LA SABIDURIA Y LA LOCURA DE LAS AUDITORIAS DE SEGURIDAD
Páginas: 9 (2129 palabras)
Publicado: 27 de abril de 2015
LA SABIDURIA Y LA LOCURA DE LAS AUDITORIAS DE SEGURIDAD
INTRODUCCIÓN
El director de una prisión contrata a un experto para estudiar los procedimientos de
seguridad del centro por si hubiera algún fallo que un interno pudiera aprovechar para
escaparse. Una empresa sigue el mismo razonamiento cuando pide a una firma de seguridad
que compruebe si su sitio Web y sus redes informáticas soninfranqueables. Para ello se
contratan
hackers
que busquen los medios para acceder a información confidencial,
penetrar en zonas restringidas de las zonas de oficina o encontrar agujeros en la seguridad
que pudieran suponer un riesgo a la compañía.
Los expertos en seguridad las denominan
auditorías de seguridad. Por tanto, pedir una
prueba de penetraciones esperando que eso confirme que laorganización está haciendo un
trabajo extraordinario en la protección de su información confidencial es poco sensato.
I.
PROGRAMACION DE ATAQUES:
1. UNA NOCHE FRIA
A principios de la década de 1990, Mudge y un socio reunieron una serie de
personas de ideas afines para trabajar juntos en un pequeño espacio en un
almacén de Boston; el grupo se convertiría en un equipo de seguridad informática
muy respetadobajo el nombre de lOpht o, irónicamente, lOpht Industrias
Pesadas, se pronuncia "loft". Mudge Ha dado conferencias de cómo penetrar en
los ordenadores del enemigo y deteriorar los servicios sin ser detectados, además
de las técnicas de destrucción de datos, entre otros temas.Una de las
herramientas más comunes para los
hackers
informáticos es el paquete de
software llamado lOphtCrack. El grupolOpht atrajo la atención de los medios de
comunicación porque escribieron una herramienta (llamada lOphtCrack) que
craqueaba rápidamente marañas de contraseñas.
2. LA REUNION INICIAL
La llamada que recibió lOpht de la firma de consultoría llegó poco después de que
la firma decidiera expandir los servicios que ofrecían a sus clientes añadiendo la
posibilidad de realizar auditorías de seguridad N
osquedamos sorprendidos, sin
saber qué decir. No sabían nada de nosotros.
Y en parte porque no querían
apresurarse en las negociaciones, Mudge recurrió a una táctica de demora.
Bajo el punto de vista de Mudge, eran ignorantes porque iban a autorizar al
equipo de lOpht a penetrar en sus archivos y correspondencia al mismo tiempo
que negociaban un trato para comprar su compañía. Mudge esperabapoder
espiar por encima de sus hombros.
3. LAS REGLAS DEL JUEGO
El consultor de seguridad contratado para poner a prueba la defensa de una
compañía quiere disponer de esa misma protección. En lugar de una placa, cada
miembro del equipo de prueba recibe una carta firmada por un directivo de la
compañía confirmado que, efectivamente, "este hombre ha sido contratado para
llevar a cabo un proyecto paranosotros y no pasa nada si lo pescas haciendo algo
que parezca incorrecto. Otro paso habitual antes de iniciar un proceso de pruebas
es que el cliente especifique las reglas del juego.
Un miembro del equipo de lOpht, Carlos, considera esta decisión poco realista,
señalando que "los hackers no trabajan así". Él defiende un planteamiento más
agresivo, sin contemplaciones ni restricciones. En estecaso, se cumplió el deseo
de Carlos: Newton accedió a un ataque sin obstáculos ni barreras. La mayoría de
las empresas y los organismos gubernamentales exigen una cláusula de
confidencialidad para proteger legalmente la información encontrada de modo
que no se pueda publicar sin autorización. La plantilla de lOpht que estaba
compuesta por siete personas que trabajarían individualmente o en parejas ycada persona o equipo sería responsable de un aspecto diferente de las
operaciones de la compañía.
4. ¡AL ATAQUE!
El servidor Web de Newton ejecutaba el conocido software servidor llamado
Apache. La primera vulnerabilidad que encontró Mudge fue que el Checkpoint
Firewall1 de la compañía tenía una configuración oculta predeterminada para
permitir la entrada de paquetes UDP, TCP con puerto de...
INTRODUCCIÓN
El director de una prisión contrata a un experto para estudiar los procedimientos de
seguridad del centro por si hubiera algún fallo que un interno pudiera aprovechar para
escaparse. Una empresa sigue el mismo razonamiento cuando pide a una firma de seguridad
que compruebe si su sitio Web y sus redes informáticas soninfranqueables. Para ello se
contratan
hackers
que busquen los medios para acceder a información confidencial,
penetrar en zonas restringidas de las zonas de oficina o encontrar agujeros en la seguridad
que pudieran suponer un riesgo a la compañía.
Los expertos en seguridad las denominan
auditorías de seguridad. Por tanto, pedir una
prueba de penetraciones esperando que eso confirme que laorganización está haciendo un
trabajo extraordinario en la protección de su información confidencial es poco sensato.
I.
PROGRAMACION DE ATAQUES:
1. UNA NOCHE FRIA
A principios de la década de 1990, Mudge y un socio reunieron una serie de
personas de ideas afines para trabajar juntos en un pequeño espacio en un
almacén de Boston; el grupo se convertiría en un equipo de seguridad informática
muy respetadobajo el nombre de lOpht o, irónicamente, lOpht Industrias
Pesadas, se pronuncia "loft". Mudge Ha dado conferencias de cómo penetrar en
los ordenadores del enemigo y deteriorar los servicios sin ser detectados, además
de las técnicas de destrucción de datos, entre otros temas.Una de las
herramientas más comunes para los
hackers
informáticos es el paquete de
software llamado lOphtCrack. El grupolOpht atrajo la atención de los medios de
comunicación porque escribieron una herramienta (llamada lOphtCrack) que
craqueaba rápidamente marañas de contraseñas.
2. LA REUNION INICIAL
La llamada que recibió lOpht de la firma de consultoría llegó poco después de que
la firma decidiera expandir los servicios que ofrecían a sus clientes añadiendo la
posibilidad de realizar auditorías de seguridad N
osquedamos sorprendidos, sin
saber qué decir. No sabían nada de nosotros.
Y en parte porque no querían
apresurarse en las negociaciones, Mudge recurrió a una táctica de demora.
Bajo el punto de vista de Mudge, eran ignorantes porque iban a autorizar al
equipo de lOpht a penetrar en sus archivos y correspondencia al mismo tiempo
que negociaban un trato para comprar su compañía. Mudge esperabapoder
espiar por encima de sus hombros.
3. LAS REGLAS DEL JUEGO
El consultor de seguridad contratado para poner a prueba la defensa de una
compañía quiere disponer de esa misma protección. En lugar de una placa, cada
miembro del equipo de prueba recibe una carta firmada por un directivo de la
compañía confirmado que, efectivamente, "este hombre ha sido contratado para
llevar a cabo un proyecto paranosotros y no pasa nada si lo pescas haciendo algo
que parezca incorrecto. Otro paso habitual antes de iniciar un proceso de pruebas
es que el cliente especifique las reglas del juego.
Un miembro del equipo de lOpht, Carlos, considera esta decisión poco realista,
señalando que "los hackers no trabajan así". Él defiende un planteamiento más
agresivo, sin contemplaciones ni restricciones. En estecaso, se cumplió el deseo
de Carlos: Newton accedió a un ataque sin obstáculos ni barreras. La mayoría de
las empresas y los organismos gubernamentales exigen una cláusula de
confidencialidad para proteger legalmente la información encontrada de modo
que no se pueda publicar sin autorización. La plantilla de lOpht que estaba
compuesta por siete personas que trabajarían individualmente o en parejas ycada persona o equipo sería responsable de un aspecto diferente de las
operaciones de la compañía.
4. ¡AL ATAQUE!
El servidor Web de Newton ejecutaba el conocido software servidor llamado
Apache. La primera vulnerabilidad que encontró Mudge fue que el Checkpoint
Firewall1 de la compañía tenía una configuración oculta predeterminada para
permitir la entrada de paquetes UDP, TCP con puerto de...
Leer documento completo
Regístrate para leer el documento completo.