10 de junio de 2008

EL 'ETHICAL HACKING' O HACKERS SIMULADOS

Hoy día hay una enorme necesidad de seguridad en las redes de computadoras. Pero esto no es casualidad: nuestra vida diaria depende de una manera impresionante de los sistemas informáticos. Además, la evolución rápida y la demanda por la tecnología han traído como consecuencia que los programadores de software, en muchas ocasiones, releguen la seguridad a segunda prioridad.
Es ante esta falta de seguridad donde hacen su festín los hackers. Desde individuos a corporaciones multimillonarias caen víctimas de estos piratas informáticos a diario.Y es aquí donde entonces juega un papel relevante el Ethical Hacking o Hacking Ético. Una disciplina de la seguridad de redes que se sustenta en el hecho de que para estar protegido se debe conocer cómo operan y qué herramientas usan los hackers.Estos llamados hackers éticos (PEN-TESTER, por sus siglas en inglés) desarrollan lo que en la jerga de seguridad se conoce como Prueba de Penetración, (PEN-TEST por sus siglas en inglés). Durante este proceso se realiza una prueba manual, intensiva y controlada y de común acuerdo con el cliente usando las herramientas y técnicas usadas por los hackers.
Entonces se explotan las vulnerabilidades que existan en el sistema “objetivo” para ganar acceso y “demostrar” que un sistema es violable.Este tipo de prueba es favorito de las juntas directivas de las empresas porque permite realmente evaluar si una determinada compañía será víctima y que tan cercano a la realidad es el riesgo.El hacker ético intentará penetrar desde fuera de la red de la compañía, o sea desde internet. O podría realizar la prueba simulando ser un hacker interno desde dentro.Dependiendo de si el desarrollo de la prueba es conocida por el personal de informática o no, entonces encontramos dos modalidades: Red Teaming y Blue Teaming. En la primera, una prueba encubierta, sólo un selecto grupo de ejecutivos la conoce. Aquí se pueden usar técnicas de Ingeniería Social para obtener información que permita el ataque. En la segunda, el personal de informática conoce sobre el PEN-TEST.
La primera, evidentemente, es más real y evita que se realicen "cambios de última hora" para tratar de adecuar la red, previo a la prueba.Para la realización de una Prueba de Penetración hay varios aspectos legales que deben ser tomados en cuenta, tanto por el PEN-TESTER como por la compañía que contrata. Estos aspectos incluyen, entre otros, el tema de la confidencialidad, de forma tal que la información recibida por el consultor no sea usada más allá de los fines de la prueba. Se debe contemplar claramente en el contrato cuál es el objetivo de la prueba. Ejemplos de ello podría ser un sitio web, o un servidor de intranet.La compañía "objetivo" o aquella que contrata debe garantizar la certeza y exactitud de la información que provee al PEN-TESTER. Es decir, esta información debe ser fidedigna, de tal forma que la prueba no arroje resultados sesgados.
También es importante definir el tiempo total de la prueba, que debe incluir el tiempo de ejecución de la prueba y la entrega del reporte con los resultados.Un tema importante es la responsabilidad del PEN-TESTER en términos económicos. Esta por lo general no es mayor al valor del contrato.Finalmente, existe confusión sobre las diferencias entre una Prueba de Penetración y un Análisis de Vulnerabilidades. Esta última es también una prueba, pero más automática, realizada con un software que asocia las vulnerabilidades encontradas con computadoras, servidores y aplicaciones en una red. Dada su naturaleza automática, son limitadas las posibilidades de simular las capacidades de los hackers, y además, en ocasiones se obtienen "falsos positivos" o resultados que indican una vulnerabilidad que realmente no existe.

No hay comentarios:

Soy Orlando Jara, de la ciudad de Piura, ciudad al norte del Perú, soy abogado. Mi email es orlandojara22@hotmail.com, si desean escribir o comentar algo personal por favor escribirme.