Introducciónal
Pentesting
@ingbruxo
2do. Día del Software Libre
Free Security, Tuxtepec Oaxaca
Antonio Toriz
Ing. en computación
Marzo2012.

¿Qué es unpentesting?
Un Penetration Testing o pentesting, es un procedimiento metodológico y
sistemático en el que se simula un ataque real a una red o sistema, con el
fin de descubrir y reparar problemas de seguridad.
¿Hassido penetrado?
@ingbruxo
Introducción al pentesting.

El proceso implica un análisis activo del sistema de las vulnerabilidades
potenciales que podrían resultar de mala o incorrecta configuración del
sistema, tanto conocidas como desconocidas fallas de hardware o
software.
@ingbruxo
Introducción al pentesting.

Este análisis se lleva a cabo desde la posición de un atacante potencial y
puede implicar la explotaciónactivade vulnerabilidades de seguridad.
Los problemas de seguridad descubiertos a través de la prueba de
penetración se presentan para eldueño del sistema.
@ingbruxo
Introducción al pentesting.

@ingbruxo
Introducción al pentesting.

El pentester debe tener conocimientos en programación para la creación
de herramientas y códigos, procesamientos sistemáticos de pruebas,
creación de documentaciones, escritura de reportes y presentar resultados
de sus investigaciones atécnicos y áreas de administración.
@ingbruxo
Introducción al pentesting.

¿Para qué se hacen las pruebas?
Las pruebas de penetración son valiosas y necesarias por varias razones:
Determinar la viabilidad de un determinado conjunto de vectores de
ataque.
La identificación de las vulnerabilidades de alto riesgo que resultan de una
combinación de menor riesgo vulnerabilidades explotadas
en unasecuenciaparticular.
@ingbruxo
Introducción al pentesting.

Pruebas de Penetraciónvs Auditoría
•
• Auditoría
-Análisis.
• Losarchivosdeconfiguración.
• Arquitectura.
• Códigofuente.
-Políticadeconformidad.
• Planesy ProcedimientosOperacionales.
@ingbruxo
Introducción al pentesting.

Pruebas de Penetraciónvs Auditoría
• PruebasdePenetración
- Simulacióndeunatacantemotivadoporunacantidadespecíficade tiempo.
- CajaNegra (procedimientosdeauditoriaa una aplicaciónsinconocimiento
delcódigofuenteysininformaciónprivilegiada).
- CajaBlanca (cuandosetieneinformacióntotalsobrela aplicaciónauditada,
incluyetambiénsaber elcódigofuente).
-Esmás comounainstantáneadela seguridadactualdeunsistemaounde
procesosdenegocio.
@ingbruxo
Introducción al pentesting.

¿Dóndeaplica?
Una prueba de penetración debe llevarse a cabo en cualquier sistema
informático que se va a implementar en un entorno hostil, en particular,
los de Internet previo a que este se implemente (hay excepciones).
@ingbruxo
Introducción al pentesting.
Esto proporciona un nivel de aseguramiento
contra cualquier usuario malicioso, el cual no será
capaz de penetrar en elsistema.

Las pruebas de penetración se pueden realizar de variasmaneras.
La forma más común es la cantidad de conocimiento de los detalles de
implementación del sistema que se prueba, los cuales deben conocer los
pentesters.
Existen estándares como ISO/IEC 17799 para correcto uso de la seguridad
de la información y metodologías como NIST SP 800-42.
@ingbruxo
Introducción al pentesting.

@ingbruxo
Introducción al pentesting.
Clientesolo dadominiooIP.
Porejemplo:
Telmex.com
200.33.146.193
Identificarpuertos
prendidosyservicios queestacorriendo:puedeserTCP/UDP

@ingbruxo
Introducción al pentesting.
Conocer la información de la configuración del equipo, para ello usamos un Dirlist (lista de directorios)
porequipoen especifíco.

@ingbruxo
Introducción al pentesting.
Usamos Nessus, retina o algún otro scanner de puertos para conocer vulnerabilidades en puertos
activos.
Posteriormentehacemos pruebasespecíficasparacadatipodeservicio opuerto.

@ingbruxo
Introducción al pentesting.
Si haypuertoswebse
hacen pruebas manuales o automáticas para
saberquemétodosestánpermitidos.

@ingbruxo
Introducción al pentesting.
Obtención deversióndeservidor,páginasdebienvenida, IP,http,https,conocersubdominiosy todolo
quesepuedasacar.
Hacer Ingeniería reversay/o ataquesalservidor,porejemplo con XSS,DDOSentreotros.
Al final se hace un reporte el cual se entrega a la empresa que nos contrato para saber si es segura su
web,en la cualseredactanlasrecomendaciónesyprioridadesen casode
queexistan.

Identificación de las vulnerabilidades que pueden ser difíciles o
imposibles de detectar con lared automatizada.
Debe existir capacidad de los defensores de la red para detectar con éxito
y responder a los ataques.
Elementos de prueba de apoyar una mayor inversión en personal de
seguridad ytecnología.
@ingbruxo
Introducción al pentesting.

Cada día hay más empresas preocupadas por capacitar a su personal
informático, actualmente existen cursos incluso en línea para aprender
técnicasde pentesting.
En México ya es común encontrar vía Internet ofertas laborales donde se
solicitaexpertos en seguridad informática
especializados en pruebas de penetración web.
Curso Back°Track5
Hector López
http://vimeo.com/cursobacktrack5
@ingbruxo
Introducción al pentesting.

Lo que debesde sabero hacer
• Idioma inglés.
• Almenos manejar 3 lenguajes de programación.
• Conocer almenos 3 sistemas operativos.
• Estar consciente de que nada es realmente seguro.
• Hacer diversas pruebas de ataquea tus propios equipos.
• Leer libros serios sobre seguridad informática.
• Conocer leyes de seguridad informática.
@ingbruxo
Introducción al pentesting.

Oportunidadeslaborales
• Ser un pentester en Méxicoaún no esta saturado.
• El pago a un pentester es alto en México, pero se requiere mucha
habilidad, experiencia y certificaciones.
• Las empresas que contratan a hackers éticos «(pentester), facilitan la
capacitaciónen elextranjero.
@ingbruxo
Introducción al pentesting.

¿Aquiénseguir?
AndrézVelázquez
@cibercrimen
Héctor López
@hlixaya
Código Verde
@codigoverde
Roberto Martínez
@r0bertmart1nez
EnriqueSánchez
@nahualito
´Pedro Joaquín
@_HKM
Paulino Calderon
@calderpwn
Sandino Araico
@kbrown
Alejandro Hernández
@nitr0usmx
@ingbruxo
Introducción al pentesting.

¿Preguntas?
@ingbruxo
Introducción al pentesting.

www.antoniotoriz.com
antoniotorizc@gmail.com
@ingbruxo
@ingbruxo
Introducción al pentesting.
Free
Security