09 Feb

7. Ethical Hacking

Aquest és el setè i últim mòdul del curs introductori a la Seguretat de la Informació. Per tancar-lo, en Federico Pacheco ens parlarà d’ètica hacker i seguretat de la informació. A més de la figura de l’ethical hacker, parlarem de les avaluacions de la seguretat, de les metodologies dels seus atacs controlats i dels entregables, que seran els resultats obtinguts al llarg del procés.

HACKER ÈTIC I ATACS 

Un ethical hacker, o hacker ètic, realitza simulacions d’atac controlades. Es tracta d’atacar com si fossin atacants reals per trobar les vulnerabilitats que un altre buscaria. Però a diferència d’algú que es podria lucrar amb aquestes vulnerabilitats, l’ethical hacker entrega els resultats a la pròpia organització per tal que aquestes vulnerabilitats siguin solventades.

El hacker es penja la medalla i l’empresa surt cames ajudeu-me a tapar forats. En aquest cas, els usuaris se salven perquè l’atac era simulat i no es pretenia perjudicar la seguretat de de ningú, ni de l’empresa ni de l’usuari. Aquest tipus d’atacs s’han de fer regularment, ja que les tècniques i el software evolucionen i sempre surt una cosa o altra. I, evidentment, els atacs han d’estar autoritzats legalment per l’entitat corresponent.

Els tipus d’avaluació es donen en:

  • Sistemes i xarxes: Vulnerability Assessment (VA, fan un informe tècnic), Penetration Test (pentesters amb enginyeria social o quelcom més enllà del propi informe), auditoria informàtica (revisa la TodoList de tot el que s’ha de fer per estar segurs).
  • Software: amb els tester d’aplicacions o l’auditoria del codi font.

En funció del coneixement sobre l’objectiu tenim diversos tipus d’avaluació:

  • White Box: és un test on es té el coneixement de tot i permeten desplegar les eines fàcilment.
  • Grey Box: és un test on el coneixement és parcial. Saps coses però no tot.
  • Black Box: en aquest test no se sap res…S’estudia des de fora i té més nivell de dificultat.

Un ethical hacker ha de treballar fent de dolent però del cantó dels bons. Ha de pensar en tot el que faria la personeta més maliciosa…Simulant accions d’un atac real, podem saber a què pot accedir un intrús, què podria fer amb la informació o si la intrusió podria ser detectada. Una informació necessària és saber què és el que es proteig i contra qui. Però també és important saber de quins recursos disposem.

El perfil d’un ethical hacker s’orienta a seguretat ofensiva: coneix software, hardware i electrònica, protocols, programació…A més, ha de conèixer tècniques i metodologies, i fins i tot, habilitats socials, per orientar atacs d’enginyeria social, per exemple, on es dialoga amb les víctimes i se’ls hi sostrau el que sigui per voluntat pròpia, diguem. Però si una cosa ha d’estar clara és el seu codi de conducta, que ha de ser molt estricte. No es pot dedicar a anar aprofitant el que sap per lucre personal, per exemple…No seria ètic.

A més de tot això, un ethical hacker ha de ser perseverant i tenir paciència. Pel que diu el Federico, sembla que és com anar a pescar…requereix coneixement, té les seves tècniques però no sempre piquen…

Les àrees d’explotació són: sistemes operatius, aplicacions, codi propi o configuracions. I les classificacions dels atacs es poden donar per activitat (actius o passius), per ubicació o per naturalesa (tècnics o d’enginyeria social, per exemple).

METODOLOGIA

Per fer un atac s’ha de tenir una metodologia. Tàctica i estratègia es desvetllen també en un atac cibernètic. Algunes fases estan clarament definides:

  1. Una fase de reconeixement on sabrem què hi ha i on està ubicat.
  2. Després hem de procedir a la fase d’escanneig i enumeració, on veiem què conté el que hem descobert. Trobem l’escanneig de xarxa: els sistemes que estan encesos i els serveis que tenen assignats…S’escannegen ports i es miren quins estan oberts i quines aplicacions gestionen…
  3. Tot seguit, passa a la fase d’accés, fins i tot, remot i es poden explotar les vulnerabilitats.
  4. A més, però, s’ha de mantenir l’atac, per tal de no haver de tornar a fer els mateixos passos de nou.
  5. I per posar la cirereta al pastís, es vital esborrar les dades per tal que l’atac no sigui rastrejat, clar que a mesura que es va atacant es van esborrant rastres… Pim, pam.

Respecte al tipus d’escanneig (pas 2) en la metodologia de l’ethical hacking, tenim:

  • Escanneig de xarxa. Determina els equips actius i les seves adreces IP, i sistemes operatius i serveis.
  • A cada port hi haurà un servei determinat. Els ports poden ser de tipus TCP o UDP i, com comenta en Federico, permeten determinar quins serveis s’estan fent servir al sistema.
  • Escanneig de vulnerabilitats. Un cop ja coneixem la ubicació a la xarxa, els ports oberts i les aplicacions que s’hi tenen instal·lades, es procedeix a buscar i ubicar vulnerabilitats. Primerament es prova amb vulnerabilitats ja conegudes i es comprova que no hi siguin. Si hi són, però, es documenten per després poder ser explotades.

Si fem una panoràmica de tot el procés d’atac controlat d’un ethical hacker, trobem aquesta seqüència ordenada d’esdeveniments:

  1. Detectar necessitats i expectatives. En el cas de ser una relació clientelar, s’ha de discutir i detectar quines són les necessitats i què esperem per tal de determinar la manera més eficient de portar l’atac a terme.
  2. Preparar i firmar un acord de confidencialtat (NDA de “Non-Disclosure Agreement”). S’ha d’establir una mena de contractació perquè, tot i controlat, el hacker ataca el sistema.
  3. Preparar l’equip i establir l’agenda. Normalment, hi ha una mena de “Project Manager” que coordina tota l’acció i deriva els atacs a qui correspongui: a un equip o persona especialitzada en atacs ofensius, aplicacions, reconeixement o explotació de vulnerabilitats. Depèn de les necessitats, un o altre saltarà a la palestra.
  4. Portar endavant el test. A més de l’atac tecnològic també es pot fer atacs a la seguretat física (portes o controls d’accés) o d’enginyeria social (enviant correus electrònics per enganyar les personetes).
  5. Analitzar els resultats i elaborar un informe que es pot presentar al client per parlar de com ha anat la cosa.

 ENTREGABLES

Els resultats d’aquest informe, com comentava en Federico, s’anomenen Entregables. Aquest informe sol ser en paper i digital, i, evidentment, de caràcter confidencial. Constarà d’un resum general, un resum executiu, un índex de riscos en forma d’escala que permet determinar el grau de seguretat.

A més, hi trobarem detallades totes les proves que s’han dut a terme amb els seus resultat, pel que totes les vulnerabilitats aniran assignades al seu potencial risc. Al final de l’informe es fan recomanacions per tal de solventar les vulnerabilitats trobades i es detalla també totes les estratègies i eines utilitzades durant les proves. I per posar la cirereta, es classifiquen els problemes en funció del seu nivell de risc.

De manera opcional, es pot fer un taller (Workshop) on s’expliquen tots aquests resultats i es plantegen solucions. L’informe ha de ser impecable per tal d’aportar claredat i certesa a les proves realitzades.

CONCLUSIONS 

  • Les avaluacions de seguretat s’han de portar a terme de forma periòdica.
  • L’ethical hacker simula atacs reals per trobar vulnerabilitats.
  • La figura de l’ethical hacker va associada a un estricte còdic ètic.
  • Existeixen tècniques i metodologies que s’estudien en seguretat informàtica per portar a terme aquestes proves.

I fins aquí aquest fantàstic curs que he trobat a Acamica i que està impartit, impecablemente, per en Federico Pacheco. Molt ben estructurat i molt ben explicat, trobo. Per posar la guinda, que fet una última entrada pel curs que no té a veure amb el curs sinó amb les eines que he anat trobant arrel de fer el curs i interessar-me pel tema. La cosa tracta de prendre consciència sobre la nostra digitalitat.

 

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *