Hacking del correo electrónico
9 noviembre, 2016En este artículo voy a intentar explicar cómo se debería abordar una auditoría WIFI cuando nos sea solicitada por un cliente o cuando la incluyamos dentro de las pruebas a realizar en una auditoría mayor, como puede ser en el caso de la implementación de la normativa ISO 27001 en una empresa.
Para realizar una auditoría ética de un sistema WIFI, lo primero que haría sería preparar un “plan de trabajo” que incluiría una serie de pasos a realizar (Fases) y cuyos resultados servirían para elaborar el informe a presentar al cliente.
Básicamente los pasos del proceso serían los siguientes:
La Fase 1 consistiría en la planificación de la propia auditoría: alcance de la misma, implicaciones legales, estrategia a seguir, tipo activo o pasivo, tipo de herramientas a utilizar, etc.
La Fase 2 consistiría en la parte práctica de la auditoría: reconocimiento de los puntos de acceso, clientes conectados, nivel de seguridad, identificación del hardware utilizado, mapa de cobertura, VPNs, zonas de sombra, etc.
La Fase 3 consistiría en la búsqueda y la explotación de las vulnerabilidades encontradas: “crackeo” de contraseñas, ataque a sistemas, vulneración de la seguridad, identificación de usuarios, suplantación de identidad, etc.
La Fase 4 consistiría en la elaboración del informe en donde se plasmarían los procedimientos seguidos, las herramientas utilizadas, los fallos encontrados, las conclusiones y las recomendaciones de seguridad, tanto a nivel de hardware como de software.
Evidentemente, los pasos a seguir, así como el alcance del informe, vendrían determinados por el encargo realizado por el cliente. Lo aquí expuesto es sólo una aproximación y un resumen de cómo se podría realizar el proceso.
FASE 1. PREPARACIÓN DE LA AUDITORÍA
En esta fase lo más importante es determinar el alcance de la auditoría que desea contratar el cliente, ya que su efecto puede poner en riesgo el funcionamiento de la plataforma WIFI o de la red cliente. Hay que tomar en consideración si se va a realizar una auditoría de “caja negra”, de “caja blanca” o de “caja gris” porque los procedimientos y las consecuencias legales que se deriven de ella son distintas para cada caso.
En el caso de las auditorías de caja negra, el auditor se comportaría como un hacker que intenta vulnerar la seguridad del sistema sin conocer previamente ningún tipo de información sobre las características de los sistemas del cliente. Partiendo de esta base intentaría enumerar y ganar acceso a los sistemas tecnológicos de la compañía.
En el caso de las auditorías de caja gris, el auditor utiliza el rol de un empleado que tiene acceso a la red pero que no cuenta con acceso total a todos los sistemas. A partir de ese punto intentaría ganar el acceso a equipos para los que no tenga autorización.
En el caso de las auditorías de caja blanca, el auditor tiene acceso sin límites prácticamente a todos los sistemas de la red. Y partiendo de este nivel de acceso realizaría la auditoría de seguridad.
Las auditorías de caja negra y gris suelen ser las más agresivas, y normalmente afectan al rendimiento de los sistemas analizados, sobre todo en lo relativo a los análisis de vulnerabilidades.
Por ese motivo, es norma imprescindible realizar un contrato previo con el cliente en donde acepte y asuma los riesgos que implica el tipo de auditoría y en el que se detallen de manera explícita el tipo de pruebas que se van a realizar y el alcance de las mismas.
De forma resumida, los pasos dentro de esta fase serían los siguientes:
FASE 2. RECONOCIMIENTO Y ANÁLISIS
En esta fase se realiza el reconocimiento físico de la red WIFI: puntos de acceso detectados, frecuencia en la que emiten (2.4, 5 Ghz u otras.), tipo de cifrado usado (WEP, WPA, WP2, etc.), uso de hotspot o VPN, clientes conectados, localización y nivel de emisión de las antenas, etc.
También se realiza un mapa de las instalaciones, canales utilizados, niveles de potencia, zonas de sombra, nivel de ruido, hardware utilizado, dispositivos conectados, IPs utilizadas, etc.
En esta fase es habitual usar herramientas de reconocimiento de redes (Nmap, Zenmap, Angry IP Scanner, SoftPerfect Network Scanner, etc.) y de captura de paquetes (Wireshark, Nast, Capsa Packet Sniffer, SniffPass, etc.), con el fin de obtener la mayor información que se pueda sobre los dispositivos conectados a la red (servidores, impresoras, puntos de acceso, cámaras, etc.) así como de los puertos abiertos en los mismos.
Dependiente del nivel de auditoría, es frecuente usar programas especializados en “crackear” contraseñas WEP, WPA, WPA2 o WDS para averiguar la contraseña de acceso a la red WIFI del cliente, así como el de “sniffers” que mediante ataques “man in the middle” nos permitan obtener las credenciales de usuario necesarias para acceder a servidores web, aplicaciones corporativas, correo electrónico, etc.
De forma resumida, los pasos dentro de esta fase serían los siguientes:
FASE 3. EXPLOTACIÓN DE VULNERABILIDADES
En esta fase, una vez que se ha recopilado toda la información posible sobre los sistemas del cliente y sus puertos, el auditor buscará posibles vulnerabilidades e intentará explotarlas con el fin de ganar acceso a los sistemas y acceder a datos sensibles de la organización.
Es habitual utilizar herramientas como “Nessus”, “nikto”, “Shadow Security Scanner”, etc., para la búsqueda de las vulnerabilidades y “metasploit”, entre otras, para la explotación de las mismas.
La finalidad de esta fase es que el auditor consiga acceder a los sistemas vulnerables y desde ahí buscar la manera de aumentar sus privilegios para conseguir acceder a aquella información que la empresa considera de vital relevancia para su funcionamiento.
Los pasos dentro de esta fase, de una manera resumida serían los siguientes:
FASE 4. ELABORACIÓN DEL INFORME
Tras finalizar las fases anteriores, el auditor preparará un informe detallado en el que indicará todos los sistemas descubiertos en cada fase, las vulnerabilidades que ha encontrado, cómo ha conseguido explotarlas y de qué manera se podrían evitar.
El informe tiene que ser claro, comprensible, adecuado y mantener un presentación lógica y ordenada, incluyendo la suficiente información para que sea comprendido por los destinatarios y permita así las acciones correctivas pertinentes.
Los puntos más importantes del informe serían los siguientes: