Beruflich Dokumente
Kultur Dokumente
Article Information: Abstract: Due to the growth of the attacks on the infrastruc-
ture of information technology and communications (TIC)
Received: October 16, 2013
which for 2012 was increased by 42% reaching, for example,
Accepted: December 9, 2013
in the case of the attacks on websites 190.370 daily attacks,
according to information of Symantec Corporation (2013).
The TI managers have seen the need to conduct periodic pen-
etration testing in each of the important elements of your in-
frastructure, this kind of practice seeks to act proactively to
shield the internal information and the customers information
Keywords: Open source and also to prevent malicious staff can to appropriate of the
methodology, Penetration information, taking economic advantage or causing damage
test, Security, Vulnerability in the data.
assessment. Therefore, this article presents a review and analysis of some
sources of information about penetration testing and the main
open methodologies that currently exist, in order to publicize
the importance of implementing this kind of security assess-
ments framed in a methodology that engages the needs of the
company and it becomes a support to achieve their business
goals.
Liliana Carolina Pinzn G.1, Esp., MihdBad Talero M.2, Esp., John A.Bohada3, Ph.D.
Grupo de investigacin MUISCA, Facultad de Ingeniera, Especializacin en Seguridad de la Informacin, Fundacin
Universitaria Juan de Castellanos, Tunja, Colombia.
1
lcarolinapinzon@gmail.com, 2mihdibadi@gmail.com, 3jbohada@jdc.edu.co
Informacin del artculo: Resumen: Debido al crecimiento de los ataques a las in-
fraestructuras de las tecnologas de la informacin y comu-
Recibido: 16 de octubre de 2013
nicaciones (TIC), el cual para el ao 2012 se increment
Aceptado: 9 de diciembre de 2013
en un 42% llegando, por ejemplo, en el caso de los ataques
a sitios web, a 190.370 ataques diarios, segn informacin
de Symantec Corporation (2013). Los administradores de
tecnologa se han visto en la necesidad de realizar peridi-
camente pruebas de intrusin en cada uno de los elemen-
tos importantes que componen su infraestructura; este tipo
de prcticas tienen como objetivo actuar proactivamente
para blindar la informacin interna y de clientes, y tam-
Palabras Claves: Metodologa bin para evitar que personal malintencionado se apropie
abierta, Prueba de intrusin, Se- de ella sacando provecho econmico o generando dao en
guridad, Anlisis de vulnerabili- la misma.
dades.
Por lo anterior, este artculopresenta la revisin y anli-
sis de algunas fuentes de informacin acerca de las prue-
bas de intrusin y las principales metodologas abiertas
que existen actualmente; con el fin de dar a conocer la
importancia de ejecutar esta clase de evaluaciones de
seguridad enmarcadas en una metodologa que se acople
a las necesidades de la empresa y que se convierta en un
apoyo para lograr sus objetivos de negocio.
cabo este proceso, el Forum of Incident Response gada por la organizacin acerca de sus sistemas
and Security Teams (FIRST), plantea un modelo informticos) [23].
tipolgico basado en mtricas cualitativas, tem-
porales y del entorno, como se muestra en la si- Segn las buenas prcticas de seguridad, las
guiente tabla [19]: pruebas de intrusin deben ser ejecutadas al me-
nos una vez al ao y cada vez que se realiza una
Tabla 1. Tipologa basada en mtricas para clasificar actualizacin o modificacin importante en la in-
Vulnerabilidades. fraestructura de TI, para asegurar que los contro-
les establecidos continan siendo eficaces [24] y
dar a la empresa la oportunidad de cerciorarse de
que sus sistemas sean seguros y sus polticas de
respuesta a incidentes sean las adecuadas [25].
El nivel de criticidad y confidencialidad de los da-
tos administrados por los sistemas de informacin
de una empresa [26], hace evidente la necesidad
de realizar pruebas de intrusin debido a la pre-
ocupacin de que sta no est protegida adecua-
damente de un nmero exponencial de amenazas
[27] que pueden generar dao en la reputacin,
prdida financiera, perjuicio a las personas por la
divulgacin de sus datos personales, entre otros
[28]. De igual forma, la ejecucin de estas prue-
Es necesario tener en cuenta que el nivel de cri- bas no supone el cumplimiento de las legislacio-
ticidad de las vulnerabilidades depende en gran nes existentes en cada pas, pero puede aportar
medida del contexto de la organizacin en parti- informacin sobre aspectos de incumplimiento
cular, los controles compensatorios que existan y de las mismas [29].
el nivel del riesgo que implica [20]. El dao po- Los componentes de la infraestructura tecnolgi-
tencial causado por la accin directa de una ame- ca han ofrecido un sinnmero de oportunidades
naza debe ser estimado de manera objetiva con para las pruebas de intrusin a travs de los aos
la participacin del responsable de cada activo [30], puesto que contienen informacin estratgi-
[21], debido a que hay que asociar de la manera ca de la compaa entre la que se puede encontrar:
ms explcita posible las vulnerabilidades con las informacin acerca de los mercados sensitivos,
amenazas a los activos, para entender su interrela- informacin financiera, secretos industriales, pro-
cin y llevar a cabo un anlisis de costo/beneficio cesos de aprovechamiento tecnolgico, informa-
[22]. cin del personal, de clientes, de productos, infor-
Las pruebas de intrusin se enfocan principal- macin interna y de seguridad [31].
mente en las siguientes perspectivas: externas, Vale la pena destacar que las incidencias y ata-
internas, con objetivo (buscan vulnerabilidades ques pueden convertirse en oportunidades para el
en partes especficas), sin objetivo (examinan la negocio, si desde la direccin de la empresa se
totalidad de los componentes informticos), prue- plantean como un reto a la poltica de seguridad
bas a ciegas (solo se emplea la informacin p- corporativa y se utilizan para mejorar los aspec-
blica disponible sobre la organizacin) y pruebas tos deficientes [32]; por lo anterior, un proceso de
informadas (utilizan la informacin privada, otor- gestin de incidentes es un instructivo fundamen-
tal en este tipo de anlisis de seguridad; puesto y/o activos (modificacin o alteracin de la in-
que no solo revela vulnerabilidades sino tambin formacin que ha sido interceptada, con el fin de
consecuencias reales fruto de las mismas [33]. hacer dao) [40]. Para comprometer la seguridad
De la misma manera, algunos aspectos como los de cualquier sistema de informacin, el atacante
acontecimientos histricos y los informes de au- debe tener conocimiento de las cuatro etapas que
ditora pueden proporcionar informacin adicio- se detallan en la figura 1 para realizar un test de
nal que debe tenerse en cuenta [34]. penetracin [41]:
Los hackers ticos que realizan pruebas de intru- Figura 1. Etapas de un test de Penetracin.
sin utilizan los siguientes modelos:
Modelo de caja blanca: cuando la organiza-
cin facilita informacin detallada acerca de
los sistemas de informacin que utiliza [35].
El propsito de este modelo es simular un
ataque perpetrado por un usuario interno au-
torizado [36].
Modelo de caja negra: en caso de que la ad-
Fuente: D. Monrroy, Anlisis inicial de la anatoma de un
ministracin no divulgue al personal que se ataque a un sistema informtico, disponible en http://www.
estn llevando a cabo pruebas de penetracin, segu-info.com.ar/tesis/, 2009
ni suministre informacin concerniente a la
tecnologa utilizada [35]. El objetivo es emu- Una metodologa define un conjunto de reglas
lar un ataque externo, realizado por un pirata prcticas y procedimientos que son ejecutados
informtico que no tiene relacin con la em- durante el curso de evaluacin de cualquier pro-
presa [36]. grama de seguridad de la informacin [42] y per-
mite ordenar y estandarizar este proceso [43].
Modelo de caja gris: en este modelo, la com-
Para el caso especfico de las pruebas de intru-
paa brinda slo informacin parcial [35].
sin, existen mltiples metodologas que pue-
La intencin es fingir un ataque perpetrado
den ser propietarias o abiertas. Las metodologas
por un usuario interno no-autorizado, ya sea
abiertas (Open Source), sern el objeto de estudio
un empleado de la empresa o un asesor exter-
de este artculo, debido a su naturaleza, ya que
no que tiene acceso fsico a la red de la orga-
son creadas sin nimo de lucro y se encuentran
nizacin [36].
disponibles al pblico para ser descargadas, le-
3. METODOLOGAS ABIERTAS das y mejoradas [44].
Es importante mencionar que cada da se generan 3.1 Publicacin NIST SP 800-115 (Technical
nuevos riesgos en los sistemas de informacin de Guide to Information Security Testing
una organizacin [37]; razn por la cual, la adop- and Assessment)
cin de cualquier metodologa debe ser un pro- Como se muestra en la figura 2, este estndar
ceso aplicado de manera iterativa y reiterada en plantea cuatro fases: planificacin (aprobacin de
el tiempo[38], con el fin de descubrir los puntos la Gerencia, identificacin del alcance y los obje-
dbiles de la seguridad que pueden provocar que tivos de la prueba), descubrimiento (recopilacin
los datos y/o los equipos se vean afectados en de informacin y anlisis de vulnerabilidades),
mayor o menor medida por ataques [39] pasivos ejecucin del ataque (explotacin de vulnerabili-
(escuchar los datos transmitidos sin modificarlos) dades) y presentacin de informes (informe final
Fuente: National Institute of Standards and Technology (NIST), Special Publication 800-115, Technical Guide to Informa-
tion Security Testing and Assessment, 2008.
3.2 Gua de pruebas OWASP (Open Web de diferentes herramientas, intentando compren-
Application Security Project) der la lgica de la aplicacin, previo a la segunda
fase. Por otro lado, en el modo activo el evaluador
La gua de pruebas para OWASP se divide en 2 empieza a realizar las pruebas usando la siguiente
modos: modo pasivo y modo activo. En el modo metodologa que se compone de las subcategoras
pasivo, el evaluador recopila informacin a travs que se muestran en la tabla 2:
Tabla 2. Subcategoras y actividades de ejecucin de la Gua de pruebas OWASP
Categora Actividades
Pruebas de firma digital de Aplicaciones Web
Descubrimiento de aplicaciones
Tcnicas de spidering y googling
Anlisis de cdigos de error
Recopilacin de informacin Pruebas de gestin de configuracin de la infraestructura
Pruebas del receptor de escucha de la BBDD
Pruebas de la gestin de configuracin de la aplicacin
Pruebas de manejo de extensin de archivos
Archivos antiguos, sin referencias y copias de seguridad
Reglas de negocio: polticas del negocio
Comprobacin de la lgica del negocio Flujos de trabajo: tareas ordenadas de paso de documentos o datos de un ele-
mento participante a otro
Categora Actividades
Pruebas de diccionario sobre cuentas de usuario o cuentas por defecto
Fuerza bruta
Saltarse el sistema de autenticacin
Pruebas de autenticacin
Atravesar directorios/acceder a archivos adjuntos externos
Sistemas de recordatorio/reset de contraseas vulnerables
Pruebas de gestin del Cach de Navegacin y de salida de sesin
Anlisis del esquema de gestin de sesiones
Manipulacin de cookies y testigos de sesin
Variables de sesin expuestas
Pruebas de gestin de sesiones
Abuso de sesin
Exploit HTTP
Pruebas de CSRF (Cross Site Request Forgery)
Cross Site Scripting
Mtodos HTTP y XST
Inyeccin SQL
Inyeccin LDAP
Inyeccin ORM
Inyeccin XML
Pruebas de validacin de datos Inyeccin SSI
Inyeccin Xpath
Inyeccin IMAP/SMTP
Inyeccin de cdigo
Insercin de comandos del sistema operativo
Prueba de desbordamiento de Bfer
Pruebas de vulnerabilidad incubada
Bloqueo de cuentas de usuario
Desbordamiento de Bfer
Reserva de objetos especificada por usuarios
Pruebas de denegacin de servicio Pruebas de uso de entradas de usuario como bucle
Pruebas de escritura de entradas suministradas por usuario a disco
Fallos en la liberacin de recursos
Pruebas de almacenamiento excesivo en la sesin
Pruebas estructurales de XML
Comprobacin de XML a nivel de contenido
Comprobacin de parmetros HTTP GET/REST (Representational State Trans-
Comprobacin de servicios web
fer)
Adjuntos SOAP maliciosos
Pruebas de repeticin
Inyeccin SQL
Pruebas de AJAX (este tipo de aplica- Cross Site Scripting
La explotacin de XSS
ciones tienen mayor superficie de ataque
Inyeccin DOM (Modelo de Objeto de Documentos)
debido a que se extienden entre el cliente
Inyecciones JSON/XML/XSLT
y el servidor) Cross Site Request Forgery (CSRF)
Denegacin de Servicio
Finalmente, se debe emitir un informe que des- Figura 3. Metodologa para pruebas de intrusin - ISSAF.
criba detalladamente la valoracin de los riesgos
reales como resultado de la evaluacin de seguri-
dad [47].
3.3 Penetration Testing Framework (PTF)
- ISSAF (Information Systems Security
Assessment Framework)
Como se muestra en la figura 3, esta metodologa
incluye tres fases en las cuales, los pasos de eje-
cucin son cclicos e iterativos [48]:
Fase I: Planificacin y preparacin. Previo a
la ejecucin de las pruebas, se debe planear
los aspectos relevantes de las pruebas que se
van a realizar y se debe firmar un acuerdo for-
mal donde se detallen los mismos.
Fase II: Evaluacin. Esta fase presenta un en-
foque por capas, como se muestra en la figura
3, en el que cada una de ellas representa un
mayor nivel de acceso a los activos de infor-
macin.
Fase III: Informes, limpieza y destruccin
Fuente: OISSG, Information System Security Assessment
de informacin. Una vez se han culminado todos Framework (ISSAF), Penetration Testing Framework
los casos de prueba definidos en el alcance del (PTF), 2006.
trabajo, se debe generar un informe escrito que
describe los resultados detallados y las recomen- 3.4 OSSTMM 3 Manual de metodologa
daciones pertinentes para mejorar la seguridad; abierta para pruebas de seguridad (ISE-
no obstante, en caso de identificar un punto cr- COM)
tico durante la ejecucin de las pruebas, se debe Esta metodologa divide la totalidad de una in-
informar de inmediato. Adicionalmente, toda la fraestructura en cinco canales: humano, fsico,
informacin que se crea y/o almacena en los sis- redes inalmbricas, telecomunicaciones y redes
temas de prueba debe ser eliminada; si por alguna de datos para su estudio [50]. Como se observa
razn esto no es posible, todos los archivos (con en la tabla 3, est constituida por cuatro fases y
su localizacin) deben ser mencionados en el in- stas a su vez por diecisiete mdulos, que tienen
forme tcnico para que sean eliminados posterior- sus correspondientes tareas y procedimientos, los
mente [49]. cuales varan dependiendo del canal que se est
evaluando [51].
[18] A. Vieites, Enciclopedia de la Seguridad In- [30] K. Xynos, SUTHERLAND Iain & READ
formtica, Mxico, Alfaomega, 2007. Huw, Penetration testing and vulnerability
[19] P. Mell, K. Scarfone, S. Romanosky, A assessments: A professional approach, Uni-
Complete Guide to the Common Vulnera- versity of Glamorgan, United Kingdom,
bility Scoring System, 2007. 2010.
[20] H. Jara, F. Pacheco, Ethical hacking 2.0, [31] D. Parker, The Strategic Values of Informa-
Fox Andina, Buenos Aires. tion Security in Business. Computers & Se-
curity, Vol. 16, 1997.
[21] L. Flores, G. Hernndez, Pruebas de Hac-
king tico en un laboratorio de la Facultad [32] E. Quispe, Asegurndose contra delitos in-
de Ingeniera de la UNAM, 2012. formticos, Universidad Mayor de San An-
drs, Bolivia, 1997.
[22] V. Baena, La seguridad de Tecnologa de
la Informacin (TI) como una variable de [33] G. Baker, A. Vulnerability Assessment Me-
la cultura organizacional, Universidad EA- thodology for Critical Infrastructure Faci-
FIT, Medelln, 2009. lities, James Madison University, Estados
Unidos, 2005.
[23] L. Sandoval, A. Vaca, Implantacin de tc-
nicas y administracin de laboratorio para [34] Risk Assessment Special Interest Group
investigacin de ethical hacking, Escuela (SIG), PCI Security Standards Council, PCI
Politcnica del ejercito, Sangolqu, 2013. Data Security Standard (PCI DSS), versin
2.0, 2012.
[24] A. Basta, W. Halton, computer security and
penetration testing, Cengage Learning, Es- [35] M. Simpson, K. Backman, J. Corley, Hands-
tados Unidos, 2007. on ethical hacking and network defense,
2nd Edition, Cengage Learning, 2010.
[25] T. J. Klevinsky, S. Laliberte, A. Gupta, Hack
I.T.: Security Through Penetration Testing, [36] G. Chicaiza, Hacking tico para detectar
Pearson Education Inc., Indianapolis, 2004. vulnerabilidades en los servicios de la intra-
net del Gobierno Autnomo Descentraliza-
[26] J. Ramrez, Desarrollo de un esquema de do Municipal del Cantn Cevallos, Univer-
anlisis de vulnerabilidades y pruebas de sidad Tcnica de Ambato, Ambato, 2012.
penetracin en sistemas operativos para una
organizacin de la administracin pblica [37] J. Trivio, Deteccin de intrusos en redes
federal, Escuela Superior de Ingeniera Me- de telecomunicaciones IP usando modelos
cnica y Elctrica, Mxico, 2009. ocultos de Markov, Universidad Nacional
de Colombia, Bogot, 2009.
[27] A. Whitaker, D. Newman, Penetration Tes-
ting and Network Defense, Cisco Press, In- [38] D. Garzn, J. Gmez, A. Vergara, Metodo-
dianapolis, 2006. loga de anlisis de vulnerabilidades para
empresas de media y pequea escala, Ponti-
[28] E. Nabbus, Penetration Testing A Vital Sys- ficia Universidad Javeriana, Bogot, 2013.
tem Security Assessment Method, Electro-
soft, 2007. [39] VeriSing, Libro Blanco, Introduccin a las
pruebas de vulnerabilidad de red. [On line].
[29] A. Verdesoto, Utilizacin de hacking tico Disponible en www.verisign.es.
para diagnosticar, analizar y mejorar la se-
guridad informtica en la intranet de va ce- [40] A. Espinosa, Anlisis de Vulnerabilidades
lular, comunicaciones y representaciones, de la Red LAN de la UTPL, Universidad
Escuela Politcnica Nacional, Quito, 2007. Tcnica Particular de Loja, Loja, 2010.
[41] D. Monrroy, Anlisis inicial de la anatoma [46] National Institute of Standards and Techno-
de un ataque a un sistema informtico. [On logy (NIST), Special Publication 800-115,
line]. Disponible en http://www.segu-info. Technical Guide to Information Security
com.ar/tesis/. Testing and Assessment, 2008.
[42] J. Bolvar, C. Villarroel, Propuesta de Best [47] OWASP Fundation, OWASP TESTING
Practice para el anlisis de vulnerabilida- GUIDE V3.0, 2008.
des, mtodos de prevencin y proteccin [48] OISSG, Information System Security As-
aplicados a la infraestructura de red del la- sessment Framework (ISSAF), Penetration
boratorio de sistemas, Escuela Superior Po- Testing Framework (PTF), 2006.
litcnica de Chimborazo, Riobamba, 2012.
[49] O. Acosta, Anlisis de riesgos y vulnerabi-
[43] K. Byeong-Ho, About Effective Penetration lidades de la infraestructura tecnolgica de
Testing Methodology, Instituto de Investi- la secretara nacional de gestin de riesgos
gacin en Ingeniera de Seguridad, Journal utilizando metodologas de ethical hacking,
of Security Engineering. Vol. 5, 2008. Escuela Politcnica Nacional, Quito, 2013.
[44] L. Navas Leydy, Anlisis, diseo e imple- [50] ISECOM, OSSTMM 3 The Open Sour-
mentacin de la metodologa OSSTMM ce Security Testing Methodology Manual,
para aplicar penetration test y ethical hac- 2009.
king en la unidad administrativa de sistemas
de informacin de la Universidad Tcnica [51] A. Lpez, Estudio de metodologas para
de Machala, Universidad Tcnica de Ma- pruebas de intrusin a sistemas informti-
chala, Ecuador, 2010. cos, Instituto Politcnico Nacional, Mxico,
2011.
[45] M. Prandini, M. Ramilli, Towards a practi-
cal and effective security testing methodo- [52] T. Wilhelm Thomas, Professional Pene-
logy, IEEE Simposio sobre Computadores tration Testing: Creating and Operating a
y Comunicaciones (ISCC), Italia, junio 22- Formal Hacking Lab, Elsevier Inc., USA,
25, 2010. 2010.