Hoy en día un proceso de Ethical Hacking dispone de distintos agregados, aunque su raiz son los tres tipos de auditoría anteriormente comentados. Aunque las que se estudian a continuación no son todas las pruebas o agregados al proceso, son las más relevantes y utilizadas en estos procesos.
Pruebas de stress: DOS/DDOS:
Este agregado es una de las pruebas más temidas por las empresas y grandes corporaciones. Generalmente, cuando una empresa contrata una auditoria intenta evitar esta prueba, ya que su fama no es muy grata. Hay que hacer hincapié en que son las grandes empresas, como bancos, consultoras, operadoras las que se atreven a llevar a cabo este tipo de pruebas.
Hay que tener claro que son pruebas interesantes para estudiar la viabilidad con la que la empresa puede dejar de ofrecer servicio. Este hecho puede ser crítico, ya que si la producción de ésta depende del servicio continuo en la red, habría que llevarla a cabo con el máximo cuidado posible. Muchos no ven con buenos ojos estas pruebas precisamente por este hecho, pero una de las máximas del Ethical Hacking dice que: "Si no se prueba de manera controlada, habrá un usuario malicioso que lo hará". Con esta frase queda claro que si no se realiza, no quiere decir que llegue un usuario malicioso y lo provoque, generando pérdida de servicio y posiblemente de dinero.
Se tiene que diferenciar entre pruebas de DOS, Denial Of Service, y DDOS, Distributed Denial Of Service. Una prueba de DOS intenta sobrecargar el ancho de banda de un equipo mediante la inundación de la red de paquetes TCP/UDP. Este hecho, bien realizado, dejará inaccesible a otras máquinas al servidor o al target. Por otro lado, una prueba de DDOS, es muy similar a una prueba de DOS, salvo que el origen del "bombardeo" de paquetes y conexiones viene de cientos o miles de máquinas alrededor de máquinas, y en el caso de la prueba de DOS no. Generalmente, un ataque DDOS suele realizarse desde una red de equipos zombies, es decir, una botnet. Una cosa se debe recordar y es que en un proceso de Ethical Hacking para una empresa u organización no se podrá alquilar ni utilizar una botnet, con el fin de cubrir esta prueba. En este libro se estudiarán algunos métodos ingeniosos para llevar a cabo la prueba.
El rol que se toma en esta prueba es el de un usuario o grupo de usuarios maliciosos, los cuales quieren provocar un impacto sobre el servicio de una organización con el fin de dejarla inaccesible. De esta manera pueden provocar daño en la imagen corporativa, el cual se traduce en pérdidas, o incluso cortar la producción de su actividad, generando inmediatamente un impacto en la economía de la organización.
APT: Amenazas avanzadas persistentes
Los APT, Advanced Persistent Threat, es un agregado al proceso bastante novedoso. Un APT consiste en realizar un ataque o conjunto de ataques sobre una muestra de personas o empleados de una empresa simulando un ataque dirigido hacia personas de interés. En otras palabras, el rol del auditor es la de una persona maliciosa y externa, en la mayoría de las ocasiones, a la entidad la cual investigará a un conjunto de empleados averiguando información de ellos y realizará un ataque para lograr obtener el control de la máquina o dispositivo de éstos, lograr sus credenciales teniendo acceso a información bajo su identidad, o utilizándolos para llegar a otras personas de mayor interés. ¿Por qué llevar a cabo estas pruebas? Por lo general, los grupos, como gobiernos, personas con poder mediático, directivos de empresas grandes e importantes se encuentran amenazados en Internet por el espionaje. Existen usuarios maliciosos, incluyendo espionaje entre empresas, entre gobiernos o paises, los cuales quieren utilizar ciertas técnicas de recogida de información para acceder a datos sensibles de sus objetivos.
Por ejemplo, se pueden utilizar medios o dispositivos infectados, comprometiendo los equipos de los usuarios a los que se amenaza, ingenieria social para conseguir que estos usuarios ejecuten ciertos archivos, etcétera. Generalmente, un solo hacker no dispone de los recursos para realizar el ataque tan avanzado y persistente como pueden hacerlo los gobiernos o entidades grandes.
Fuga de información interna:
Esta prueba del proceso es un agregado novedoso en el que se asume el rol de un empleado, el cual a priori no tiene porqué disponer de privilegios. Se suele denominar a la prueba como análisis de fuga de información para conseguir detectar canales o vectores por los que un empleado puede sacar información sensible al exterior de la organización.
A priori, la prueba puede parecer fácil, pero en un entorno critico esto se puede convertir en una tarea realmente costosa. El objetivo del auditor es el de estudiar distintos tipos de vias, que no dejen "huella" y por los que pueda recuperar la información en el exterior. Un ejemplo sencillo es la posibilidad de asumir un rol de un empleado de finanzas, el cual puede querer vender información critica de la organización, pero para ello debe sacar dicha información de su equipo. No dispone de acceso a los dispositivos USB o extraíbles, además, su equipo dispone de seguridad fisica, por lo que no puede abrir el equipo. El hombre de finanzas debe utilizar un medio como el correo electrónico, pero este es monitorizado y se registra todo envio, por lo que seria fácilmente rastreable. Además, si se intenta utilizar cifrado en el correo, automáticamente el correo será bloqueado, y se le pedirá
explicaciones. El navegador del empleado dispone de plugins los cuales no permiten añadir adjuntos a los correos webmail, y los sitios web de almacenamiento en la nube se encuentran bloqueados por proxy, quedando registrado su intento de acceso. Como se verá más adelante este tipo de pruebas. pueden ser más complejas de lo que se puede pensar.
Comunicaciones wireless & VOIP:
Otro de los agregados al proceso de Ethical Hacking es el conjunto de técnicas para auditar las comunicaciones de la organización. Generalmente, una organización dispone de las comunicaciones internas o redes de datos, donde se encuentran las DMZ, la Intranet, y otras redes suplementarias de interés. Aunque hoy en día y cada vez más, se implantan una serie de redes para permitir distintos tipos de comunicaciones, como son las comunicaciones inalámbricas a través de las redes wireless, y las redes de voz, con la implantación de las comunicaciones VOIP, Voice Over IP.
En el proceso de auditar las comunicaciones wireless se llevan a cabo distintas pruebas con el fin de determinar el nivel de seguridad y confidencialidad que proporcionan la configuración de dichas redes. Es altamente probable que ocurran anomalías en este tipo de redes, ya que se suelen implantar como red de invitados en las empresas, por lo que no se tiene en cuenta todo el impacto que puede tener si un empleado, no técnico, utiliza esa red para realizar su labor. Por otro lado, se suelen encontrar cifrados no óptimos o configuraciones erróneas en las redes wireless empresariales, lo cual puede desembocar en una vía de entrada a la organización o la información de ésta.
En el proceso para auditar las comunicaciones VOIP se llevan a cabo distintas pruebas, donde el auditor asumirá el rol de empleado con un dispositivo VOIP a su disposición. El auditor se conectará la red de voz donde realizará la auditoría. El objetivo es verificar una serie de pautas para evaluar el status de seguridad de la arquitectura e infraestructura de la red. Estas pruebas identificarán servidores, terminales y realizarán pruebas para verificar la configuración general de los terminales de los empleados. Una prueba que puede provocar la detección de una falla importante de seguridad es la reconstrucción de paquetes, pudiendo obtener la conversación entre dos empleados, dejando a la luz un fallo de seguridad de confidencialidad grave.
La importancia del rol:
Un proceso de Ethical Hacking está guiado por el rol que los auditores van tomando en cada actividad que se va realizando. Como se ha podido estudiar en el apartado de auditorías o en los apartados anteriores, el auditor va asumiendo distintos roles que simulan ser usuarios o empleados en un instante concreto y con circunstancias concretas. Es por este hecho que se dice que el proceso viene guiado por el rol, y por ello éste dispone de tanta importancia.
Es realmente interesante anunciar en el apartado de documentación o informes qué rol se ha asumido en cada actividad realizada. De este modo, no será relevante si quién visualiza la documentación o informe no dispone de conocimientos, ya que podrá entender mediante el rol porque se ha realizado la prueba y qué se estaba simulando en cada instante.
