Tipos de Hacking

Externo

En esencia, es un hackeo realizado desde Internet. Este tipo de hacking lo realizaremos sobre la infraestructura externa del cliente, es decir sobre los equipos del cliente expuestos a Internet (routers, firewalls, servidores externos, etc).

Interno

Este tipo de hackeo se realizará dentro de la red interna del cliente. Es aquí donde suelen flaquear los sistemas además, la mayor concentración de fuga de datos es culpa de ataques dentro de la propia red, en su mayoría empleados.

Modalidades Hacking

A la hora de realizar un test de penetración, ya sea interna o externamente,  con o sin objetivo, se distinguen 3 tipos según la forma de acceso a la red objetivo.

Test de Caja Negra / Black Hat Hacking
Este test es aplicable a pruebas de intrusión externas donde el cliente facilitaría al consultor 
 

El auditor no dispone de información alguna sobre el objetivo a auditar. Ha de recopilar tanta información como sea posible para comprometer el sistema. Simula un ataque real pero para el cliente puede suponer un aumento considerable en las horas a facturar por el consultor.

Test de Caja Gris / Grey Hat Hacking
En este tipo de test se simulan ataques reales pero conociendo de antemano gran parte de la información técnica.

Usualmente se trata de un test de intrusión interno si bien puede ocurrir que el cliente facilite determinada información sobre los equipos a auditar de manera externa. En el caso de realizarse de manera interna, el cliente proporcionaría al consultor un puesto en la red con información muy limitada (IP, Gateway, DNS, etc) ocultando siempre información sensible.

 
Test de Caja Blanca / White Hat Hacking
Aplicable únicamente a pruebas de intrusión internas. Se audita la red como un hacker de sombrero gris pero conociendo de antemano gran parte de la información (equipos, IPs, subredes, etc.), datos que nos permiten evitar la fase inicial de recogida de información y un considerable ahorra en horas empleadas.
 

Fases del Test de Penetración

En esencia, un test de intrusión o  Pentest se compone principalmente de 4 fases, si bien es cierto que las fases pueden tener modificaciones en cuanto al orden y contenido dependiendo del método utilizado. Las fases básicas del Pentest son:

1. Recopilación de información.
2. Busqueda de vulnerabilidades.
3. Explotación de vulnerabilidades.
4. Generación de informes y/o parcheo de los sistemas.

Metodologías de Hackeo Ético

Basándose en esas premisas, el proceso de hackeo ético ha de realizarse aplicando una metodología de trabajo para que el estudio se haga de manera lógica y ordenada. Se conocen varias técnicas siendo las siguientes Open Source las mas adoptadas:

– OSSTMM (Manual de Metodología Abierta de Evaluación de Seguridad).

– ISSAF (Marco de Evaluación de Seguridad de Sistemas de Información).
– OWASP (Proyecto de Seguridad de Aplicaciones Web Abiertas).

Existe un estándar muy interesante (actualmente en versión Beta) que recoge una serie de procedimientos para la realización de un Pentest denominado PTES (Penetration Testing Execution Standard).

Penetration Testing Execution Standard

Anuncios
Categoría:
BLOG

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: