- 1. Tests de Intrusin. Anlise da seguridade enentornos
GNU/Linux
2. Indice
3. Tipologa de los test de intrusin 4. Metodologas y buenas
prcticas 5. Fases y tareas tpicas Distribuciones GNU/linux parapen
testing
6. Tests de intrusin (I) Qu son?
-
- Mecanismo deevaluacinde las medidas de proteccin de una
organizacin y de los servicios expuestos a Internet.
- Analizan la efectividad de loscontroles de seguridadimplantados
en una organizacin relizando una bateria deacciones planificadasque
simulan el comportamiento de un atacante.
- 7. Otros nombres: tests de penetracin ( pen testing ), hacking
tico ( ethical hacking)
Objetivo:vulnerar la seguridad de los mecanismos implantados
para conseguir accesos no autorizados a la organizacin, obtener
informacin sensible, interrumpir un servicio,
- Depender delalcanceconcreto del test realizado
8. Test de penetracin != anlisis de vulnerabilidades
- Las vulnerabilidades detectadas se explotan
9. Tests de intrusin (II) Para qu sirven?
-
- Conforman un conjunto de actividades destinadas a estimar el
estado real de la seguridad de un sistema.
- Son uno de los posibles mtodos y tcnicas a usar en las
auditorias de seguridad
- 10. Finalizan con un informe tcnico (identificacin del riesgo,
probabilidad de ocurrencia, impacto en la organizacin,estimacin de
su gravedad, recomendaciones)
Beneficios
- Encuentran brechas de seguridad no vistas
11. Documentan e informan a la direccin de problemas/amenazas
12. Verificacin de configuraciones seguras (en redes y software)
13. Verificacin real del cumplimiento de las polticas y medidas de
seguridad establecidas 14. Tests de intrusin (III) Conceptos
(ISO-27001)
-
- Activo:Cualquier valor cuantificable de naturaleza material o
inmaterial de una organizacin
- 15. Amenaza:Factor de riesgo externo representado por un
peligro latente asociado a un fenmeno natural, tecnolgico o humano,
pudiendo manifestarse en un sitio especfico por un tiempo
determinado, produciendo efectos adversos a personas o bienes
16. Vulnerabilidad:Factor de riesgo interno de un sistema
expuesto a una amenaza, y se corresponde con su predisposicin
intrnseca a ser afectado o susceptible de dao 17.
Riesgo:Probabilidad de que una amenaza explote una vulnerabilidad
18. Impacto:Cuantificacin del dao ocasionado una vez materializada
la amenaza 19. Test de intrusin (III) Colecciones y catlogos
devulnerabilidades
- CWE ( Common Weakness Enumeration )
- Cataloga ms de 600 entradas dividas en: vulnerabilidades de
configuracin, de cdigo y de entorno.
20. Es la clasificacin usada por CVE ( Common Vulnerabilities
and Exposures ). NVD ( National Vulnerability Database )
- Desarrollada por el Instituto Nacional de Estndares y Tecnologa
Norteamericano (NIST)
21. Define 23 tipos de vulnerabilidades. OWASP ( Open Web
Application Security Project )
- Coleccin de 24 tipos vulnerabilidades centrada exclusivamente
en la seguridad de aplicaciones web.
SAMATE (Software Assurance Metrics and Tool Evaluation)
- Desarrollada y mantenida por el NIST
22. Centrada en los errores de codificacin de aplicaticiones
(buffer overflow, etc) 23. Tipos de tests de intrusin (I) White box
pentest
-
- Se posee un amplio conocimiento de la organizacin(estructura,
departamentos, responsabilidades)y de la red(topologa,
dispositivos, SS.OO., bases de datos, IDS, firewalls, ...)
- 24. Se cuenta con colaboracin del personal y con acceso a los
recursos de la empresa.
25. Simula un atacante con conocimiento exhaustivo del sistema
26. Anlisis interno
- Desde el punto de vista de un administrador o usuario que
cuentan con acceso (privilegiado o no) al sistema
27. Puede ser muy extenso (alcance muy amplio) y minucioso (se
dispone de un conocimiento completo) 28. Tipos de tests de intrusin
(II) Black box pentest
-
- No hay conocimiento previo de la organizacin o la red
- Slo se dispone de informacin pblicamente accesible
Pocas personas de la organizacin saben que esta ser atacada. 29.
Simulacin ms realista de un ataque autntico 30. Puede ser muy
costoso(tiempo[recopilacin info.] + personal entrenado) Grey box
pentest(c ombina los anteriores)
-
- Usa tcnicas de un atacante real (black box) con conocimiento
del sistema analizado (white box)
Tests de intrusin especficos
-
- Servicios/aplicaciones web, bases de datos, wireless, ...
- 31. Las tareas y pasos concretos a seguir varan ligeramente en
cada tipo
32. Tipos de tests de intrusin (III) Otra visin:
-
- Conocimiento del atacantevsconocimiento del atacado
33.
- Metodologas de Pen Test (I)
Test de penetracin supone definir y ejecutar multitud de tareas
muy complejas y variadas => necesidad de guias
-
- Metodologas que definan y organicen los procedimientos a
ejecutar para mantener la coherencia en las acciones a
realizar
Open Source Security Testing Methodology Manual (OSSTMM)
-
- Metodologa del ISECOM para la realizacin de evaluaciones de
seguridad, incluidos test de penetracin
- 34. Metodologa Open Source, disponible
enhttp://www.osstmm.org
35. Define, organiza y secuencia las tareas y comprobaciones a
realizar para analizar 3 aspectos (alcance) de la seguridad:
- COMMSEC ( communication security ): redes y transferencia de
datos
36. PHYSEC ( physical security ): personal y equipos fsicos 37.
SPECSEC ( spectrum security ): comunicaciones wireless Entre esos
pasos/tareas/comprobaciones se incluye un marco para la realizacin
de tests de penetracin 38.
- Metodologas de Pen Test (II)
ISSAF( Information Systems Security Assessment Framework )
- Framework del OISSG ( Open Information Systems Security Group )
que define procediemientos de aseguramiento y comprobacin de la
seguridad incluidopen testing
39. Web:http://www.oissg.org/ OWASP Testing Guide de OWASP
- Framework del proyectoOpen Web Application Security Project
(OWASP)exclusivamente dedicado a seguridad de aplicaciones
web.
40. Web:http://www.owasp.org/ 41. Productos:
- Guia de desarrollo y testing de aplicaciones
webhttp://www.owasp.org/index.php/OWASP_Guide_Project
- Define listas de comprobaciones en un test de intrusin web
Top 10 de amenazas
webhttp://www.owasp.org/index.php/OWASP_Top_Ten_Project 42. Fases y
tareas tpicas
- Recopilacin de informacin
- 43. Etapa 2: Exploracin
Informe final del test
- Resumen del proceso realizado
44. Clasificacin de las vulnerabilidades encontradas y su nivel
(alto, medio, bajo) 45. Propuesta de correcciones y sugerencia de
buenas prcticasInforme ejecutivo.
- Explotacin
- 46. Etapa 5: Escalada de privilegios
47. Etapa 6: Dao 48. Etapa 7: Borrado de huellas 49. Fases y
tareas tpicas (I) Etapa 1: Rastreo
- Obtener informacin del sistema/organizacin/red/mquina bajo
anlisis
- Nombres de dominio, direcciones IP, nombres de usuarios,
responsables,
50. Bases de datos pblicas:whois, RIPE, DNS, 51. Buscadores
- Genricos:Google hacking, bing hacking, ...
52. Especficos:Goolag( http://www.goolag.org ),KartOO(
http://kartoo.org ) Herramientas genricas de gestin de red:dig,
nslookup,... 53. Herramientas especficas:FOCA (anlisis metadatos)
,Maltego 54. Fases y tareas tpicas (II) Etapa 2: Exploracin
- Analizar el sistema objetivo para identificar servicios
activos, mquinas disponibles, recursos/dispositivos de red
(routers, firewalls, ...), sistema operativo, ...
- Herramientas genricas de gestin de red:ping,
traceroute,...
55. Herramientas especficas
- escneres de puertos:nmap, hping3, xprobe, ...
56. Fases y tareas tpicas (III) Etapa 3: Enumeracin
- Pruebas y tests para identificar recursos especficos y sus
caractersticas concretas
- Identificar SS.OO., sus versiones y parches de seguridad
(service packs, etc)
57. Versiones concretas de servicios/aplicaciones 58. Cuentas de
usuario vlidas 59. Herramientas especficas
- Escneres puertos e identificadores de servicios:nmap,
xprobe...
60. Escneres de vulnerabilidades:nessus, openvas, 61. Escneres
de vuknerabilidades especficos:w3af(escaner de wulnerabilidades
web) 62. Fases y tareas tpicas (IV) Etapa 4: Acceso Obtener un
acceso no autorizado o no previsto a alguno/s de los recursos o
servicios identificados en el sistema objetivo.
- Por fuerza bruta, ataques de diccionario (Rainbow tables),
prueba de contraseas por defecto o contrseas dbiles
63. Herramientas:THC hydra, John the Ripper, Abel and Cain,...
Sniffing/escucha de contraseas o datos sensibles:wireshark,
tcpdump, ettercap, ... 64. Inyeccin de trfico: ettercap, dnsniff,
sslsniff, ... 65. Explotacin de vulnerabilidades especficas de las
versiones concretas de los servicios/recursos identificados.
- Exploits especficos:http://milw0rm.com
66. Herramientas automatizacin exploits: Metasploit, CORE
Impact, SAINTexploit 67. Uso de valores de entrada no previstos
- fuzzers : exploraciones exhaustiva automatizada de los posibles
datos de entrada, buscando (a ciegas) situaciones no previstas
68. Fases y tareas tpicas (V) Etapa 5: Escalada de privilegios
Obtener control completo del sistema, adquiriendo (y manteniendo)
permisos, credenciales y privilegios propios de los
administradores.
-
- Objetivo:Validar si para el supuesto atacante sera posible
adquirir privilegios que le permitieran ejecutar acciones
maliciosas o acceder a datos restringidos.
- 69. Suele requerir incluir cdigo especfico en el sistema
objetivo ( payload ) que permitan realizar determinadas
acciones:
- Normalmente ofrecen algn tipo de acceso remoto al mismo
(habilitanpuertas traseras ):
- abrir shells del sistema con privilegios (bash), habilitar
conexiones de escritorio remoto (VNC),...
Explotacin de vulnerabilidades especficas de las versiones
concretas de los servicios/recursos identificados.
- Exploits especficos:http://milw0rm.com
70. Herramientas automatizacin exploits:Metasploit, Core Impact
71. Puertas traseras:BackOrifice,LCP 5.0 72. Fases y tareas tpicas
(VI) Etapa 6: Dao
- Valorar y evaluar la capacidad del atacante que ha escalado
privilegios derealizar acciones maliciosas que causen dao:
- Acceso a datos confidenciales
73. Alteracin de informacin: datos protegidos, pginas web, ...
Denegacin de servicio (DoS)
- Imposibilitar el acceso o uso de determinados componentes del
sistema a sus usuarios legtimos.
Extensin del ataque
- Evaluar la posibilidad de usar el sistema controlado como punto
de partida para iniciar ataques a otras parte del propio sistema
objetivo o a sistemas ajenos
74. Fases y tareas tpicas (VII) Etapa 7: Borrado de huellas
- Verificar hasta que punto el potencial atacante tendra
capacidad de eliminar el rastro de sus acciones maliciosas y
mantener su control del sistema de forma permanente sin ser
detectado.
- Objetivo:Eliminacin de los registros y logs que contengan
informacin que releve la existencia del ataque y que pudiera ser de
utilidad en un anlisis forense o una auditora de seguridad.
75. Distribuciones GNU/Linux parapen testing BackTrack 4
- Live-cd con multitud de herramientas de anlisis de seguridad
preconfiguradas.
76. Orientado principalmente a tests de intrusin. 77.
Herramientas organizadas en 11 categorias que se corresponden con
las fases tpicas de una intrusin. 78.
Web:http://www.backtrack-linux.org/ Otras distribuciones:
- Pentoo[web:http://www.pentoo.ch/ ]
79. DVL ( damm vulnerable linux )[web:
http://www.damnvulnerablelinux.org/ ]
- ejercicios de intrusin, sistemas vulnerables para
pruebas,...
Digital Forensics Reverse Engineering Voice Over IP Information
Gathering Network Mapping Vulnerability Identification Web
Application Analysis Radio Network Analysis (802.11,Bluetooth,Rfid)
Penetration (Exploit & Social Engineering Toolkit) Privilege
Escalation Maintaining Access