RESUMEN
El tema del cual es objeto la presente
investigación es el Impacto de las Pruebas de
Penetración en la empresa Centro León en el
período 2010-2011, en la ciudad de Santiago
De Los Caballeros, República Dominicana.
Las Pruebas de Penetración son métodos y
técnicas que se utilizan para evaluar, detectar y
solucionar vulnerabilidades en las distintas áreas de una
infraestructura tecnológica, como servidores web,
firewalls, sistemas operativos, base de datos entre otros. Las
pruebas de penetración son importantes porque permiten a
las empresas conocer las fallas de seguridad que pueden causar en
un tiempo determinado daños invaluables dependiendo al
área comercial que esta pertenezca y así obtener
los parches de actualizaciones que solucionen las brechas de
seguridad.
Esta investigación tiene como objetivo general
evaluar las vulnerabilidades que se presentan en la
infraestructura tecnológica en el Centro León
Jimenes en la ciudad de Santiago de los Caballeros,
República Dominicana.
Las metodologías que se utilizaron en esta
investigación son: bibliográficas, ya que se
consulta material de libros, artículos de Internet,
revistas y otro tipo de fuentes para obtener información
relevante. De campo, porque se hace uso de herramientas y
técnicas para determinar las vulnerabilidades
de seguridad dentro de la infraestructura de TI. Descriptiva,
porque se evalúan las fallas de seguridad de la
infraestructura de TI de la empresa respondiendo a preguntas
¿cómo estaba la seguridad antes de evaluar el
área? ¿Cuántas áreas fueron
evaluadas? y Prospectiva, porque se toma en cuenta un
período determinado dentro del cual se evalúa la
empresa.
Los puntos más relevantes de la
investigación se basan en las diferentes técnicas y
métodos que envuelven el proceso de las pruebas de
penetración, así como también, los
diferentes pasos secuenciales que se utilizan en dichos
métodos. Cabe destacar que cuando se evalúa
algún recurso tecnológico específico, esto
conlleva al uso de las herramientas destinadas para detectar los
diferentes tipos de vulnerabilidades que pueda contener la
estructura del servidor web.
Al finalizar la investigación sobre el impacto de
las pruebas de penetración en la empresa Centro
León en la ciudad de Santiago durante el período
2010-2011, se ha llegado a la conclusión de
que:
Mediante la evaluación del servidor web y las
pruebas hechas para detectar vulnerabilidades, se obtuvieron
resultados que a pasar de no tener un alto riesgo
para el funcionamiento de la página, si comprometen la
integridad de los datos que se almacenan en dicho
servidor.
Se recomienda la descarga e instalación de
parches de seguridad o actualización que permitan cubrir
la más mínima brecha de seguridad en la estructura
del servidor web para evitar intrusiones futuras no
deseadas.
INTRODUCCION
Esta investigación evalúa el impacto que
tienen las Pruebas de Penetración en la empresa Centro
León Jiménez, en la ciudad de Santiago de los
Caballeros, República Dominicana.
En las empresas del país los profesionales del
área no conocen de manera amplia lo que son las pruebas de
penetración y no cuentan con la preparación
necesaria para realizarlas y es por eso que el trabajo de esta
investigación busca centrar los aspectos
específicos para que sirvan de guía.
A través de los años en la ciudad de
Santiago las empresas que cuentan con servidores instalados y
sistemas en funcionamiento, es muy poco probable que ejecuten
pruebas de penetración para evaluar las fallas de
seguridad, estas solo recurren a estas técnicas cuando se
encuentran en un estado crítico donde su seguridad ya ha
sido violada.
Esta investigación tiene como objetivo general:
evaluar las vulnerabilidades que se presentan en la
infraestructura tecnológica en el Centro León
Jimenes y como objetivos específicos:
• Determinar los métodos y
herramientas que se usan en las pruebas de
penetración.
• Evaluar los servidores y aplicaciones de la
empresa para ofrecer reportes de resultados.
• Analizar la información resultante y que
esta sirva de ayuda para optimizar los mecanismos de defensa de
la infraestructura.
Este trabajo de investigación ha sido delimitado
a impacto de las pruebas de penetración en la empresa
Centro León Jimenes, en la ciudad de Santiago en el
periodo 2010-2011.
Las metodologías utilizadas en esta
investigación son las siguientes: bibliográfica, ya
que se consulta material de libros, artículos de Internet,
revistas y otro tipo de fuentes para obtener información
relevante. De campo, porque se hace uso de herramientas y
técnicas para determinar las vulnerabilidades de seguridad
dentro de la infraestructura de TI. Descriptiva, porque se
evalúan las fallas de seguridad de la infraestructura de
TI de la empresa respondiendo a preguntas ¿cómo
estaba la seguridad antes de evaluar el área?
¿Cuántas áreas fueron evaluadas? y
Prospectiva, porque se toma en cuenta un período
determinado dentro del cual se evalúa la
empresa.
Se tomará como universo dos servidores web de los
cuales uno de ellos servirá como muestra para la
evaluación de la infraestructura tecnológica de la
empresa, es decir, todo lo concerniente a la página web y
como está estructurada.
Las pruebas se harán utilizando la
metodología de black box o caja negra, la cual consiste en
evaluar la seguridad de la Infraestructura Tecnológica de
la empresa sin conocimiento general del entorno, ni cómo
operan, ya que esta hace más referencia a lo que es un
ataque real.
El Primer Capítulo trata sobre Seguridad
Informática de una forma en general, viendo los
acontecimientos que han transcurrido durante un periodo de
tiempo, se refiere a los conceptos básicos que se suelen
usar en seguridad informática.
El Segundo Capitulo trata sobre las Pruebas de
Penetración, que son realmente las pruebas, los
métodos más utilizados, quienes practican estas
pruebas y como lo hacen.
El Tercer Capítulo trata sobre las
técnicas y herramientas que se utilizan para realizar las
pruebas de penetración, los pasos que hay que
realizar con cada una de ellas para encontrar
vulnerabilidades en la infraestructura de TI.
El Cuarto Capitulo trata sobre la empresa Centro
León Jimenes, una breve historia de esta, como está
configurada el área de TI de la empresa y los resultados
sobre el impacto que obtuvo las pruebas de penetración en
la infraestructura de TI.
CAPITULO I
SEGURIDAD
INFORMATICA
De forma general la Seguridad Informática juega
un papel muy importante en las organizaciones, ya que abarca
todos los aspectos que conciernen a la protección de la
infraestructura de Tecnología de información, a
medida que surgen nuevos avances tecnológicos las empresas
al igual que los empleados se deben acoplar a los nuevos tiempos
porque de esta forma se mantienen a la vanguardia y al más
alto nivel de competitividad entre las demás empresas a lo
que seguridad se refiere.
1.1
Antecedentes
En 1960, el Ministerio de Defensa de los Estados Unidos
dio inicio al desarrollo de una red experimental de computadoras
para aplicaciones e investigaciones de tipo militar, la cual fue
llamada Advanced Research Projects Agency Network por sus siglas
en inglés (ARPANET).
Las principales aplicaciones de la red ARPANET
permitieron a los usuarios intercambiar información a lo
largo de todo el país, en 1970 se formó un grupo de
manera informal para trabajar en el proyecto Transmision Control
Protocol/Internet Protocol por sus siglas en inglés
TCP/IP.
En 1983 se comenzaron a implementar estos protocolos y
la red que en ese entonces se conocía como ARPANET fue
dividida en dos partes: MILNET, la cual fue utilizada para
aplicaciones militares e INTERNET, por otra parte siguió
siendo objeto de investigación y se convirtió en lo
que se conoce como la red de computadoras más grande del
mundo.
Internet iba creciendo en forma considerable ya que se
le fueron sumando un sin número de redes y aun así
esto no evitó que se le restara importancia a lo que era
la seguridad informática en ese entonces.
El 2 de noviembre del año 1988 ocurrió el
primer ataque a la red de Internet causado por un Gusano,
desarrollado por Robert T. Morris, en el cual se vieron afectados
equipos de instituciones como bancos, universidades y
organizaciones del gobierno de los Estados Unidos.
La finalidad de este ataque era señalar las
fallas de seguridad de otras redes informáticas, pero el
Gusano se replicó más rápido de lo esperado
y causó pérdidas millonarias de dólares
debido a la sobrecarga de los sistemas hasta el punto que se
convierten en no funcionales. Este acontecimiento logró
concientizar en cuanto a la seguridad informática ya que
llevó a la creación del Computer Emergency Reponse
Team por sus siglas en inglés CERT.
1.2
¿Qué es Seguridad
Informática?
Muchas veces se confunde el término de Seguridad
Informática con Seguridad de la Información, cuando
en realidad estos son distintos, la seguridad informática
es una especialidad que conlleva el uso de diferentes
técnicas, softwares y hardwares que se encargan de
asegurar una infraestructura de red de una empresa, a diferencia
del término de seguridad de la información que
está más vinculado con lo que es la
protección y la privacidad de los datos.
En el ámbito de seguridad informática no
existen sistemas impenetrables, ya que siempre habrá un
método por el cual se logrará detectar una
vulnerabilidad de seguridad que posee la infraestructura
tecnológica a la cual se desea penetrar, lo fundamental en
la mayoría de las empresas es documentar a los usuarios
acerca de cómo protegerse de las amenazas y a cómo
utilizar los recursos para prevenir ataques. Podemos decir que la
seguridad informática trata de asegurar los recursos de
las empresas para que estos no sean objetos de
intrusión.
"Las organizaciones gastan millones de dólares en
firewalls y dispositivos de seguridad, pero tiran el dinero
porque ninguna de estas medidas cubre el
eslabón más débil de la cadena de seguridad:
la gente que usa y administra los ordenadores". (Mitnik, 2003, p.
12)
De lo precedentemente citado se entiende que las
empresas usualmente no invierten de forma correcta el dinero, al
no darse cuenta que la capacitación de los usuarios es
primordial para el manejo de los equipos y a su vez mantener la
debida seguridad de estos.
Es razonable aclarar que no todas las empresas manejan
sus recursos económicos de la misma forma, ya que algunas
en muchos casos al área de tecnología de la
información no le dan la importancia que requiere dentro
de la organización y por consiguiente suelen ocurrir
problemas al no contar con la con la tecnología
adecuada.
La seguridad informática se fundamenta en tres
principios básicos que deben cumplir los sistemas
informáticos para lograr sus objetivos, los cuales
son:
• Disponibilidad: los sistemas siempre deben
estar en funcionamiento continuo para que los usuarios accedan a
los datos con la frecuencia que requieran y ofrecer un servicio
permanente.
• Confidencialidad: los sistemas solo deben
permitir acceso a las personas que estén autorizadas para
mantener la privacidad de los datos.
• Integridad: los sistemas deben evitar la
duplicidad o la redundancia de información en su base de
datos, esto se logra obteniendo una buena actualización y
sincronización de los datos.
1.3
Función de la Seguridad
Informática
Dentro de las funciones que debe desempeñar un
departamento de seguridad informática en una
organización es un cuanto complicado, ya que toda
organización es distinta y cada una de ellas se rige por
políticas y procedimientos diferentes, es oportuno mostrar
que un departamento de seguridad informática hay varias
funciones que se pueden desempeñar.
Existen posiciones dentro del departamento de seguridad
informática tales como: Gerente de Tecnología de la
Información, Encargado de Infraestructura, Encargado de
Sistemas, los cuales desempeñan funciones
específicas con un objetivo común.
Funciones del Gerente de
Tecnología de la Información:
• Administración del
presupuesto de seguridad informática.
• Administración de las
personas de su equipo.
• Definición de la estrategia
de seguridad informática y los objetivos.
• Administración de
proyectos.
• Detección de necesidades y
vulnerabilidades de seguridad desde el punto de vista del negocio
y su solución.
Funciones del Encargado de
Infraestructura:
• Configuración y
operación de los controles de seguridad
informática.
• Monitoreo de indicadores de
controles de seguridad de los equipos.
• Modificación de accesos a
sistemas y aplicaciones.
Funciones del Encargado de
Sistemas:
• Evaluación de efectividad de
los sistemas.
• Analista de los Sistemas.
• Administrador de Base de
Datos.
• Auditor de los Sistemas de
Información.
1.4 Conceptos
Básicos de Seguridad Informática
Dentro de los conceptos más comunes que se pueden
encontrar en seguridad informática
están:
Amenaza: podemos entender este término
como un posible peligro para la infraestructura de redes o del
sistema de información, el cual puede ser una persona o un
programa, no es más que un elemento que compromete al
sistema.
Vulnerabilidad: son las fallas que se suelen
encontrar en los sistemas de información o la
infraestructura de red, estas son consideradas como debilidades
dentro del sistema las cuales pueden ser atacadas para afectar el
funcionamiento de estos.
Virus: son programas que contienen un
código malicioso capaz de infectar otros programas,
haciendo que estos disminuyan su rendimiento y causen fallas de
seguridad, pueden existir diferentes tipos de virus como:
gusanos, caballos de Troya y bombas lógicas.
Hacker: es una persona con elevados conocimientos
en informática que busca reconocimiento por eludir la
seguridad de un sistema si hacer daño.
Cracker: es una persona con elevado conocimientos
en informática que quiere demostrar sus habilidades de
forma equivocada, haciendo daño solo por
diversión.
Phreaker: es la persona que se asiste de
herramientas hadware y software para engañar las
compañías telefónicas y evitar el cobro de
llamadas.
Pirata Informático: es la persona que
vende software que está protegido bajo las leyes de
copyright.
Insider: es la persona que es considerado una
amenaza de cualquier forma para el sistema de la
empresa.
SDI: es un programa el cual está destinado
a encontrar intrusos que hayan accesado a un red.
SPI: es una extensión de los SDI que
previene el acceso no autorizado de un atacante.
Botnet: son de robots informáticos que se
ejecutan de manera automática y de forma remota para
controlar un conjunto de computadoras infectadas.
Zombie Host: es un software o un conjunto de
computadoras que simula vulnerabilidad para atraer atacantes para
saber los métodos y técnicas con las cuales ellos
operan.
Encriptación: es un proceso que se utiliza
para volver de manera ilegible información que se
considera importante.
Spam: son mensajes masivos no deseados,
usualmente publicitarios que perjudican a quien lo
recibe.
Spyware: es un programa espía que recopila
información de un computador y la transmite sin el
consentimiento del propietario del mismo.
1.5 Mecanismo de
Protección
Cuando ya se conocen las fallas de seguridad a las que
está expuesta un sistema, se deben tener los mecanismos de
defensa apropiados para contrarrestar estas brechas de seguridad,
aunque las empresas cuentan con los equipos necesarios para
proteger la información y la infraestructura, pocas veces
utilizan las técnicas o métodos internamente para
determinar el nivel de protección que poseen.
A continuación se especifica algunas herramientas
de tipo hardware y software que pueden reducir el nivel de riesgo
de ser atacados:
Firewall: es un sistema que está destinado
a bloquear todo tipo de tráfico que no esté
autorizado, permitiendo solo las comunicaciones que estén
autorizadas en la infraestructura de red de una empresa, este
está basado en políticas de seguridad establecida
haciendo que la red sea confiable, los objetivos que debe cumplir
un firewall son:
• Todo el tráfico que venga del exterior
debe pasar a través de él, así como todo el
tráfico del vaya desde el interior hacia el
exterior.
• Solo el tráfico que se ha
establecido en la política de seguridad es el que se
permite.
Es preciso señalar que los firewall no detienen
los ataques, tampoco protegen el sistema una vez que se hayan
penetrado las políticas de seguridad, sino que estos
ayudan a elevar el sistema de seguridad en una
organización.
Lista de Control de Acceso: es una lista que
permite definir los permisos y accesos que son concedidos a los
usuarios, así también como limitarlos en ciertas
características de la red como el ancho de banda, el
tráfico con el uso de ftp.
Wrapper: son mecanismos de suplantación de
identidad de programas en específico para cambiar el
comportamiento de los sistemas operativos sin alterar su
funcionamiento original.
DMZ: significa zona desmilitarizada es un tipo de
configuración que se utiliza para limitar, dividir el
acceso a la red desde fuera de una institución, esta solo
permite a los usuarios internos tener facilidad para usar los
recursos y compartir información.
Proxy Server: el servidor Proxy filtra, controla
los accesos a páginas Web, limita el uso del Internet en
diferentes horarios, las empresas lo usan para tener un mejor
control de las operaciones que realizan sus empleados en la
Web.
Sistemas Anti-Sniffer: este método provee
de información al usuario para detectar cuando se
está comprometiendo la red, es decir, cuando la placa de
red está siendo atacada.
Gestión de Claves Seguras: utilizar una
clave de 8 caracteres, le permite al usuario o administrador de
sistemas de seguridad, mantener la integridad de los datos o el
área donde se aplique, ya que con esta combinación
pueden tardarse varios años en poder
descifrarla.
SDI: significa Sistema de Detección de
Intrusos es un programa el cual está destinado a encontrar
intrusos que hayan penetrado en una red. El objetivo de estos es
encontrar cualquier anomalía en las actividades del
sistema que venga desde el exterior hacia el interior, de acuerdo
al comportamiento y la función que se requiera, estos se
clasifican de la siguiente manera:
• Host-Based IDS: estos
detectan actividades maliciosas que operen en el mismo host donde
se encuentre.
• Network-Based IDS: se basan
en el intercambio de información que se realice en la
red.
• Knowledge-Based IDS: estos se
basan en conocimiento.
• Behavior-Based IDS: estos se
basan en el comportamiento del usuario.
SPI: significa Sistemas de Prevención de
Intrusos, es una extensión de los SDI que previene el
acceso no autorizado de un atacante, este está basado en
políticas de seguridad al igual que los firewalls,
dependiendo en la forma en que detectan el tráfico, estos
se clasifican de la siguiente manera:
• Detección Basada en
Firmas: se basa en reconocer una cadena de bytes para hacer
la alerta.
• Detección Basada en
Políticas: se basa en reconocer todo el tráfico
que esté fuera de las políticas
establecidas.
• Detección Basada en
Anomalías: se basa en reconocer cuando el
tráfico no está dentro de lo normal.
• Detección Honey Pot:
se basa en usar un señuelo para que los atacantes no
puedan llegar al sistema original.
Criptografía: estos son métodos que
se utilizan para el ocultamiento de información con el
objetivo de que dicha información no sea entendible
para aquella personas que no estén autorizadas. Esta
es importante porque hace cumplir los objetivos de la seguridad
informática, los cuales son; mantener la privacidad, la
integridad y autenticidad de los datos.
Anti-Virus: son programas que están
destinados con el objetivo de detectar programas que contengan
código malicioso o como solemos llamarlos, virus
informático. Para estos poder detectar virus deben
actualizarse frecuentemente a una base de datos de forma remota,
ya que cada día que pasa el número de virus en
internet se va incrementando.
"Alcanzar el nivel de seguridad necesario para un
organismo financiero representa un ejercicio más
difícil". (Royer, 2004, p.11)
Del escrito anterior se desprende la idea de que las
empresas, para poder adoptar un alto nivel de seguridad deben
estar siempre a la vanguardia con los últimos avances
tecnológicos, esto resulta un tanto difícil ya que
se debe tener un buen soporte económico y una buena
capacitación en los empleados que son quienes
estarán trabajando con estas
tecnologías.
Es significativo evidenciar que cuando se trata de un
organismo financiero, los procesos que conlleva la seguridad
informática dentro del área de TI son
más rigurosos, debido a que todas las operaciones que se
realizan dentro de la empresa giran en torno a dinero, por esta
razón la seguridad informática debe conservar
más su principios como la confidencialidad, disponibilidad
e integridad de los datos.
1.6 Seguridad en
República Dominicana
En República Dominicana no se cuenta con los
mejores avances tecnológicos, es preocupante y alarmante
la forma en que se manejan los centros de cómputos que
están encargados de salvaguardar toda la
información de la nación, aunque cabe destacar que
posee profesionales con altos conocimientos capaces de competir
ante escenarios internacionales, aunque la razón por la
cual no se esta tan protegidos en este país es por la
falta de inversión de las empresas multimillonarias e
instituciones Bancarias que en ciertos casos suelen ser
víctimas de ataques a sus infraestructuras
tecnológicas.
Se debe tomar en cuenta que la inversión que se
hace en el área de tecnológica da beneficios a
largo plazo, proteger la información que es primordial
para las instituciones gubernamentales del país es
primordial y no se considera un juego, la república
dominicana ha sido víctima en varias ocasiones de fraudes
y daños a varias de las instituciones que residen
en ella y que forman parte del desarrollo cotidiano
y funcionamiento del engranaje que mueve la
nación.
Las leyes del país penalizan los delitos
informáticos que ocurren, se tiene como ejemplo el de robo
de identidad que se contempla en la ley 53-07 sobre
Crímenes y Delitos de Alta Tecnología, en su
artículo 17 esta legislación establece que el hecho
de una persona valerse de una identidad ajena a la suya, a
través de medios electrónicos, informáticos,
telemáticos o de telecomunicaciones, se sancionará
con penas de tres meses a siete años de prisión y
multa de dos a doscientas veces el salario
mínimo.
Dentro de las organizaciones que trabajan y persiguen
los delitos informáticos está el Departamento de
Investigación de Crímenes y Delitos de Alta
Tecnología de la Policía Nacional que tiene como
función:
• Investigar todas las denuncias de
crímenes o delitos considerados de alta
tecnología.
• Responder con capacidad
investigativa a todas las amenazas y ataques a la infraestructura
crítica nacional.
• Desarrollar análisis
estratégicos de amenazas informáticas.
• Desarrollar inteligencia.
Definitivamente se debe tomar más en serio la
inversión en la Seguridad Informática por parte de
las empresas, instituciones privadas y públicas de lo
contrario la república dominicana seguirá
modernizándose y al mismo tiempo exponiéndose a
crímenes informáticos. En República
Dominicana las universidades deben crear nuevas formas que
permitan a los estudiantes tener más preparación en
el área de seguridad Informática porque
sería más factible para los profesionales nativos
hacer maestrías en el campo de la informática
localmente que salir e invertir grandes cantidades de dinero en
el exterior.
Las empresas en el país deben estar muy
preocupadas y siempre estar en expectativa ya que lo primordial
deben ser sus datos y siempre preguntarse qué tan seguras
están, pero al mismo tiempo saber que quienes
deberían estar mejor preparados son sus empleados ya que
son los que manejan y controlan todo lo que tiene que ver con los
sistemas e infraestructura tecnológica.
EL PRESENTE TEXTO ES SOLO UNA SELECCION DEL TRABAJO
ORIGINAL.
PARA CONSULTAR LA MONOGRAFIA COMPLETA SELECCIONAR LA OPCION
DESCARGAR DEL MENU SUPERIOR.