View
231
Download
0
Category
Preview:
Citation preview
Mariano Mariano NuNuññezez Di CroceDi Crocemnunez@cybsec.commnunez@cybsec.com
Febrero 11Febrero 11--13, 200913, 2009IX Seminario Iberoamericano de Seguridad en las TecnologIX Seminario Iberoamericano de Seguridad en las Tecnologíías de la Informacias de la Informacióónn
La La HabanaHabana, Cuba, Cuba
©© Copyright 2009 CYBSEC. Todos los derechos reservadosCopyright 2009 CYBSEC. Todos los derechos reservados
Hacking Ético y
Frameworks Opensource
2
¿¿ QuiQuiéén es CYBSEC ?n es CYBSEC ?
¿ Quien es Cybsec? ¿ Quién soy yo?
Empresa fundada en 1996, dedicada integralmente a Seguridad de la Información.
Más de 320 clientes. Oficinas en AR, PY, EC, PA y ES.
Servicios y productos para proteger el negocio de las empresas.
¿¿ QuiQuiéén soy yo ?n soy yo ?
Senior Security Researcher en CYBSEC. Ingeniero en Sistemas de UTN.
Formado en Penetration Testing e Investigación de Vulnerabilidades.
He descubierto vulnerabilidades en productos Microsoft, Oracle, SAP,…
Actualmente especializado en Seguridad en SAP.
Desarrollador del framework sapyto.
3
Introducción al Hacking Ético
La necesidad de Automatización
Nuevos Frameworks OpenSource
w3af
Netifera
sapyto
Conclusiones
Agenda
4
Introducción al Hacking Ético
5
¿¿ QuQuéé es el es el HackingHacking ÉÉtico ?tico ?
Introducción al Hacking Ético
“Se refiere en general a los proyectos orientados a objetivos en los cuales dicho objetivo es obtener un trofeo, que incluye ganar acceso privilegiado con medios pre-condicionales”
(Fuente: OSSTM - www.isecom.org)
¿¿ QuQuéé es el es el TestTest de Intruside Intrusióón ?n ?
“Se refiere generalmente a los Tests de Intrusiónen los cuales el objetivo es obtener trofeos en la red dentro del tiempo predeterminado de duración del proyecto.”
6
Traduciendo...Traduciendo...
Introducción al Hacking Ético
El "Hacking Ético" es el arte de simular el comportamiento de un potencial atacante informático, con el objetivo de detectar (y explotar) las vulnerabilidades existentes en la plataforma tecnológica de una Organización.
El objetivo final es elevar el nivel de seguridad de la plataforma.
Hacking Ético = Test de Intrusión + “Marketing”
7
Un Poco de Historia ...Un Poco de Historia ...
Introducción al Hacking Ético
Años ’70: Primeros casos de phreaking.
Años ’80: Ataques a sistemas de defensa y comerciales.
Años ’90: Comienza a nacer el Test de Intrusión.
Años ’00: Estandarización – Proceso “formal”
OSSTM - Open-Source Security Testing Methodology Manual
ISSAF – Information Systems Security Assessment Framework
OWASP – Open Web Application Security Project
8
Tipos de Tipos de TestTest de Intruside Intrusióón/n/HackingHacking ÉÉticotico
Introducción al Hacking Ético
Modelo: Externos vs. Internos.
Alcance: Caja negra / Caja gris / Caja blanca.
Objetivo:
Infraestructura
Aplicaciones Web
Wireless
Sistemas Criticos (SCADA, SAP)
Factor Humano – Ingeniería Social
…
9
La Necesidad de Automatización
10
Algunas Actividades y Tareas Involucradas:Algunas Actividades y Tareas Involucradas:
La Necesidad de Automatización
Análisis de rangos IP
Detección de sistemas activosScanning de puertos TCP
Scanning de puertos UDP
Detección de enlaces Wireless
Fingerprinting de servicios y SOsAnálisis de reglas de Firewalls
Bypass de IDSs/IPSs
Análisis de código HTML
Descubrimiento de directorios
Explotación de SQL Injection
Explotación de vulnerabilidades
Enumeración de usuarios
Wardialing
Cracking de WEP/WPA
Ingeniería SocialBruteforcing
OpenSource Intelligence
11
AutomatizaciAutomatizacióón n –– Ventajas y DesventajasVentajas y Desventajas
La Necesidad de Automatización
La Necesidad de Automatización es concreta.
Muchas de las actividades pueden (y deben) automatizarse.
Existe una GRAN variedad de herramientas y utilidades para actividades puntuales del proceso
Integración de Resultados y Redundancia
Necesidad de Actualización
Ej: Para un Test de Intrusión Web, el consultor utiliza más de 10 herramientas distintas para tareas puntuales.
12
Del Del ScriptScript al al FrameworkFramework
La Necesidad de Automatización
Es necesario desarrollar las soluciones en forma de Frameworks:
Plataforma única.
Actualización centralizada.
Extensibilidad (!!!)
“Inteligencia”
Base de conocimiento compartida.
Integración de Resultados.
Combinación y comportamiento “Experto”.
13
Nuevos FrameworksOpenSource
14
ATENCIONATENCION
Al presenciar las siguientes diapositivas y Al presenciar las siguientes diapositivas y
demostraciones usted declara que demostraciones usted declara que
comprende que comprende que ningningúúnn FrameworkFramework puede puede
reemplazar la inteligencia y criterio de un reemplazar la inteligencia y criterio de un
especialista especialista ““humanohumano”” =)=)
Nuevos Frameworks OpenSource
15
Nuevos Frameworks OpenSource
++Auditor sin experiencia Auditor sin experiencia
Herramienta Automatizada Herramienta Automatizada
de de HackingHacking ÉÉticotico
16
Nuevos Frameworks OpenSource
++Auditor sin experiencia Auditor sin experiencia
Herramienta Automatizada Herramienta Automatizada
de de HackingHacking ÉÉticotico
17
18
w3af w3af –– Web Web ApplicationApplication AttackAttack andand AuditAudit FrameworkFramework
Nuevos Frameworks OpenSource – w3af
Creado por Andres Riancho.
Auspiciado por CYBSEC.
Objetivo: Detectar y Explotar vulnerabilidades en Aplicaciones Web.
Licencia GPLv2.
Desarrollado en Python.
19
Arquitectura de Arquitectura de PluginsPlugins
Nuevos Frameworks OpenSource – w3af
Discovery: Descubren la superficie de análisis de la aplicación objetivo.
•Audit: Intentan detectar una vulnerabilidad específica en el sitio Web.
•Bruteforce: Realizan ataques de fuerza bruta contra módulos de autenticación.
•Grep: Buscan información en el contenido de las páginas del sitio.
•Evasion: Modifican las peticiones para evadir filtros de seguridad.
•Output: Definen el formato de salida de la información generada.
•Mangle: Permiten que el usuario modifique secciones de las peticiones realizadas.
20
Funcionalidades PrincipalesFuncionalidades Principales
Nuevos Frameworks OpenSource – w3af
Scannings Automáticos
Envío de Peticiones HTTP “artesanales”
Codificador / Decodificador
Comparador
Proxy Local
21
22
NetiferaNetifera
Nuevos Frameworks OpenSource – Netifera
Creado por Netifera.
Objetivo: Analizar la Seguridad de redes informáticas.
Desarrollado en JAVA.
23
Funcionalidades PrincipalesFuncionalidades Principales
Nuevos Frameworks OpenSource – Netifera
Scannings de puertos
Identificación de servicios activos
Consultas DNS
Terminales
Análisis de Aplicaciones Web
Captura de tráfico
Probes
24
25
sapytosapyto
Nuevos Frameworks OpenSource – sapyto
Creado por CYBSEC - Mariano Nuñez Di Croce.
Objetivo: Plataforma de Penetration Test a sistemas SAP.
Licencia GPLv2.
Desarrollado en Python/C.
Primera versión publicada en Blackhat EU 07.
26
Arquitectura de Arquitectura de TargetsTargets/Conectores/Conectores
Nuevos Frameworks OpenSource – sapyto
SAPRFC: Permite conectarse utilizando el protocolo RFC con un Servidor de Aplicación SAP.
•SAPRFC_EXT: Establece la comunicación con servidores RFC externos.
•SAPGATEWAY: Conexión con el servicio SAP Gateway de losServidores de Aplicación SAP.
•SAPROUTER: Permite establecer conexiones con dispositivosSAProuters que restringuen el acceso a la plataforma SAP objetivo.
27
Arquitectura de Arquitectura de PluginsPlugins
Nuevos Frameworks OpenSource – sapyto
Discovery: Intentan descubrir nuevos targets a partir de los targets configurados inicialmente.
•Audit: Chequean si el servidor SAP remoto es suceptible de poseervulnerabilidades específicas.
•Exploit: Aprovechan una vulnerabilidad detectada para intentarobtener algún grado de acceso sobre los sistemas o informaciónremota.
•Output: Definen el formato de salida de la información generada.
28
Funcionalidades PrincipalesFuncionalidades Principales
Nuevos Frameworks OpenSource – sapyto
Obtención de información remota
Análisis de Vulnerabilidades de interfaz RFC
De-ofuscación de tráfico
Enumeración de mandantes
Bruteforce de usuarios
Explotación – Generación de SHELLs remotas
Explotación – Arquitectura de Agentes
29
Conclusiones
30
ConclusionesConclusiones
Conclusiones
El Hacking Ético permite analizar el nivel de Seguridad de una Organización o plataforma informática y debe convertirse en una práctica regular. El objetivo final es proteger la información.
La metodología involucra actividades en las que ciertas tareas pueden ser automatizadas para mejorar la eficiencia del proceso.
Las herramientas a utilizar deben proveer un Entorno o Framework, introduciendo extensibilidad, robustez e “inteligencia”.
De nada sirve una herramienta automatizada sin un auditor que pueda analizar la información contextual asociada. El criterio es irremplazable.
Recuerde que los Frameworks Opensource evolucionan gracias a las contribuciones de la comunidad!
No hay nada mas peligroso que un chimpancé con un arma! =P
31
¿¿ Preguntas ?Preguntas ?
Hacking Etico y Frameworks Opensource
32
ReferenciasReferencias
Nuevos Frameworks OpenSource
w3af – http://w3af.sourceforge.net
Netifera – http://www.netifera.com
sapyto – http://www.cybsec.com/ES/investigacion/sapyto.php
www.cybsec.com
Muchas Gracias!
Recommended