- Seguridad informática
- ¿Quiénes son los ETHICAL HACKERS?
- OSSTMM
- ISSAF
- OTP (OWASP Testitng Project)
- Conclusiones
- Bibliografía
- Anexos
Introducción
Las computadoras alrededor del mundo están siendo víctimas sistemáticamente de ataques de hackers (piratas informáticos), capaces de comprometer un sistema, robar todo lo valioso y borrar completamente la información en pocos minutos. Por esta razón resulta de vital importancia conocer si los sistemas informáticos y redes están protegidos de todo tipo de intrusos.
Precisamente el objetivo fundamental de Ethical Hacking, es, brindar ayuda a las organizaciones para que tomen todas las medidas preventivas en contra de agresiones maliciosas, valiéndose para ello de los test de intrusión, que evalúan la seguridad técnica de los sistemas de información, redes de computadoras, aplicaciones web, servidores, etc. El servicio consiste en la simulación de ataques hostiles controlados y la realización de actividades propias de delincuentes informáticos, esta filosofía resulta de la practica probada: "Para atrapar a un ladrón debes pensar como un ladrón".
A continuación se describen en detalle los diferentes enfoques a los que se orientan los tests de intrusión que aplican las empresas dedicadas a brindar servicios de ethical hacking, sus fases y las principales metodologías en las que se apoyan los especialistas para realizar dichas operaciones.
1. Breve introducción al tema€¦
1.1 Seguridad informática
La seguridad informática consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.
En la actualidad dicho concepto debe ser incorporado de manera obligatoria en el proceso de desarrollo de un software, desde las fases iniciales de su diseño hasta su puesta en funcionamiento, sin embargo la realidad es otra y la seguridad es incorporada en una aplicación como producto de una reflexión tardía a la fase de diseño inicial del producto. El desarrollador no sólo debe concentrarse únicamente en los usuarios y sus requerimientos, sino también en los eventos que puedan interferir con la integridad del software y la información que éste maneja.
Para garantizar la seguridad informática se requiere de un conjunto de sistemas, métodos y herramientas destinados a proteger la información, en este punto es donde entran a desempeñar un rol protagónico las empresas dedicadas a brindar servicios orientados a estos menesteres, uno de esos servicios lo constituye precisamente el caso que ocupa este trabajo, los servicios de ethical hacking, disciplina de la seguridad de redes que se sustenta en el hecho de que para estar protegido se debe conocer cómo operan y qué herramientas usan los hackers.
1.2 ¿Quiénes son los ETHICAL HACKERS?
Ethical Hackers son redes de computadoras y expertos que atacan sistemas informáticos en nombre de sus propietarios, con los mismos métodos que sus homólogos, en busca de posibles fallas de seguridad con la finalidad de brindar un informe de todas las vulnerabilidades encontradas que podrían ser aprovechadas por los piratas informáticos.
Para tales fines los ethical hackers han desarrollado lo que se conoce como pruebas de penetración, (PEN-TEST por sus siglas en inglés).
2. Tests de intrusión.
Una prueba de penetración es un paso previo natural a todo análisis de fallas de seguridad o riesgo para una organización. A diferencia de un análisis de vulnerabilidades, una prueba de penetración se enfoca en la comprobación y clasificación de las mismas; y no en el impacto que estas tienen sobre la organización.
2.1 Tipos de Tests de intrusión.
Las empresas que se dedican a realizar pruebas de penetración, luego de analizar las necesidades del cliente, las enfocan en las siguientes perspectivas:
Tests de intrusión con objetivo: se busca las vulnerabilidades en componentes específicos de los sistemas informáticos que son de mayor importancia para la empresa.
Tests de intrusión sin objetivo: a diferencia de la prueba de penetración con objetivo esta prueba examina la totalidad de los componentes en los sistemas informáticos presentes en la empresa.
Página siguiente |