• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Owasp presentacion latam tour (Ago 2011)
 

Owasp presentacion latam tour (Ago 2011)

on

  • 2,722 views

Esta presentacion la prepare para el OWASP Latam, que se realizo en Peru en agosto 2011, esta vez prepraré un reciclado con su poco de update para el tema de MitM aplicado al Web Security. Espero sea ...

Esta presentacion la prepare para el OWASP Latam, que se realizo en Peru en agosto 2011, esta vez prepraré un reciclado con su poco de update para el tema de MitM aplicado al Web Security. Espero sea de vuestro agrado.

Statistics

Views

Total Views
2,722
Views on SlideShare
1,038
Embed Views
1,684

Actions

Likes
2
Downloads
0
Comments
0

22 Embeds 1,684

http://hackspy.blogspot.com 1411
http://hackspy.blogspot.mx 66
http://hackspy.blogspot.com.ar 61
http://hackspy.blogspot.com.es 59
http://hackspy.blogspot.ru 32
http://hackspy.blogspot.com.br 11
http://hackspy.blogspot.in 8
http://hackspy.blogspot.de 4
http://www.hackspy.blogspot.com 4
http://hackspy.blogspot.ro 4
http://hackspy.blogspot.it 4
http://hackspy.blogspot.fr 3
http://www.linkedin.com 3
http://translate.googleusercontent.com 3
http://hackspy.blogspot.pt 3
http://hackspy.blogspot.ca 2
http://hackspy.blogspot.hu 1
http://hackspy.blogspot.co.at 1
http://hackspy.blogspot.ie 1
http://hackspy.blogspot.co.uk 1
http://hackspy.blogspot.jp 1
http://hackspy.blogspot.com.au 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • Universidad de Marina Mercante
  • Asimismo agradecer a los siguientes sponsors a nivel Global, quienes ayudaron a que este evento se realize en toda la region.

Owasp presentacion latam tour (Ago 2011) Owasp presentacion latam tour (Ago 2011) Presentation Transcript

  • Ing. Juan Pablo Quiñe Paz CISSP, ISO27001LA, GISP, OSCP, Cobit-F juan.quine@gmail.com Man in the middle aplicado a la Seguridad
  • ¿Quién soy yo?
    • The Son of Man (French: Le fils de l'homme)
    • René Magritte (Bélgica, 1964)
  • ¿A qué me dedico?
    • Oficial de Seguridad de la Información
    • Evaluación de Seguridad, Ethical Hacking, ISO 27000, Seguridad de la Información, Seguridad Informática, Redes, Protocolos, Estándares de Seguridad, Auditoría de TI, SOX Gobernance and Compliance y lo que pueda surgir…
    • Certificaciones: CISSP, GISP, ISO 27001 LA, OSCP, COBIT-F.
  • ¿A qué me dedico? (Cont.)
    • Investigación y hobbies relacionados con:
    • Hacking, Wifi, Bluetooth, IrDA, RFiD, Networking, Lockpicking, Ing. Social, Computer Games, PS3, PSP, Car audio, IT Security, Mobile Hacking, Linux, fanático de Mac, paintball, placas arduino, ARM asm, análisis de aparatejos tecnológicos en general, entre otros…
  • ¿Que es Man in the Middle?
  • ¿Qué es man in the middle?
    • “ Un ataque man-in-the-middle ( MITM ) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado.”
    • Extraido de:
    • http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle
  • Seguridad defensiva y ofensiva
    • He aquí el dilema
  • Algunos ataques relacionados
    • ARP Poisoning
    • ARP Spoofing
    • DNS spoofing
    • Port Stealing (robo de puerto)
    • DHCP Spoofing
    • Otros ataques de tipo MITM:
      • STP Mangling
      • ICMP redirection
      • IRDP spoofing
      • Route mangling
  • Haciendo algo de historia
    • Antecesores al MitM
  • Sniffing en una Red con Hubs PC HACKER PC 1 PC 2 PC 3 PC 4 Sniffer Datos PC 4 filtra filtra
  • PC HACKER PC 1 PC 2 PC 3 PC 4 Sniffer MAC 1 MAC 2 MAC H MAC 3 MAC 4 Puerto 1 MAC 1 Puerto 2 MAC 2 Puerto 6 MAC H Puerto 11 MAC 3 Puerto 12 MAC 4 Sniffing en una Red con Switches Datos PC 4
  • Ataque ARP M an I n T he M iddle ¿Quien tiene 1.1.1.2? 1.1.1.2 esta en 99:88:77:66:55:44 1.1.1.2 esta en 00:11:22:33:44:55:66 1.1.1.1 1.1.1.2 1.1.1.1 esta en 99:88:77:66:55:44
  • Man-in-the-Middle en HTTP Fernando G. - Alvaro R. Redes de Computadores
  • Aplicaciones http
    • Algunas cosas que debemos considerar
  • Arquitectura funcional de una aplicación HTTP Sistema Operativo Servidor Web Aplicación Web Aplicación Web Base de Datos (Información)
  • Fallos comunes de seguridad Web
    • Cross-site Scripting
    • SQL Injection
    • Debilidades en Login/Password
    • Robo de Sesiones
    • Mensajes de error de sistema en crudo
    • Validación de Parámetros
    • Buffer Overflows
    • Robo de Cookies
  • Diagrama de estados de una conexión HTTPS Diagrama teórico conexión HTTPS, usando SSL/TLS : handshake: ClientHello handshake: ServerHello handshake: Certificate handshake: ServerHelloDone handshake: ClientKeyExchange ChangeCipherSpec handshake: Finished ChangeCipherSpec handshake: Finished application_data application_data
  • Demostración practica de HTTPS : Resultados Paquetes captados utilizando herramienta wireshark :
  • Teoria sobre http
    • Estableciendo las bases
  • Métodos HTTP
  • Como funcionan los Web Servers
    • El browser parte el URL en 3 partes:
      • El protocolo ("HTTP")
      • El nombre del servidor ("www.website.com")
      • El Archivo ("webpage.html")
      • El navegador se comunica con un servidor de dominio, donde traduce el nombre del servidor por la dirección IP
    • El navegador luego realiza una conexión al Servidor Web a la dirección IP al puerto 80.
  • Como funcionan los Web Servers (Cont.)
    • Siguiendo el protocolo HTTP, el navegador envía una solicitud GET al servidor, solicitando por el archivo http://webpage.html .
    • El servidor envía el texto HTML text por la página web al navegador.
    • El navegador lee el texto HTML y formatea la página en la pantalla.
  • ¿Algunos supuestos en HTTP?
    • Siempre se hace una conexión utilizando un browser
    • Es posible enviar datos ocultos dentro del código fuente
    • Los parámetros o variables definidos no pueden ser manipulados del lado del cliente (browser)
    • No es posible insertar otra cosa que no sea HTTP
    • No es posible alterar la información durante el envío y recepción de los datos
    • Confianza en los datos del lado cliente
    • No se bloquean caracteres especiales
    • Filtrado en la salida de caracteres HTML
    • Acceso a Admin por las aplicaciones Web
    • Autenticación vía ActiveX/JavaScript
    • Falta de autenticación de usuario a realizar tareas críticas
    • Debilidades en el manejo de sesiones
    ¿Qué trae esto como consecuencia?
  • Partamos del siguiente supuesto
    • Reemplazamos el Cliente por una ventana en línea de comandos
    • Utilizamos browsers no convencionales o antiguos (Lynx, Opera, Iexplorer 3.0)
    • Implementamos capas adicionales en la conexión (proxys en la navegación)
    Alteremos nuestro supuesto
  • ¿Que nos permiten estos cambios?
    • Somos capaces de ver, capturar, modificar la información que ha sido procesada en los browsers
    • Somos capaces de entender la lógica de la programación
    • Somos capaces de manipular la información a fin de probar la seguridad de nuestros sistemas
  • Manipulación de datos Proxy i.e. Achilles Web Browser Server
  • Manipulación de datos (Cont.)
  • Manipulación de datos (Cont.)
  • Manipulación de datos (Cont.)
  • ZAP
    • Zap es una herramienta creada por OWASP
    • Está basada Paros
    • Tiene las siguientes funcionalidades:
      • Proxy de Interceptación
      • Escaner automático
      • Escaner Pasivo
      • Escaner Fuerza Bruta
      • Web Spider
      • Fuzzer
      • Escaner de Puertos
      • Certificados SSL Dinámicos
      • API
      • Integración Beanshell (java shells interaction)
  • ISO’s/LiveCD’s para practicar
    • http://herot.net/livecds
    • http://www.bad-store.net /
    • http://www.bonsai-sec.com/es/research/moth.php
    • http://blog.metasploit.com/2010/05/introducing-metasploitable.html
    • http://www.mavensecurity.com/web_security_dojo/
    • http://informatica.uv.es/~carlos/docencia/netinvm /
  • A great power becomes with a great responsability
  • Comentarios Finales
    • Todo conocimiento debe ser utilizado con fines éticos.
    • El hecho de saber como vulnerar la seguridad, no nos da el derecho de hacerlo indiscriminadamente.
    • Toda evaluación de seguridad debe ser aprobada previamente a su ejecución por personal responsable de los equipos.
    • La línea entre lo legal y lo ilegal es muy frágil y podemos cruzarla sin darnos cuenta.
  • Muchas Gracias!