Pruebas de Intrusión utilizando Open Source

Pruebas de Intrusión Utilizando Herramientas Open Source Juan Pablo Quiñe PazChiclayo CISSP, GISP, ISO27001 LAIT SecurityDay 2011 http://hackspy.blogspot.com

Agenda http://hackspy.blogspot.com

¿Quién soy yo?Ing. de Sistemas10 años dedicado a laSeguridad Informática y deTICertiﬁcaciones: CISSP,GISP, ISO 27001 LA, OSCP The Son of Man (French: Le fils de lhommeRené Magritte (Bélgica, 1964)

¿A qué me dedico?Evaluación de Seguridad,Ethical Hacking, ISO 27000,Seguridad de la Información,Seguridad Informática,Redes, Protocolos, Estándaresde Seguridad, Auditoría de TI,Gobernance and Compliance ylo que pueda surgir…Certiﬁcaciones: CISSP, GISP,ISO 27001 LA, COBIT.

¿A qué me dedico? (Cont.) Investigación y hobbies relacionados con:Hacking, Wiﬁ, Bluetooth, IrDA,RFiD, Networking, Lockpicking,Ing. Social, Computer Games, PS3,PSP, Car audio, IT Security,Mobile Hacking, Linux, fanático deMac, paintball, placas arduino,análisis de aparatejos tecnológicosen general, entre otros…

DisclaimerTodo el contenido de esta charla es resultadode investigación con ﬁnes didácticos yeducativos.El autor no se hace responsable por el usodel conocimiento contenido en la siguientepresentación.La información contenida debe ser utilizadaúnicamente para ﬁnes éticos y con la debidaautorización.

Deﬁniciones

Principios de la SeguridadConﬁdencialidad: La capacidad prevenir ladivulgación de información a personas osistemas no autorizados.Integridad: La propiedad de mantener losdatos libres de modiﬁcaciones no autorizadas.Disponibilidad: La característica, cualidad ocondición de la información de encontrarse adisposiciónde quienes deben acceder a ella,ya sean personas, procesos, o aplicaciones.

¿Qué es una Prueba de Intrusión? Wiki + apreciación personal: Una Prueba de Intrusión es un método, actividad, o buena práctica realizado para evaluar la seguridad de un equipo o red simulando un ataque proveniente de una fuente maliciosa.

Que tipos deEvaluaciones existenwhite box: Cuando se realiza unaevaluación con conocimiento detalladode la red.black box: Cuando no se tiene mayorconocimiento del objetivo a evaluar.gray box: Cuando se tienen ciertosdatos sobre el objetivo a evaluar.

Otras deﬁnicionesRiesgo: la explotación de una vulnerabilidad porparte de una amenazaExposiciones: Áreas que son vulnerables a unimpacto por parte de una amenazaVulnerabilidades: deﬁciencias que pueden serexplotadas por amenazasAmenazas: Cualquier acción o evento que puedeocasionar consecuencias adversasImpacto: los resultados y consecuencias de que sematerialice un riesgo

Un pequeño juego

Hagamos el siguiente ejercicio Pasar por los 9 puntos utilizando únicamente 4 líneas rectas sin levantar el trazo

Algunas confusiones comunes:Análisis de Vulnerabilidades vs Ethical Hacking

Comparación entre: Análisis de Ethical Hacking Vulnerabilidades Identificación de fallas de Identificación de fallas de seguridad seguridad Análisis de vulnerabilidades Búsqueda de Vulnerabilidades a en los equipos a evaluar explotar Enumeración de las Explotación de vulnerabilidades a vulnerabilidades, riesgo y fin de comprobar las falencias de posibles alternativas de seguridad solución Se muestra evidencia del acceso Por lo general la verificación “autorizado” a los sistemas y los de las vulnerabilidades métodos para ello escapa al análisis Ejecutado al final de un plan de Ejecutado al inicio de un plan seguridad para verificar que el de seguridad para adoptar sistema se encuentra seguro medidas correctivas

Problemática

Dudas que surgen con las Pruebas de IntrusiónCómo prácticar sin cometer delitos, o afectara nuestros sistemas.Como deﬁnir el alcance de las pruebas.Como lograr el objetivo esperado.Como preparar un buen informe.Como asegurar las brechas encontradas.

Metodos

Algunas metodologías conocidasOSTMM - Open Source Security TestingMethodology ManualISSAF - Open Information System SecurityAsessment FrameworkOWASP - Open Web Application SecurityProjectPTES - Penetration Testing ExecutionStandard

¿Cual es nuestro punto de partida?

A que amenazas estáexpuesta una Organización

Evaluación Ingeniería Evaluació n Evaluació n Evaluació n Evaluació n de Seguridad Social de Seguridad de Seguridad Intranet/red de Seguridad de Accesos Internet Intranet interna Extranet Remotos FASE 1 Descubrimiento / ATAQUE Exploración FASE 2 PENETRACIÓN Explotación FASE 3 AMENAZAS &VULNERABILIDADES Evaluació n de la vulnerabilidad del host Perspectivas para una evaluación de Seguridad

Toma de Huellas Escaneo Enumeración Denegaciones de Obtención de Acceso servicio (DoS) Escalamiento de PrivilegiosCreación de Puertas Extraer información traseras (Pilfering) Eliminación de huellas Fuente: Hacking Exposed 4th Edition Anatomía de un Ataque

Prueba de Intrusión

Toma de HuellasEsta etapa abarcaactividades tales como:Google HackingIdentiﬁcación de Dominiosy redes asociadas.Reconocimiento de la red.

Escaneo (de equipos y servicios)Identiﬁca:Equipos activosServicios Activos y susversionesSistema OperativoOtros datos relevantes

Explotación (De Datos y Vulnerabilidades)Explotación devulnerabilidades para cadaservicio.Identiﬁcación deinformación relevante parala explotación.Retroalimentación quefacilite la explotación.Clasiﬁcación de las brechasencontradas.

Reporte de HallazgosInforme EjecutivoInforme Detallado: Hallazgos Riesgos y, Recomendaciones de controlAnexos: Reportes de hallazgos Estadísticas

Consideración almomento de recomendar mejoras IMPORTANTEEs necesario identiﬁcar cuales son lasnecesidades y las implicancias de las brechasencontradasEvaluar y probar cada corrección previamenteque podría afectar a uno o mas sistemasexistentes.

Herramientas

Algunas Herramientas recomendadasNMAP Rainbow TablesNetcat NiktoNessus BurpOpenVAS ParosMetasploit KismetSET AirCrackJohn The Ripper Maltego

Algunos sitios recomendadoshttp://sectools.org (Top 100 SecTools)http://securitytube.net (Security Videos)http://www.exploit-db.com (Exploits DB)http://packetstormsecurity.org (de todo un poco)http://www.cisecurity.org (checklists de seguridad)

ISOs/LiveCD’s para prácticarhttp://herot.net/livecdshttp://www.bad-store.net/http://www.bonsai-sec.com/es/research/moth.phphttp://blog.metasploit.com/2010/05/introducing-metasploitable.htmlhttp://www.mavensecurity.com/web_security_dojo/http://informatica.uv.es/~carlos/docencia/netinvm/

Existe algo como “esto”en Pruebas de Intrusión

Algunas LiveDistros para Pruebas de IntrusiónBackTrack (http://www.backtrack-linux.org/)Samurai (http://samurai.inguardians.com/)OWASP LiveCD Project (http://www.owasp.org/)BackBox (http://www.backbox.org)Katana (http://www.hackfromacave.com/katana.html)

Ataque Man In The Middle

1.1.1.1 .1.1.2? tie ne 1 en ¿ Qui 1.1.1.2 Comunicación en una red con switches

1.1.1.1 1.1.1.2 esta en 00:11:22:33:44:55:66 1.1.1.2 Comunicación en una red con switches

1.1.1.1 Intercambio de Datos 1.1.1.2 Comunicación en una red con switches

1.1.1.1 1.1.2? iene 1. t ¿Quien 1.1.1.2Ataque ARP Man In The Middle

1.1 :88:7 99 .1. 7:6 1 e 6: 4 6: n :4 :6 e 55 sta 55: 77 ta 8: es en 44 :8 .2 99 1.1 1.1.1.1.1 1.1.1.2Ataque ARP Man In The Middle

Intercambio de Datos1.1.1.1 1.1.1.2Ataque ARP Man In The Middle

Aplicándolo a una evaluación Web

Arquitectura de una Aplicación Web Firewall User Web App Scripts Firewall Web Server Database

Métodos HTTP

Como se desarrollaun Acceso a un WebEl browser parte el URL en 3 partes:El protocolo ("HTTP")El nombre del servidor ("www.website.com")El Archivo ("webpage.html")El navegador se comunica con un servidor dedominio, donde traduce el nombre delservidor por la dirección IPEl navegador luego realiza una conexión alServidor Web a la dirección IP al puerto 80.

Como se desarrollaun Acceso a un Web (cont.) Siguiendo el protocolo HTTP, el navegador envía una solicitud GET al servidor, solicitando por el archivo http:// webpage.html. El servidor envía el texto HTML text por la página web al navegador. El navegador lee el texto HTML y formatea la página en la pantalla.

Algunos supuestos en http Siempre se hace una conexión utilizando un browser Es posible enviar datos ocultos dentro del código fuente Los parámetros o variables no pueden ser manipulados por el cliente No es posible insertar otra cosa que no sea HTTP

¿Que trae como consecuencia?Conﬁanza en los datos del lado clienteNo se bloquean caracteres especialesFiltrado en la salida de caracteres HTMLAcceso a Admin por las aplicaciones WebAutenticación vía ActiveX/JavaScriptFalta de autenticación de usuario a realizartareas críticasDebilidades en el manejo de sesiones

Nuestro escenario Ideal

BackTrack 4 Web Store DE-ICE Inc. 172.16.146.130 172.16.146.131 172.16.146.132 LABORATORIO VIRTUAL MacBook 13" Core2Duo 2.2GHz 3GB Ram 250 GB HDD Mac OSX (Darwin) Running VMWare Fusion KeyNoteLa realidad de nuestro laboratorio

Utilizando MitM para evaluar HTTP

Base de Datos (Información) Aplicación Web Servidor Web Sistema OperativoArquitectura Funcional de una aplicación HTTP

Fallos Comunes de Seguridad WebCross-site ScriptingSQL InjectionDebilidades en Login/PasswordRobo de SesionesMensajes de error de sistema en crudoValidación de ParámetrosBuffer OverﬂowsRobo de Cookies

Partamos del supuesto

Alteremos nuestro supuestoReemplazamos el Cliente por una ventana en línea decomandosUtilizamos browsers no convencionales o antiguos (Lynx,Opera, Iexplorer 3.0)Implementamos capas adicionales en la conexión (proxysen la navegación)

Que nos permiten estos cambiosSomos capaces de ver, capturar, modiﬁcar lainformación que ha sido procesada en losbrowsersSomos capaces de entender la lógica de laprogramaciónSomos capaces de manipular la información aﬁn de probar la seguridad de nuestrossistemas

Estamos seguros¿Con un Firewall?

Estamos seguros ¿Con un Firewall?iptables -A INPUT -i eth0 -p tcp --sport 1024-65535 -d $IPADDR --dport 80 -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp ! --syn -s $IPADDR --sport 80 --dport 1024-65535 -j ACCEPT

Estamos seguros¿Con un Firewall?

Como se vulnera un Firewall

Pensamientos Finales

Recordemos...Todo conocimiento debe ser utilizado conﬁnes éticos.El hecho de saber como vulnerar laseguridad, no nos da el derecho de hacerloindiscriminadamente.Toda evaluación de seguridad debe seraprobada previamente a su ejecución porpersonal responsable de los equipos.La línea entre lo legal y lo ilegal es muyfrágil y podemos cruzarla sin darnos cuenta.

Gracias... Juan Pablo Quiñe Paz, CISSP, GISP, ISO 27001 LA http://hackspy.blogspot.com

http://hackspy.blogspot.com	664
http://hackspy.blogspot.com.es	11
http://hackspy.blogspot.com.ar	9
http://hackspy.blogspot.mx	9
http://hackspy.blogspot.in	6
http://www.hackspy.blogspot.com	3
http://hackspy.blogspot.fr	2
http://hackspy.blogspot.com.br	2
http://hackspy.blogspot.jp	1
http://hackspy.blogspot.ca	1
http://translate.googleusercontent.com	1
http://www.slideshare.net	1

Pruebas de Intrusión utilizando Open Source

by Juan Pablo Quiñe Paz on Jun 30, 2011

Accessibility

Categories

Tags

Upload Details

Usage Rights

12 Embeds 710

Statistics

Pruebas de Intrusión utilizando Open Source — Presentation Transcript