Se denomina información gathering a la instancia previa al intento de ejecutar una
Intrusión informática a un sistema por parte de alguien no autorizado. También es empleada (generalmente en organizaciones) por los profesionales éticos en caso de asestar una comprobación de seguridad. Información gathering implica llevar a cabo la tarea previa y minuciosa de inteligencia (similar a un reconocimiento del terreno), más precisamente a la recolección de datos acerca del objetivo o de algún componente relacionado a este o a parte de él. Esta fase se compone, fundamentalmente, de investigación y análisis de datos recabados.
El sistema de información cuenta con incontables piezas y, por lo tan to, el factor permeable (brecha o agujero de seguridad) inicial de éste podría encontrarse en cual quiera de los ni ve les, compren di dos entre una falla huma na, una de infraestructura (técnica), lógica y hasta ex terna por los agentes involucrados (por ejemplo, un proveedor de Internet o hosting inseguro o una sucursal con su red des protegida) o distintos ambientes interconectados.
Los datos que buscan los intrusos antes de atacar pueden estar relacionados con algún empleado, ya sea ejecutivo u operario, con algún sistema o tramo de él o con algún procedimiento u operación que nos permita intervenir en él. También pue de ser una dirección IP, un sitio, una red, una aplicación, un servicio (puerto abierto de autentificación o no), un protocolo, un determinado descuido de programación o de administración, un directorio, un documento, una plataforma o bien cualquier dato de ubicación física o de nominación de algún sector de la misma organización. Por supuesto, si puede directamente conseguirlo, lo intentará.
No interesa si el dato es muy importante o casi insignificante. Todo es útil a la hora de la escalada en el sistema y la previa planificación de este embate (chequeo o simulación de ataque). Algunas de las preguntas útiles antes de proceder serían:
¿Qué sabemos de nuestro objetivo?
¿Dónde están sus redes, sitios o por dónde fluye su información?
¿Qué partes lo conforman?
¿Qué sistemas poseen y como están formados?
¿Cómo se llaman los integrantes de la organización?
¿Quiénes son sus empleados y qué hacen? ¿Cómo y dónde?
¿Qué información sobre ellos se puede consultar o conseguir en Internet?
Un viaje de 1000 leguas comienza con el primer paso, decían los chinos. Así, por ejemplo, saber con qué plataformas vamos a tener que lidiar o conocer algunos usuarios del sistema, es un buen comienzo.
Comúnmente, se denomina footprinting (siguiendo la huella de pisadas) a esta recolección de información previa. De todos modos, cada atacante o consultor tiene sus propios métodos y recursos durante esta búsqueda. Mientras más minuciosa e ingeniosa sea, más posibilidades tendrá de dar con un descuido, un objetivo o por lo menos, una pista para comenzar con otra etapa del embate. Por ejemplo, un atacante real que posee en su haber algunas o la mayoría de las bases de datos de ISP (proveedores de Inter net) del país, o tiene acceso a ellas, cuenta con una clara ventaja sobre el resto ya que, en éstas, posiblemente habrá mucha información útil relacionada con personas de la organización que pueden tener algún dato importante, como passwords, o permiten conseguirlo. Estos datos pueden servir para comprometer el sistema o parte de él.
La ventaja del intruso en esta fase del ataque, si se lo compara con el hacker ético o profesional, es mayor, dado que puede utilizar recursos no éticos para la extracción o recolección de información pasiva (o no) del objetivo. El conocimiento de estas ventajas por parte del profesional, y saber cómo lidiar con ellas, hará que el sistema que se quiere proteger tenga la normativa adecuada y controlada, luego de un exhaustivo chequeo.
Security Partner -> Siguenos en ->Twitter
Security Partner -> Siguenos en ->Facebook