenciar:
- Si tienen filtrados los paquetes ICMP para una dirección especifica.
- Se identifican los saltos que realizan los paquetes en la red cuando se apunta al servidor.
- Se enumeran los registros relacionados con el servidor de correo electrónico.
- Se muestran los registros MX de un dominio específico.
- Identificación de URLs.
- Nombres de funcionarios, correos electrónicos, teléfonos, direcciones, localizaciones, etc, en la página web.
- Archivos de bases de datos (sql), Word, Excel, pdf, imágenes, etc.
- Nombres de usuarios, software, sistemas operativos, rutas, carpetas, etc.
- Nivel de riesgo.
- Identificar riesgos.
Fase de Scanning:
La prueba consiste en escanear los equipos que se encuentran en la subred donde se encuentran los servidores de la entidad, identificando puertos abiertos, servicios, versiones de los servicios y sistemas operativos.
- Pruebas. Las pruebas realizadas fueron:
- Pruebas Descubrimiento de Servicios: consiste en escanear los equipos que se encuentran en la subred donde se encuentran los servidores de la entidad, identificando puertos abiertos, servicios, versiones de los servicios y sistemas operativos.
- Prueba a Dispositivos de Red Inalámbricos: Esta prueba consiste en realizar un escaneo en búsqueda de puntos de acceso a internet o a la red de la entidad en el punto donde se encuentra ubicado el auditor, en este caso la posición es cerca al DataCenter de la entidad.
- Hallazgos. En los hallazgos identificados se puede evidenciar:
- Se identificaron host en esta subred.
- Se identificaron puertos SSH, FTP, http, SMTP, Telnet, MySQL, etc abiertos.
- Se identificaron sistemas operativos de los equipos.
- Se identificaron dispositivos de red.
- Se identificaron servicios http desprotegidos.
- Identificación de redes inalámbricas.
Fase de Análisis de Vulnerabilidades:
- Pruebas. Las pruebas realizadas fueron:
- Ataques por diccionario: Esta prueba consiste en realizar ataques con diccionario a los diferentes servicios de red expuestos en los hosts identificados anteriormente, estos diccionarios son construidos con la información recolectada en fases previas y pretende identificar el grado de complejidad de la contraseña.
- Análisis de Características Técnicas: Esta prueba consiste en someter los hosts a una herramienta automatizada que toma las versiones de las tecnologías y características usadas para idénticas vulnerabilidades, riesgos, entre otras.
- Hallazgos. En los hallazgos identificados se puede evidenciar:
- Se pueden identificar usuarios y contraseñas débiles de acceso a servicios expuestos como ssh, telnet, mysql, etc.
- Identificación de vulnerabilidades debido a las versiones, actualizaciones y tecnologías usadas en los equipos.
- Nivel de riesgos de las vulnerabilidades identificadas y su posible solución.