Hacking ètic
Introducció
Què és el Hacking ètic?
Hacking ètic és una forma de referir-se a l'acte d'una persona que utilitza els seus coneixements d'informàtica i seguretat per realitzar proves en xarxes i trobar vulnerabilitats, per després reportar-les i que es prenguin les mesures necessàries, sense fer mal.
La idea és tenir el coneixement de quins elements dins d'una xarxa són vulnerables i corregir-ho abans que hi hagi un furt d'informació, per exemple.
Aquestes proves es diuen "pentests" o "penetration tests" en anglès. En català es coneixen com a "proves de penetració", on s'intenta utilitzar múltiples formes de burlar la seguretat de la xarxa per robar informació sensitiva d'una organització, per després reportar-ho a aquesta organització i així millorar la seva seguretat.
Es suggereix a empreses que contractin els serveis d'una empresa que ofereixi el servei de hacking ètic, que la mateixa sigui certificada per entitats o organitzacions amb un bon grau de reconeixement a nivell mundial.
Les persones que fan aquestes proves poden arribar a veure informació confidencial, per tant cert grau de confiança amb el consultor és recomanat.
Pentesting o proves de Hacking ètic
Quan efectuem un hacking ètic és necessari establir l'abast del mateix per poder elaborar un cronograma de treball ajustat a la realitat i, sobre la base d'ell, realitzar la proposta econòmica al client. Per determinar l'abast requerim conèixer com a mínim tres elements bàsics: El tipus de hacking que anem a efectuar, la modalitat del mateix i els serveis addicionals que el client desitgi incloure juntament amb el servei contractat.
Tipus de Hacking ètic
Depenent d'on s'executin les proves d'intrusió el hacking ètic pot ser intern o extern.
“Hacking Ètic Extern”
Aquest tipus de hacking es realitza des d'Internet sobre la infraestructura de xarxa pública del client; és a dir, sobre aquells equips de l'organització que estan exposats a Internet perquè ofereixen un servei públic (Enrutador, Firewall, Servidor Web, Servidor de Correu, Servidor de noms (DNS), etc …)
“Hacking Ètic Intern”
Com el seu nom suggereix aquest tipus de hacking s'executa a la xarxa interna del client, des del punt de vista d'un empleat de la empresa, un consultor o un associat de negocis que té accés a la xarxa corporativa.
En aquest tipus de proves d'intrusió es sol trobar més buits de seguretat que en la seva part externa, degut a que molts administradors de sistemes es preocupen per protegir el perímetre de la seva xarxa i subestimen l'atacant intern. Això últim és un error ja que els estudis demostren que la majoria d'atacs reeixits provenen de l'interior de l'empresa, com podem veure en la següent imatge de l'empresa Cybsec
Modalitats de Hacking
Depenent de la modalitat que el client proveeixi al consultor, el servei de hacking ètic es pot executar en una de les 3 modalitats: Black-box Hacking, Grey-box Hacking, white-box Hacking. La modalitat escollida afectarà el cost i la durada de les proves d'intrusió, ja que a menor informació rebuda major serà el temps invertit a investigar per part de l'auditor.
Black-Box Hacking
També anomenat Hacking de caixa negra. Aquesta modalitat s'aplica a proves d'intrusió externes. es diu d'aquesta manera, per que el client solament li proporciona el nom de l'empresa a auditar al consultor, per la qual cosa aquest obra a cegues, la infraestructura de l'organització és una caixa negra per a ell.
Si bé aquest tipus d'auditories es considera més realista atès que usualment un agressor extern que tria una víctima X no té mes informació a l'inici que el nom de l'organització a atacar. També és cert que requereix una major inversió de temps i per tant el cost inclòs és superior també. Addicionalment s'ha de notar que el Hacker ètic – a diferència del Cracker – no compta amb tot el temps del món per efectuar les proves d'intrusió, per la qual cosa la fase preliminar d'indagació no pot estendre's més intrusió del que en termes pràctics sigui possible per al client en raó de Cost / Temps / Benefici.
Grey-Box Hacking
El Grey-box o hacking de caixa grisa sol utilitzar-se com a sinònim per referir-se a les proves d'intrusió internes. Però alguns auditors anomenen també Gray-Box Hacking a una prova externa a la qual el client proporciona informació limitada sobre els equips públics a ser auditats. Exemple:
- un llistat amb dades com les adreces IP i el Tipus/Funció de l'equip (Router, Firewall, Web-Server, etc… ).
Quan el terme s'aplica a proves internes es denomina així perquè el consultor rep per part del client els accessos només que tindria un empleat de l'empresa, és a dir, un punt de xarxa per a l'estació de auditoria i dades de configuració local (IP, mascares de subxarxa, Gateway i DNS); però no li revela informació addicional com per exemple:
- Usuari /Clau per ingressar al domini / l'existència de Subxarxes annexes Etc.
White-Box Hacking
El Hacking de caixa blanca, algunes vegades denominat Hacking Transparent, s'aplica a proves d'intrusió solament i es diu d'aquesta forma per que l'empresa client li dóna a l'auditor informació completa de les xarxes i els sistemes a auditar. És a dir, que a més d'assignar-li un punt de xarxa i informació de configuració per a l'estació de auditoria, com en el Hacking de caixa grisa el consultor rep informació extensa com a diagrames de xarxa, llistat detallat d'equips a auditar incloent noms, tipus, plataformes, serveis principals, adreces IP, informació sobre subxarxes remotes, etc.. a causa que el consultor evita investigar tota aquesta informació per si mateix, aquest tipus de Hacking sol prendre menys temps per executar-se i per tant redueix costos també.
Serveis de Hacking Addicionals
Depenent de l'experiència del consultor o de l'empresa auditora, és probable que se li ofereixi serveis addicionals al client que poden incloure's en el Hacking Ètic extern o intern. Entre els serveis addicionals més populars tenim: enginyeria social, wardialing, wardriving, equip robat i seguretat física.
