Hola a todos,
En este post explicaremos la metodología que se va a seguir durante la resolución de máquinas y laboratorios:
El pentesting es una serie de ataques simulados dirigidos a un sistema con el único propósito de encontrar y reparar las vulnerabilidades para que no puedan ser explotadas. Estas auditorías comienzan recopilando información sobre organizaciones, empleados, usuarios, sistemas y dispositivos de fuentes de acceso abierto. Finalmente, se genera un informe que indica si el ataque tendrá éxito, por qué y qué información o acceso recibirá la información contenida en el mismo.
Un pentesting suele dividirse en varias fases, entre 5 y 7, siguiendo una metodología, con el fin de poder estructurar la información obtenida de la manera más adecuada posible :
Alcance
Es el primer paso antes de realizar la auditoria, donde el pentester se reúne con el cliente para tratar el alcance de la auditoria:
Finalidad o ámbito
Se ofrecen diferentes tipos de pruebas y ataques para encontrar los fallos según los requerimientos de solicitados por el cliente.
Tipos de auditoria
- Caja negra: el pentester no conoce ningún dato del cliente y actúa fuera de su red.
- Caja gris: el pentester actúa como cliente o usuario de la empresa donde realiza la auditoria
- Caja blanca: el pentester actúa como usuario interno teniendo acceso a todos los sistemas del cliente.
Compromisos legales
El pentester debe firmar un acuerdo con el cliente donde manifieste que no facilitará ninguna información encontrada y acordando acceder solo a los sistemas indicados por el cliente, ya que las actuaciones del auditor podrían comprometer el funcionamiento de los sistemas y acceso a contenido personal.
Reconocimiento
Esta fase dependerá del tipo de auditoria establecida:
Caja negra
El pentester deberá obtener toda la información posible desde fuentes abiertas y accesibles, generalmente mediante técnicas OSINT(Open-Source Intelligence).
Caja gris/blanca
El pentester deberá enumerar todos los servicios disponibles en los sistemas acordados para atacarlos en las siguientes fases.
Evaluación de vulnerabilidades
En esta fase se debe buscar e identificar todas las vulnerabilidades potenciales en los sistemas auditados. Esto se puede hacer mediante el uso de contraseñas débiles o predeterminadas, vulnerabilidades del servicio obsoleto o configuraciones incorrectas que permiten a los usuarios normales realizar tareas con altos privilegios.
Intrusión
Tras descubrir las vulnerabilidades disponibles en el sistema, se desarrolla un plan de acción para intentar acceder al sistema, definiendo técnicas y herramientas que se utilizarán para explotar las vulnerabilidades.
Post-Explotación
Tras conseguir acceso como usuario con bajos privilegios (si esto se acontece), el pentester intentará conseguir permisos de administración para instalar una puerta trasera para conseguir persistencia en los sistemas.
Recolección y eliminación de “huellas”
Tras la ejecución de las vulnerabilidades, se debe realizar una limpieza de los sistemas vulnerados, desde los scripts y/o binarios u otros tipos de archivos utilizados temporalmente. Por otro lado, la configuración del sistema también debe restaurarse a su estado anterior a la auditoría original y debe eliminarse la puerta trasera.
Informe
En esta última fase se deben realizar dos tipos de informes:
Informe técnico
Donde se informa de manera descriptiva todas las vulnerabilidades encontradas y las posibles soluciones a estas, este informe va dirigido hacía el equipo técnico del cliente.
Informe ejecutivo
Se informa de manera comercial, identificando riesgos y los resultados obtenidos, para que el cliente pueda decidir los puntos a reparar o identificar que riesgos puede asumir, enfocado a la parte económica y directiva del cliente.
Saludos.