Académique Documents
Professionnel Documents
Culture Documents
Estos pasos son generales y pueden aplicarse con éxito en la documentación de cualquier
tipo de auditoría. Revisemos en detalle cada uno de ellos.
Aunque las fases del hacking las ejecuto sobre Backtrack/Kali Linux, prefiero Windows y
Microsoft Office para escribir el informe, pero eso es cuestión de gustos, muy bien podrían usar
Open Office, Libre Office o cualquier otra suite de productividad.
Tomando en cuenta lo anterior, una recomendación importante es guardar esta información e
es muy probable que su distribución incluya la opción de cifrar el disco entero o la partición
home; pero si se trata de Windows, la historia es otra. En algunas versiones de Windows se
75
incluye la opción de cifrado Bitlocker con el cual podrían cifrar la carpeta de sus proyectos;
lamentablemente existen herramientas de software que pueden romper esta protección; por esta
causa, mi recomendación es que usen un software de encripción de terceros que sea más seguro.
Por ejemplo, podrían usar TrueCrypt(http://www.truecrypt.org/), el cual además de ser
open-
source es multiplataforma y en mi experiencia bastante rápido también. Ahora, debo mencionarles q
cifrado a particiones cifradas con TrueCrypt, pero se basan en tener acceso a las claves de encripci
hibernen su equipo con las particiones cifradas montadas.
Paso 2: Llevar una bitácora
Llevar una bitácora puede ser tan simple como editar un archivo de texto plano y listar las
tareas que hemos ejecutado día a día durante nuestro hacking ético, o tan complejo como usar una
suite para documentación de auditoría.
Independientemente de la opción que elijamos lo importante de este paso es escribir las
tareas ejecutadas todos los días, en el momento que las realicemos. De este modo no olvidaremos
nada importante que debamos mencionar en el informe y en muchos casos será tan fácil como
hacer un copy+paste.
Es usual incluir dentro de la bitácora un resumen de los hallazgos encontrados durante el
día, pero el detalle de los mismos debe llevarse aparte en un registro de hallazgos. Veamos un
ejemplo de bitácora:
El ejemplo previo (Figura 194) es un archivo de texto sencillo en notepad, pero existen
aplicaciones específicas para organizar documentos, muy útiles en una auditoría, como por
ejemplo:
Keepnote (http://keepnote.org/)
Zim (http://www.zim-wiki.org/)
Linked Notes (http://www.linkednotes.com/)
En donde el símbolo # debe ser reemplazado por el número de la imagen para la fase de
hacking manual, por ejemplo si voy en el décimo paso entonces # será 10.
Adicionalmente a la captura de imágenes existen ocasiones en que resulta más conveniente
grabar un video, para ello existen diversas aplicaciones disponibles, algunas open-source, otras
comerciales. Mencionemos algunas:
Para Windows:
Camstudio (http://camstudio.org/)
Camtasia Studio (http://www.techsmith.com/camtasia.html)
Adobe Captivate (http://www.adobe.com/products/captivate.html)
Para Linux:
Cinelerra (http://www.heroinewarrior.com/cinelerra.php)
Kino (http://kinodv.org/)
RecordMyDesktop (http://recordmydesktop.sourceforge.net/)
Nota: La autora está al tanto de que las direcciones IPv4 no pueden contener valores superiores a 255 en un
octeto. Se usa una dirección ficticia 300.x.x.x para no incurrir en violaciones de confidencialidad.
Dradis vs MagicTree
Si bien ambos aplicativos ayudan al auditor en su objetivo de organizar sus hallazgos y
generar informes personalizados, existen algunas diferencias entre ellos, por lo que corresponde
al lector escoger la plataforma que mejor se adapte a su forma de trabajar.
Citemos algunas diferencias:
77
Mientras MagicTree viene preinstalado en distribuciones líderes de seguridad informática como Backtrack /Kali Linux, para
78
instalar Dradis hay que bajarse el respectivo instalador y realizar el proceso de instalación.
Dradis levanta un servicio web, por lo que puede accederse local o remotamente desde cualquier navegador. Esto
proporciona la ventaja de que múltiples auditores pueden conectarse a un proyecto y alimentar la base de datos con sus
hallazgos simultáneamente.
MagicTree por el contrario es un aplicativo de escritorio y no hay una base centralizada, por lo que el uso del mismo es
individual. Sin embargo, varios auditores trabajando en un mismo proyecto podrían importar la estructura de datos (tipo árbol)
de un colega y fusionarla con la propia.
Un punto a favor de MagicTree es la facilidad con la que se pueden generar reportes personalizados a través de consultas
(querys).
Ambos aplicativos permiten importar información en diferentes formatos, siendo el preferido XML, provenientes de las
herramientas más populares de pentesting como Nmap, Nessus, Nexpose, OpenVas, Metasploit, etc.
Con ambos aplicativos el consultor puede generar reportes unificados para incluirlos dentro de su informe de auditoría. Dradis
puede generar archivos de Word y en formato HTML, mientras que MagicTree genera archivos de Word y OpenOffice.
Por supuesto, lo más importante del resumen ejecutivo es que esté escrito de forma
concisa, prescindiendo en lo posible de términos muy técnicos. En conclusión, que no se necesite
un traductor para entenderlo.
Como se ilustra en las Tablas 15 y 16, la mayoría de vulnerabilidades se concentran en los servicios Web (HTTP / HTTPS), las
cuales pueden corregirse casi en su totalidad actualizando las versiones de los servicios afectados o aplicando los parches respectivos
(ver Tabla 4 de la Sección 3 de este informe).
Nota: La autora está al tanto de que las direcciones IPv4 no pueden contener valores superiores a 255 en un
octeto. Se usa una dirección ficticia 300.x.x.x para no incurrir en violaciones de confidencialidad.
Sin embargo, durante el Hacking Manual se detectaron vulnerabilidades críticas en el servicio de correo electrónico de los servidores
mail.abc.com, mail1.abc.com y mail2.abc.com.ec, que no fueron detectadas en su totalidad por las herramientas analizadoras de
vulnerabilidades. Dichas falencias permiten el envío de correos falsos a personeros de ABC - suplantando inclusive identidades
internas - lo que se presta para realizar ataques de phishing, entre otras amenazas electrónicas (nótese la Figura 197).
Adicionalmente fue posible explotar manualmente una vulnerabilidad en el servicio Web del servidor mail2.abc.com, con lo cual
logramos ingresar a dicho equipo – sin necesidad de suministrar credenciales – hecho exhibido en la Figura 198.
Figura 197 – Mail falso en servidor de correo 1 de ABC
Es importante resaltar que en ningún momento se afectó la operación de ninguno de los equipos auditados de ABC.
Recursos útiles
Artículo: How Do I ... Write an Effective Audit Report?79.
Artículo: 10 pasos para escribir informes claros80.
Documentación: Dradis – Documentation81.
Documentación: MagicTree – Documentation82.
Plantilla de informe de auditoría: Security Audit Report for GIAC Entreprises83.