Las cinco fases del hacking, cubren toda la amplitud de un ataque, ya sea desde el lado del hacking o del hacking ético.
A continuación explicaremos con más en detalle cada una de las cinco fases del hacking ético.
Reconocimiento
Es probablemente es una de las fases del hacking más difícil de entender, sobre todo porque muchas personas confunden algunos de sus pasos como parte de la fase siguiente (escaneo y enumeración).
El reconocimiento, hace referencia a la fase preparatoria en la cual el atacante recopila información previamente a efectuar el ataque.
El rango de objetivos a tener en cuenta incluye a los clientes de la organización, empleados, operaciones, redes y sistemas. Hay dos tipos de reconocimiento:
- Reconocimiento pasivo: incluye conseguir información sin interactuar directamente con el objetivo.
- Reconocimiento activo: incluye conseguir información interactuando directamente con el objetivo por cualquier medio, como puede ser llamadas telefónicas a help-desk o al departamento técnico.
Ejemplos de acciones que podrían tener cabida en esta fase son la ingeniería social, dumpster diving, y el espionaje en red.
Escaneo
En esta fase el atacante usa los detalles recopilados en la fase de reconocimiento. A partir de esos datos, se emplean herramientas o técnicas para recopilar información de una manera más profunda y detallada y así identificar vulnerabilidades específicas. De hecho, se puede considerar una extensión del reconocimiento activo.
Mientras que con en el reconocimiento se puede saber que la red tiene 500 máquinas conectadas a una sola subred dentro de un edificio, el escaneo y enumeración nos indicará cuáles son las máquinas Windows y cuáles se ejecutan FTP (File Transfer Protocol).
Más concretamente se obtiene información crítica sobre la red, el número de máquinas activas, puertos o el sistema operativo utilizado.
Obtener acceso
En este punto el atacante obtiene acceso al sistema operativo de la máquina o a las aplicaciones de la red, así como al nivel de privilegios del que se dispone.
Una vez se ha conseguido entrar en el ordenador o en la red, se escalan privilegios para obtener control total del sistema, es decir del ordenador en cuestión y de los que estén conectados a él. De esta manera se puede obtener el tipo de arquitectura y configuración.
Estos ataques pueden ser tan simples como acceder a un punto de acceso inalámbrico abierto y luego manipularlo para cualquier propósito o tan complejo como la inyección SQL (Structured Query Language) en una aplicación web.
Mantener el acceso
En esta fase los hackers intentan mantener el acceso a los sistemas o redes atacados, de tal forma que tengan un camino de regreso a la máquina o sistemas que ya han comprometido.
El atacante deja abiertas las puertas traseras para poder usarlo en un futuro, especialmente si el sistema en cuestión se ha convertido en un zombi o si el sistema se utiliza para la recopilación de más información.
Por ejemplo, un sniffer puede colocarse en una máquina comprometida para observar el tráfico en una subred específica. El acceso se puede mantener mediante el uso de troyanos, rootkits, o cualquier otro método.
Limpiar rastros
En la última fase, se intentan destruir evidencias y esconder pistas sobre las actividades realizadas de forma no autorizada. Los pasos consisten en la eliminación o alteración de los archivos de registro e incluso el uso de protocolos de tunelado para comunicarse con el sistema.
Soy técnico informático me encanta la tecnología, la informática, redes y seguridad. Apoyo el software libre y escribo en Linuxbasico.