Owasp presentacion latam tour (Ago 2011)

Ing. Juan Pablo Quiñe Paz CISSP, ISO27001LA, GISP, OSCP, Cobit-F juan.quine@gmail.com Man in the middle aplicado a la Seguridad

¿Quién soy yo?
The Son of Man (French: Le fils de l'homme)
René Magritte (Bélgica, 1964)

¿A qué me dedico?
Oficial de Seguridad de la Información
Evaluación de Seguridad, Ethical Hacking, ISO 27000, Seguridad de la Información, Seguridad Informática, Redes, Protocolos, Estándares de Seguridad, Auditoría de TI, SOX Gobernance and Compliance y lo que pueda surgir…
Certificaciones: CISSP, GISP, ISO 27001 LA, OSCP, COBIT-F.

¿A qué me dedico? (Cont.)
Investigación y hobbies relacionados con:
Hacking, Wifi, Bluetooth, IrDA, RFiD, Networking, Lockpicking, Ing. Social, Computer Games, PS3, PSP, Car audio, IT Security, Mobile Hacking, Linux, fanático de Mac, paintball, placas arduino, ARM asm, análisis de aparatejos tecnológicos en general, entre otros…

¿Que es Man in the Middle?

¿Qué es man in the middle?
“ Un ataque man-in-the-middle ( MITM ) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado.”
Extraido de:
http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle

Seguridad defensiva y ofensiva
He aquí el dilema

Algunos ataques relacionados
ARP Poisoning
ARP Spoofing
DNS spoofing
Port Stealing (robo de puerto)
DHCP Spoofing
Otros ataques de tipo MITM:
STP Mangling
ICMP redirection
IRDP spoofing
Route mangling

Haciendo algo de historia
Antecesores al MitM

Sniffing en una Red con Hubs PC HACKER PC 1 PC 2 PC 3 PC 4 Sniffer Datos PC 4 filtra filtra

PC HACKER PC 1 PC 2 PC 3 PC 4 Sniffer MAC 1 MAC 2 MAC H MAC 3 MAC 4 Puerto 1 MAC 1 Puerto 2 MAC 2 Puerto 6 MAC H Puerto 11 MAC 3 Puerto 12 MAC 4 Sniffing en una Red con Switches Datos PC 4

Ataque ARP M an I n T he M iddle ¿Quien tiene 1.1.1.2? 1.1.1.2 esta en 99:88:77:66:55:44 1.1.1.2 esta en 00:11:22:33:44:55:66 1.1.1.1 1.1.1.2 1.1.1.1 esta en 99:88:77:66:55:44

Man-in-the-Middle en HTTP Fernando G. - Alvaro R. Redes de Computadores

Aplicaciones http
Algunas cosas que debemos considerar

Arquitectura funcional de una aplicación HTTP Sistema Operativo Servidor Web Aplicación Web Aplicación Web Base de Datos (Información)

Fallos comunes de seguridad Web
Cross-site Scripting
SQL Injection
Debilidades en Login/Password
Robo de Sesiones
Mensajes de error de sistema en crudo
Validación de Parámetros
Buffer Overflows
Robo de Cookies

Diagrama de estados de una conexión HTTPS Diagrama teórico conexión HTTPS, usando SSL/TLS : handshake: ClientHello handshake: ServerHello handshake: Certificate handshake: ServerHelloDone handshake: ClientKeyExchange ChangeCipherSpec handshake: Finished ChangeCipherSpec handshake: Finished application_data application_data

Demostración practica de HTTPS : Resultados Paquetes captados utilizando herramienta wireshark :

Teoria sobre http
Estableciendo las bases

Métodos HTTP

Como funcionan los Web Servers
El browser parte el URL en 3 partes:
El protocolo ("HTTP")
El nombre del servidor ("www.website.com")
El Archivo ("webpage.html")
El navegador se comunica con un servidor de dominio, donde traduce el nombre del servidor por la dirección IP
El navegador luego realiza una conexión al Servidor Web a la dirección IP al puerto 80.

Como funcionan los Web Servers (Cont.)
Siguiendo el protocolo HTTP, el navegador envía una solicitud GET al servidor, solicitando por el archivo http://webpage.html .
El servidor envía el texto HTML text por la página web al navegador.
El navegador lee el texto HTML y formatea la página en la pantalla.

¿Algunos supuestos en HTTP?
Siempre se hace una conexión utilizando un browser
Es posible enviar datos ocultos dentro del código fuente
Los parámetros o variables definidos no pueden ser manipulados del lado del cliente (browser)
No es posible insertar otra cosa que no sea HTTP
No es posible alterar la información durante el envío y recepción de los datos

Confianza en los datos del lado cliente
No se bloquean caracteres especiales
Filtrado en la salida de caracteres HTML
Acceso a Admin por las aplicaciones Web
Autenticación vía ActiveX/JavaScript
Falta de autenticación de usuario a realizar tareas críticas
Debilidades en el manejo de sesiones
¿Qué trae esto como consecuencia?

Partamos del siguiente supuesto

Reemplazamos el Cliente por una ventana en línea de comandos
Utilizamos browsers no convencionales o antiguos (Lynx, Opera, Iexplorer 3.0)
Implementamos capas adicionales en la conexión (proxys en la navegación)
Alteremos nuestro supuesto

¿Que nos permiten estos cambios?
Somos capaces de ver, capturar, modificar la información que ha sido procesada en los browsers
Somos capaces de entender la lógica de la programación
Somos capaces de manipular la información a fin de probar la seguridad de nuestros sistemas

Manipulación de datos Proxy i.e. Achilles Web Browser Server

Manipulación de datos (Cont.)

ZAP
Zap es una herramienta creada por OWASP
Está basada Paros
Tiene las siguientes funcionalidades:
Proxy de Interceptación
Escaner automático
Escaner Pasivo
Escaner Fuerza Bruta
Web Spider
Fuzzer
Escaner de Puertos
Certificados SSL Dinámicos
API
Integración Beanshell (java shells interaction)

ISO’s/LiveCD’s para practicar
http://herot.net/livecds
http://www.bad-store.net /
http://www.bonsai-sec.com/es/research/moth.php
http://blog.metasploit.com/2010/05/introducing-metasploitable.html
http://www.mavensecurity.com/web_security_dojo/
http://informatica.uv.es/~carlos/docencia/netinvm /

A great power becomes with a great responsability

Comentarios Finales
Todo conocimiento debe ser utilizado con fines éticos.
El hecho de saber como vulnerar la seguridad, no nos da el derecho de hacerlo indiscriminadamente.
Toda evaluación de seguridad debe ser aprobada previamente a su ejecución por personal responsable de los equipos.
La línea entre lo legal y lo ilegal es muy frágil y podemos cruzarla sin darnos cuenta.

Muchas Gracias!

http://hackspy.blogspot.com	650
http://hackspy.blogspot.com.es	11
http://hackspy.blogspot.mx	10
http://hackspy.blogspot.com.ar	9
http://hackspy.blogspot.in	5
http://www.hackspy.blogspot.com	3
http://hackspy.blogspot.com.br	2
http://hackspy.blogspot.fr	2
http://translate.googleusercontent.com	1
http://hackspy.blogspot.jp	1
http://hackspy.blogspot.ca	1

Owasp presentacion latam tour (Ago 2011)

by Juan Pablo Quiñe Paz on Aug 26, 2011

Accessibility

Categories

Tags

Upload Details

Usage Rights

11 Embeds 695

Statistics

Owasp presentacion latam tour (Ago 2011) — Presentation Transcript