Diferència entre revisions de la pàgina «Hacking ètic»
| Línia 2: | Línia 2: | ||
=== '''Què és el Hacking ètic?''' === | === '''Què és el Hacking ètic?''' === | ||
Hacking ètic és una forma de referir-se a l'acte d'una persona que utilitza els seus coneixements d'informàtica i seguretat per realitzar proves en xarxes i trobar vulnerabilitats, per després reportar-les i que es prenguin les mesures necessàries, sense fer mal. | |||
La idea és tenir el coneixement de quins elements dins d'una xarxa són vulnerables i corregir-ho abans que hi hagi un furt d'informació, per exemple. | |||
Aquestes proves es diuen "'''pentests'''" o "'''penetration tests'''" en anglès. En català es coneixen com a "'''proves de penetració'''", on s'intenta utilitzar múltiples formes de burlar la seguretat de la xarxa per robar informació sensitiva d'una organització, per després reportar-ho a aquesta organització i així millorar la seva seguretat. | |||
Es suggereix a empreses que contractin els serveis d'una empresa que ofereixi el servei de hacking ètic, que la mateixa sigui certificada per entitats o organitzacions amb un bon grau de reconeixement a nivell mundial. | |||
Les persones que fan aquestes proves poden arribar a veure informació confidencial, per tant cert grau de confiança amb el consultor és recomanat. | |||
=== '''Pentesting o proves de Hacking ètic''' === | === '''Pentesting o proves de Hacking ètic''' === | ||
| Línia 7: | Línia 19: | ||
Quan efectuem un hacking ètic és necessari establir l'abast del mateix per poder elaborar un cronograma de treball ajustat a la realitat i, sobre la base d'ell, realitzar la proposta econòmica al client. | Quan efectuem un hacking ètic és necessari establir l'abast del mateix per poder elaborar un cronograma de treball ajustat a la realitat i, sobre la base d'ell, realitzar la proposta econòmica al client. | ||
Per determinar l'abast requerim conèixer com a mínim tres elements bàsics: El '''tipus de hacking''' que anem a efectuar, '''la modalitat del mateix''' i els '''serveis addicionals''' que el client desitgi incloure juntament amb el servei contractat. | Per determinar l'abast requerim conèixer com a mínim tres elements bàsics: El '''tipus de hacking''' que anem a efectuar, '''la modalitat del mateix''' i els '''serveis addicionals''' que el client desitgi incloure juntament amb el servei contractat. | ||
| Línia 32: | Línia 45: | ||
Depenent de la modalitat que el client proveeixi al consultor, el servei de hacking ètic es pot executar en una de les 3 modalitats: Black-box Hacking, Grey-box Hacking, white-box Hacking. | Depenent de la modalitat que el client proveeixi al consultor, el servei de hacking ètic es pot executar en una de les 3 modalitats: '''Black-box Hacking''', '''Grey-box Hacking''', '''white-box Hacking'''. La modalitat escollida afectarà el cost i la durada de les proves d'intrusió, ja que a menor informació rebuda major serà el temps invertit a investigar per part de l'auditor. | ||
Black Box Hacking | |||
=== '''Black Box Hacking''' === | |||
També anomenat Hacking de caixa negra | |||
Si | |||
També anomenat Hacking de caixa negra. Aquesta modalitat s'aplica a proves d'intrusió externes. es diu d'aquesta manera, per que el client solament li proporciona el nom de l'empresa a auditar al consultor, per la qual cosa aquest obra a cegues, la infraestructura de l'organització és una caixa negra per a ell. | |||
Si bé aquest tipus de auditorias es considera mes realista atès que usualment un agressor extern que tria una mata X no té mes informació a l'inici que el nom de l'organització a atacar, també és cert que requereix una major inversió de temps i per tant el cost inclòs és superior també. addicionalment s'ha de notar que l'Hacker ètic – a diferència del Cracker – no compta amb tot el temps del món per efectuar les proves d'intrusió, per la qual cosa la fase preliminar d'indagació no pot estendre's mes institutriu del que en termes pràctics sigui possible per al client en raó de Cost / Temps / Beneficio. | |||
Grey Box Hacking | Grey Box Hacking | ||
cool-cartoon-52625791 | cool-cartoon-52625791 | ||
Revisió del 22:15, 7 juny 2017
Introducció
Què és el Hacking ètic?
Hacking ètic és una forma de referir-se a l'acte d'una persona que utilitza els seus coneixements d'informàtica i seguretat per realitzar proves en xarxes i trobar vulnerabilitats, per després reportar-les i que es prenguin les mesures necessàries, sense fer mal.
La idea és tenir el coneixement de quins elements dins d'una xarxa són vulnerables i corregir-ho abans que hi hagi un furt d'informació, per exemple.
Aquestes proves es diuen "pentests" o "penetration tests" en anglès. En català es coneixen com a "proves de penetració", on s'intenta utilitzar múltiples formes de burlar la seguretat de la xarxa per robar informació sensitiva d'una organització, per després reportar-ho a aquesta organització i així millorar la seva seguretat.
Es suggereix a empreses que contractin els serveis d'una empresa que ofereixi el servei de hacking ètic, que la mateixa sigui certificada per entitats o organitzacions amb un bon grau de reconeixement a nivell mundial.
Les persones que fan aquestes proves poden arribar a veure informació confidencial, per tant cert grau de confiança amb el consultor és recomanat.
Pentesting o proves de Hacking ètic
Quan efectuem un hacking ètic és necessari establir l'abast del mateix per poder elaborar un cronograma de treball ajustat a la realitat i, sobre la base d'ell, realitzar la proposta econòmica al client. Per determinar l'abast requerim conèixer com a mínim tres elements bàsics: El tipus de hacking que anem a efectuar, la modalitat del mateix i els serveis addicionals que el client desitgi incloure juntament amb el servei contractat.
Tipus de Hacking ètic
Depenent d'on s'executin les proves d'intrusió el hacking ètic pot ser intern o extern.
“Hacking Ètic Extern”
Aquest tipus de hacking es realitza des d'Internet sobre la infraestructura de xarxa pública del client; és a dir, sobre aquells equips de l'organització que estan exposats a Internet perquè ofereixen un servei públic (Enrutador, Firewall, Servidor Web, Servidor de Correu, Servidor de noms (DNS), etc …)
“Hacking Ètic Intern”
Com el seu nom suggereix aquest tipus de hacking s'executa a la xarxa interna del client, des del punt de vista d'un empleat de la empresa, un consultor o un associat de negocis que té accés a la xarxa corporativa.
En aquest tipus de proves d'intrusió es sol trobar més buits de seguretat que en la seva part externa, degut a que molts administradors de sistemes es preocupen per protegir el perímetre de la seva xarxa i subestimen l'atacant intern. Això últim és un error ja que els estudis demostren que la majoria d'atacs reeixits provenen de l'interior de l'empresa, com podem veure en la següent imatge de l'empresa Cybsec
Modalitats de Hacking
Depenent de la modalitat que el client proveeixi al consultor, el servei de hacking ètic es pot executar en una de les 3 modalitats: Black-box Hacking, Grey-box Hacking, white-box Hacking. La modalitat escollida afectarà el cost i la durada de les proves d'intrusió, ja que a menor informació rebuda major serà el temps invertit a investigar per part de l'auditor.
Black Box Hacking
També anomenat Hacking de caixa negra. Aquesta modalitat s'aplica a proves d'intrusió externes. es diu d'aquesta manera, per que el client solament li proporciona el nom de l'empresa a auditar al consultor, per la qual cosa aquest obra a cegues, la infraestructura de l'organització és una caixa negra per a ell.
Si bé aquest tipus de auditorias es considera mes realista atès que usualment un agressor extern que tria una mata X no té mes informació a l'inici que el nom de l'organització a atacar, també és cert que requereix una major inversió de temps i per tant el cost inclòs és superior també. addicionalment s'ha de notar que l'Hacker ètic – a diferència del Cracker – no compta amb tot el temps del món per efectuar les proves d'intrusió, per la qual cosa la fase preliminar d'indagació no pot estendre's mes institutriu del que en termes pràctics sigui possible per al client en raó de Cost / Temps / Beneficio. Grey Box Hacking cool-cartoon-52625791 El Grey box o hacking de caixa grisa sol utilitzar-se com a sinònim per referir-se a les proves d'intrusió internes. però alguns auditors els criden també Gray-Box-Hacking a una prova externa a la qual el client proporciona informació limitada sobre els equips públics a ser auditats. Exemple: un llistat amb dades com les adrecis IP i el Tipus/Funció de l'equip (Router, Firewall, Web-Server, etc… ). Quan l'acabo s'aplica a proves internes es denomina així per que el consultor rep per part del client els accessos solament que tindria un empleat de l'empresa, és a dir, un punt de xarxa per a l'estació de auditoria i dades de configuració local (IP, Mastegués de subxarxa, Gateway i DNS); però no li revela informació addicional com per exemple: Usuari /Clau per ingressar al domini / l'existència de Subxarxes annexes Etc. white Box Hacking tres El Hacking de caixa blanca, algunes vegades denominat Hacking Transparent. Aquesta modalitat s'aplica a proves d'intrusió solament i es diu d'aquesta forma per que l'empresa client li dóna a l'auditor informació completa de les xarxes i els sistemes a auditar. És a dir, que ademas d'assignar-li un punt de xarxa i informació de configuració per a l'estació de auditoria, com en el Hacking de caixa grisa el consultor rep informació extensa com a diagrames de xarxa, llistat detallat d'equips a auditar incloent noms, tipus, plataformes, serveis principals, adrecis IP, informació sobre subxarxes remotes, etc.. a causa que el consultor evita investigar tota aquesta informació per si mateix, aquest tipus de Hacking sol prendre menys temps per executar-se i per tant redueix costos també. Serveis de Hacking Addicionals Depenent de l'experiència del consultor o de l'empresa auditora, és probable que se li ofereixi serveis addicionals al client que poden incloure's en el Hacking Ètic extern o intern. Entre els serveis addicionals mes populars Entre els serveis addicionals més populars tenim: enginyeria social, wardialing, wardriving, equip robat i seguretat física.
