RESUMEN
El tema del cual es objeto la presente investigación es el Impacto de las Pruebas de Penetración en la empresa Centro León en el período 2010-2011, en la ciudad de Santiago De Los Caballeros, República Dominicana.
Las Pruebas de Penetración son métodos y técnicas que se utilizan para evaluar, detectar y solucionar vulnerabilidades en las distintas áreas de una infraestructura tecnológica, como servidores web, firewalls, sistemas operativos, base de datos entre otros. Las pruebas de penetración son importantes porque permiten a las empresas conocer las fallas de seguridad que pueden causar en un tiempo determinado daños invaluables dependiendo al área comercial que esta pertenezca y así obtener los parches de actualizaciones que solucionen las brechas de seguridad.
Esta investigación tiene como objetivo general evaluar las vulnerabilidades que se presentan en la infraestructura tecnológica en el Centro León Jimenes en la ciudad de Santiago de los Caballeros, República Dominicana.
Las metodologías que se utilizaron en esta investigación son: bibliográficas, ya que se consulta material de libros, artículos de Internet, revistas y otro tipo de fuentes para obtener información relevante. De campo, porque se hace uso de herramientas y técnicas para determinar las vulnerabilidades de seguridad dentro de la infraestructura de TI. Descriptiva, porque se evalúan las fallas de seguridad de la infraestructura de TI de la empresa respondiendo a preguntas ¿cómo estaba la seguridad antes de evaluar el área? ¿Cuántas áreas fueron evaluadas? y Prospectiva, porque se toma en cuenta un período determinado dentro del cual se evalúa la empresa.
Los puntos más relevantes de la investigación se basan en las diferentes técnicas y métodos que envuelven el proceso de las pruebas de penetración, así como también, los diferentes pasos secuenciales que se utilizan en dichos métodos. Cabe destacar que cuando se evalúa algún recurso tecnológico específico, esto conlleva al uso de las herramientas destinadas para detectar los diferentes tipos de vulnerabilidades que pueda contener la estructura del servidor web.
Al finalizar la investigación sobre el impacto de las pruebas de penetración en la empresa Centro León en la ciudad de Santiago durante el período 2010-2011, se ha llegado a la conclusión de que:
Mediante la evaluación del servidor web y las pruebas hechas para detectar vulnerabilidades, se obtuvieron resultados que a pasar de no tener un alto riesgo para el funcionamiento de la página, si comprometen la integridad de los datos que se almacenan en dicho servidor.
Se recomienda la descarga e instalación de parches de seguridad o actualización que permitan cubrir la más mínima brecha de seguridad en la estructura del servidor web para evitar intrusiones futuras no deseadas.
INTRODUCCION
Esta investigación evalúa el impacto que tienen las Pruebas de Penetración en la empresa Centro León Jiménez, en la ciudad de Santiago de los Caballeros, República Dominicana.
En las empresas del país los profesionales del área no conocen de manera amplia lo que son las pruebas de penetración y no cuentan con la preparación necesaria para realizarlas y es por eso que el trabajo de esta investigación busca centrar los aspectos específicos para que sirvan de guía.
A través de los años en la ciudad de Santiago las empresas que cuentan con servidores instalados y sistemas en funcionamiento, es muy poco probable que ejecuten pruebas de penetración para evaluar las fallas de seguridad, estas solo recurren a estas técnicas cuando se encuentran en un estado crítico donde su seguridad ya ha sido violada.
Esta investigación tiene como objetivo general: evaluar las vulnerabilidades que se presentan en la infraestructura tecnológica en el Centro León Jimenes y como objetivos específicos:
• Determinar los métodos y herramientas que se usan en las pruebas de penetración.
• Evaluar los servidores y aplicaciones de la empresa para ofrecer reportes de resultados.
• Analizar la información resultante y que esta sirva de ayuda para optimizar los mecanismos de defensa de la infraestructura.
Este trabajo de investigación ha sido delimitado a impacto de las pruebas de penetración en la empresa Centro León Jimenes, en la ciudad de Santiago en el periodo 2010-2011.
Las metodologías utilizadas en esta investigación son las siguientes: bibliográfica, ya que se consulta material de libros, artículos de Internet, revistas y otro tipo de fuentes para obtener información relevante. De campo, porque se hace uso de herramientas y técnicas para determinar las vulnerabilidades de seguridad dentro de la infraestructura de TI. Descriptiva, porque se evalúan las fallas de seguridad de la infraestructura de TI de la empresa respondiendo a preguntas ¿cómo estaba la seguridad antes de evaluar el área? ¿Cuántas áreas fueron evaluadas? y Prospectiva, porque se toma en cuenta un período determinado dentro del cual se evalúa la empresa.
Se tomará como universo dos servidores web de los cuales uno de ellos servirá como muestra para la evaluación de la infraestructura tecnológica de la empresa, es decir, todo lo concerniente a la página web y como está estructurada.
Las pruebas se harán utilizando la metodología de black box o caja negra, la cual consiste en evaluar la seguridad de la Infraestructura Tecnológica de la empresa sin conocimiento general del entorno, ni cómo operan, ya que esta hace más referencia a lo que es un ataque real.
El Primer Capítulo trata sobre Seguridad Informática de una forma en general, viendo los acontecimientos que han transcurrido durante un periodo de tiempo, se refiere a los conceptos básicos que se suelen usar en seguridad informática.
El Segundo Capitulo trata sobre las Pruebas de Penetración, que son realmente las pruebas, los métodos más utilizados, quienes practican estas pruebas y como lo hacen.
El Tercer Capítulo trata sobre las técnicas y herramientas que se utilizan para realizar las pruebas de penetración, los pasos que hay que realizar con cada una de ellas para encontrar vulnerabilidades en la infraestructura de TI.
El Cuarto Capitulo trata sobre la empresa Centro León Jimenes, una breve historia de esta, como está configurada el área de TI de la empresa y los resultados sobre el impacto que obtuvo las pruebas de penetración en la infraestructura de TI.
CAPITULO I
SEGURIDAD INFORMATICA
De forma general la Seguridad Informática juega un papel muy importante en las organizaciones, ya que abarca todos los aspectos que conciernen a la protección de la infraestructura de Tecnología de información, a medida que surgen nuevos avances tecnológicos las empresas al igual que los empleados se deben acoplar a los nuevos tiempos porque de esta forma se mantienen a la vanguardia y al más alto nivel de competitividad entre las demás empresas a lo que seguridad se refiere.
1.1 Antecedentes
En 1960, el Ministerio de Defensa de los Estados Unidos dio inicio al desarrollo de una red experimental de computadoras para aplicaciones e investigaciones de tipo militar, la cual fue llamada Advanced Research Projects Agency Network por sus siglas en inglés (ARPANET).
Las principales aplicaciones de la red ARPANET permitieron a los usuarios intercambiar información a lo largo de todo el país, en 1970 se formó un grupo de manera informal para trabajar en el proyecto Transmision Control Protocol/Internet Protocol por sus siglas en inglés TCP/IP.
En 1983 se comenzaron a implementar estos protocolos y la red que en ese entonces se conocía como ARPANET fue dividida en dos partes: MILNET, la cual fue utilizada para aplicaciones militares e INTERNET, por otra parte siguió siendo objeto de investigación y se convirtió en lo que se conoce como la red de computadoras más grande del mundo.
Internet iba creciendo en forma considerable ya que se le fueron sumando un sin número de redes y aun así esto no evitó que se le restara importancia a lo que era la seguridad informática en ese entonces.
El 2 de noviembre del año 1988 ocurrió el primer ataque a la red de Internet causado por un Gusano, desarrollado por Robert T. Morris, en el cual se vieron afectados equipos de instituciones como bancos, universidades y organizaciones del gobierno de los Estados Unidos.
La finalidad de este ataque era señalar las fallas de seguridad de otras redes informáticas, pero el Gusano se replicó más rápido de lo esperado y causó pérdidas millonarias de dólares debido a la sobrecarga de los sistemas hasta el punto que se convierten en no funcionales. Este acontecimiento logró concientizar en cuanto a la seguridad informática ya que llevó a la creación del Computer Emergency Reponse Team por sus siglas en inglés CERT.
1.2 ¿Qué es Seguridad Informática?
Muchas veces se confunde el término de Seguridad Informática con Seguridad de la Información, cuando en realidad estos son distintos, la seguridad informática es una especialidad que conlleva el uso de diferentes técnicas, softwares y hardwares que se encargan de asegurar una infraestructura de red de una empresa, a diferencia del término de seguridad de la información que está más vinculado con lo que es la protección y la privacidad de los datos.
En el ámbito de seguridad informática no existen sistemas impenetrables, ya que siempre habrá un método por el cual se logrará detectar una vulnerabilidad de seguridad que posee la infraestructura tecnológica a la cual se desea penetrar, lo fundamental en la mayoría de las empresas es documentar a los usuarios acerca de cómo protegerse de las amenazas y a cómo utilizar los recursos para prevenir ataques. Podemos decir que la seguridad informática trata de asegurar los recursos de las empresas para que estos no sean objetos de intrusión.
"Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores". (Mitnik, 2003, p. 12)
De lo precedentemente citado se entiende que las empresas usualmente no invierten de forma correcta el dinero, al no darse cuenta que la capacitación de los usuarios es primordial para el manejo de los equipos y a su vez mantener la debida seguridad de estos.
Es razonable aclarar que no todas las empresas manejan sus recursos económicos de la misma forma, ya que algunas en muchos casos al área de tecnología de la información no le dan la importancia que requiere dentro de la organización y por consiguiente suelen ocurrir problemas al no contar con la con la tecnología adecuada.
La seguridad informática se fundamenta en tres principios básicos que deben cumplir los sistemas informáticos para lograr sus objetivos, los cuales son:
• Disponibilidad: los sistemas siempre deben estar en funcionamiento continuo para que los usuarios accedan a los datos con la frecuencia que requieran y ofrecer un servicio permanente.
• Confidencialidad: los sistemas solo deben permitir acceso a las personas que estén autorizadas para mantener la privacidad de los datos.
• Integridad: los sistemas deben evitar la duplicidad o la redundancia de información en su base de datos, esto se logra obteniendo una buena actualización y sincronización de los datos.
1.3 Función de la Seguridad Informática
Dentro de las funciones que debe desempeñar un departamento de seguridad informática en una organización es un cuanto complicado, ya que toda organización es distinta y cada una de ellas se rige por políticas y procedimientos diferentes, es oportuno mostrar que un departamento de seguridad informática hay varias funciones que se pueden desempeñar.
Existen posiciones dentro del departamento de seguridad informática tales como: Gerente de Tecnología de la Información, Encargado de Infraestructura, Encargado de Sistemas, los cuales desempeñan funciones específicas con un objetivo común.
Funciones del Gerente de Tecnología de la Información:
• Administración del presupuesto de seguridad informática.
• Administración de las personas de su equipo.
• Definición de la estrategia de seguridad informática y los objetivos.
• Administración de proyectos.
• Detección de necesidades y vulnerabilidades de seguridad desde el punto de vista del negocio y su solución.
Funciones del Encargado de Infraestructura:
• Configuración y operación de los controles de seguridad informática.
• Monitoreo de indicadores de controles de seguridad de los equipos.
• Modificación de accesos a sistemas y aplicaciones.
Funciones del Encargado de Sistemas:
• Evaluación de efectividad de los sistemas.
• Analista de los Sistemas.
• Administrador de Base de Datos.
• Auditor de los Sistemas de Información.
1.4 Conceptos Básicos de Seguridad Informática
Dentro de los conceptos más comunes que se pueden encontrar en seguridad informática están:
Amenaza: podemos entender este término como un posible peligro para la infraestructura de redes o del sistema de información, el cual puede ser una persona o un programa, no es más que un elemento que compromete al sistema.
Vulnerabilidad: son las fallas que se suelen encontrar en los sistemas de información o la infraestructura de red, estas son consideradas como debilidades dentro del sistema las cuales pueden ser atacadas para afectar el funcionamiento de estos.
Virus: son programas que contienen un código malicioso capaz de infectar otros programas, haciendo que estos disminuyan su rendimiento y causen fallas de seguridad, pueden existir diferentes tipos de virus como: gusanos, caballos de Troya y bombas lógicas.
Hacker: es una persona con elevados conocimientos en informática que busca reconocimiento por eludir la seguridad de un sistema si hacer daño.
Cracker: es una persona con elevado conocimientos en informática que quiere demostrar sus habilidades de forma equivocada, haciendo daño solo por diversión.
Phreaker: es la persona que se asiste de herramientas hadware y software para engañar las compañías telefónicas y evitar el cobro de llamadas.
Pirata Informático: es la persona que vende software que está protegido bajo las leyes de copyright.
Insider: es la persona que es considerado una amenaza de cualquier forma para el sistema de la empresa.
SDI: es un programa el cual está destinado a encontrar intrusos que hayan accesado a un red.
SPI: es una extensión de los SDI que previene el acceso no autorizado de un atacante.
Botnet: son de robots informáticos que se ejecutan de manera automática y de forma remota para controlar un conjunto de computadoras infectadas.
Zombie Host: es un software o un conjunto de computadoras que simula vulnerabilidad para atraer atacantes para saber los métodos y técnicas con las cuales ellos operan.
Encriptación: es un proceso que se utiliza para volver de manera ilegible información que se considera importante.
Spam: son mensajes masivos no deseados, usualmente publicitarios que perjudican a quien lo recibe.
Spyware: es un programa espía que recopila información de un computador y la transmite sin el consentimiento del propietario del mismo.
1.5 Mecanismo de Protección
Cuando ya se conocen las fallas de seguridad a las que está expuesta un sistema, se deben tener los mecanismos de defensa apropiados para contrarrestar estas brechas de seguridad, aunque las empresas cuentan con los equipos necesarios para proteger la información y la infraestructura, pocas veces utilizan las técnicas o métodos internamente para determinar el nivel de protección que poseen.
A continuación se especifica algunas herramientas de tipo hardware y software que pueden reducir el nivel de riesgo de ser atacados:
Firewall: es un sistema que está destinado a bloquear todo tipo de tráfico que no esté autorizado, permitiendo solo las comunicaciones que estén autorizadas en la infraestructura de red de una empresa, este está basado en políticas de seguridad establecida haciendo que la red sea confiable, los objetivos que debe cumplir un firewall son:
• Todo el tráfico que venga del exterior debe pasar a través de él, así como todo el tráfico del vaya desde el interior hacia el exterior.
• Solo el tráfico que se ha establecido en la política de seguridad es el que se permite.
Es preciso señalar que los firewall no detienen los ataques, tampoco protegen el sistema una vez que se hayan penetrado las políticas de seguridad, sino que estos ayudan a elevar el sistema de seguridad en una organización.
Lista de Control de Acceso: es una lista que permite definir los permisos y accesos que son concedidos a los usuarios, así también como limitarlos en ciertas características de la red como el ancho de banda, el tráfico con el uso de ftp.
Wrapper: son mecanismos de suplantación de identidad de programas en específico para cambiar el comportamiento de los sistemas operativos sin alterar su funcionamiento original.
DMZ: significa zona desmilitarizada es un tipo de configuración que se utiliza para limitar, dividir el acceso a la red desde fuera de una institución, esta solo permite a los usuarios internos tener facilidad para usar los recursos y compartir información.
Proxy Server: el servidor Proxy filtra, controla los accesos a páginas Web, limita el uso del Internet en diferentes horarios, las empresas lo usan para tener un mejor control de las operaciones que realizan sus empleados en la Web.
Sistemas Anti-Sniffer: este método provee de información al usuario para detectar cuando se está comprometiendo la red, es decir, cuando la placa de red está siendo atacada.
Gestión de Claves Seguras: utilizar una clave de 8 caracteres, le permite al usuario o administrador de sistemas de seguridad, mantener la integridad de los datos o el área donde se aplique, ya que con esta combinación pueden tardarse varios años en poder descifrarla.
SDI: significa Sistema de Detección de Intrusos es un programa el cual está destinado a encontrar intrusos que hayan penetrado en una red. El objetivo de estos es encontrar cualquier anomalía en las actividades del sistema que venga desde el exterior hacia el interior, de acuerdo al comportamiento y la función que se requiera, estos se clasifican de la siguiente manera:
• Host-Based IDS: estos detectan actividades maliciosas que operen en el mismo host donde se encuentre.
• Network-Based IDS: se basan en el intercambio de información que se realice en la red.
• Knowledge-Based IDS: estos se basan en conocimiento.
• Behavior-Based IDS: estos se basan en el comportamiento del usuario.
SPI: significa Sistemas de Prevención de Intrusos, es una extensión de los SDI que previene el acceso no autorizado de un atacante, este está basado en políticas de seguridad al igual que los firewalls, dependiendo en la forma en que detectan el tráfico, estos se clasifican de la siguiente manera:
• Detección Basada en Firmas: se basa en reconocer una cadena de bytes para hacer la alerta.
• Detección Basada en Políticas: se basa en reconocer todo el tráfico que esté fuera de las políticas establecidas.
• Detección Basada en Anomalías: se basa en reconocer cuando el tráfico no está dentro de lo normal.
• Detección Honey Pot: se basa en usar un señuelo para que los atacantes no puedan llegar al sistema original.
Criptografía: estos son métodos que se utilizan para el ocultamiento de información con el objetivo de que dicha información no sea entendible para aquella personas que no estén autorizadas. Esta es importante porque hace cumplir los objetivos de la seguridad informática, los cuales son; mantener la privacidad, la integridad y autenticidad de los datos.
Anti-Virus: son programas que están destinados con el objetivo de detectar programas que contengan código malicioso o como solemos llamarlos, virus informático. Para estos poder detectar virus deben actualizarse frecuentemente a una base de datos de forma remota, ya que cada día que pasa el número de virus en internet se va incrementando.
"Alcanzar el nivel de seguridad necesario para un organismo financiero representa un ejercicio más difícil". (Royer, 2004, p.11)
Del escrito anterior se desprende la idea de que las empresas, para poder adoptar un alto nivel de seguridad deben estar siempre a la vanguardia con los últimos avances tecnológicos, esto resulta un tanto difícil ya que se debe tener un buen soporte económico y una buena capacitación en los empleados que son quienes estarán trabajando con estas tecnologías.
Es significativo evidenciar que cuando se trata de un organismo financiero, los procesos que conlleva la seguridad informática dentro del área de TI son más rigurosos, debido a que todas las operaciones que se realizan dentro de la empresa giran en torno a dinero, por esta razón la seguridad informática debe conservar más su principios como la confidencialidad, disponibilidad e integridad de los datos.
1.6 Seguridad en República Dominicana
En República Dominicana no se cuenta con los mejores avances tecnológicos, es preocupante y alarmante la forma en que se manejan los centros de cómputos que están encargados de salvaguardar toda la información de la nación, aunque cabe destacar que posee profesionales con altos conocimientos capaces de competir ante escenarios internacionales, aunque la razón por la cual no se esta tan protegidos en este país es por la falta de inversión de las empresas multimillonarias e instituciones Bancarias que en ciertos casos suelen ser víctimas de ataques a sus infraestructuras tecnológicas.
Se debe tomar en cuenta que la inversión que se hace en el área de tecnológica da beneficios a largo plazo, proteger la información que es primordial para las instituciones gubernamentales del país es primordial y no se considera un juego, la república dominicana ha sido víctima en varias ocasiones de fraudes y daños a varias de las instituciones que residen en ella y que forman parte del desarrollo cotidiano y funcionamiento del engranaje que mueve la nación.
Las leyes del país penalizan los delitos informáticos que ocurren, se tiene como ejemplo el de robo de identidad que se contempla en la ley 53-07 sobre Crímenes y Delitos de Alta Tecnología, en su artículo 17 esta legislación establece que el hecho de una persona valerse de una identidad ajena a la suya, a través de medios electrónicos, informáticos, telemáticos o de telecomunicaciones, se sancionará con penas de tres meses a siete años de prisión y multa de dos a doscientas veces el salario mínimo.
Dentro de las organizaciones que trabajan y persiguen los delitos informáticos está el Departamento de Investigación de Crímenes y Delitos de Alta Tecnología de la Policía Nacional que tiene como función:
• Investigar todas las denuncias de crímenes o delitos considerados de alta tecnología.
• Responder con capacidad investigativa a todas las amenazas y ataques a la infraestructura crítica nacional.
• Desarrollar análisis estratégicos de amenazas informáticas.
• Desarrollar inteligencia.
Definitivamente se debe tomar más en serio la inversión en la Seguridad Informática por parte de las empresas, instituciones privadas y públicas de lo contrario la república dominicana seguirá modernizándose y al mismo tiempo exponiéndose a crímenes informáticos. En República Dominicana las universidades deben crear nuevas formas que permitan a los estudiantes tener más preparación en el área de seguridad Informática porque sería más factible para los profesionales nativos hacer maestrías en el campo de la informática localmente que salir e invertir grandes cantidades de dinero en el exterior.
Las empresas en el país deben estar muy preocupadas y siempre estar en expectativa ya que lo primordial deben ser sus datos y siempre preguntarse qué tan seguras están, pero al mismo tiempo saber que quienes deberían estar mejor preparados son sus empleados ya que son los que manejan y controlan todo lo que tiene que ver con los sistemas e infraestructura tecnológica.
EL PRESENTE TEXTO ES SOLO UNA SELECCION DEL TRABAJO ORIGINAL. PARA CONSULTAR LA MONOGRAFIA COMPLETA SELECCIONAR LA OPCION DESCARGAR DEL MENU SUPERIOR.