Al fin me pude sentar a publicar esta charla prometida, preparada originalmente para el flisol de Puno, lastimosamente por problemas de coordinación no se pudo dar, pero luego de unas mejoras, pudimos tenerla lista para el "Chiclayo IT Security Day 2011", en el cual estuvimos este fin de semana.
Toca muchos temas, desde las metodologìas para hacer pentesting, las herramientas, las metodologías, y bueno, la charla presencial tuvo una pequeña demo.
Encontrarán varios links que espero les sean de utilidad. Espero la disfruten.
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Pruebas de Intrusión con Herramientas Open Source
1. Pruebas de Intrusión
Utilizando Herramientas Open Source
Juan Pablo Quiñe Paz
Chiclayo
CISSP, GISP, ISO27001 LA
IT Security
Day 2011
http://hackspy.blogspot.com
3. ¿Quién soy yo?
Ing. de Sistemas
10 años dedicado a la
Seguridad Informática y de
TI
Certificaciones: CISSP,
GISP, ISO 27001 LA, OSCP
The Son of Man (French: Le fils de l'hommeRené Magritte
(Bélgica, 1964)
4. ¿A qué me dedico?
Evaluación de Seguridad,
Ethical Hacking, ISO 27000,
Seguridad de la Información,
Seguridad Informática,
Redes, Protocolos, Estándares
de Seguridad, Auditoría de TI,
Gobernance and Compliance y
lo que pueda surgir…
Certificaciones: CISSP, GISP,
ISO 27001 LA, COBIT.
5. ¿A qué me dedico? (Cont.)
Investigación y hobbies
relacionados con:
Hacking, Wifi, Bluetooth, IrDA,
RFiD, Networking, Lockpicking,
Ing. Social, Computer Games, PS3,
PSP, Car audio, IT Security,
Mobile Hacking, Linux, fanático de
Mac, paintball, placas arduino,
análisis de aparatejos tecnológicos
en general, entre otros…
6. Disclaimer
Todo el contenido de esta charla es resultado
de investigación con fines didácticos y
educativos.
El autor no se hace responsable por el uso
del conocimiento contenido en la siguiente
presentación.
La información contenida debe ser utilizada
únicamente para fines éticos y con la debida
autorización.
8. Principios de la
Seguridad
Confidencialidad: La capacidad prevenir la
divulgación de información a personas o
sistemas no autorizados.
Integridad: La propiedad de mantener los
datos libres de modificaciones no autorizadas.
Disponibilidad: La característica, cualidad o
condición de la información de encontrarse a
disposiciónde quienes deben acceder a ella,
ya sean personas, procesos, o aplicaciones.
9. ¿Qué es una Prueba de
Intrusión?
Wiki + apreciación personal: Una Prueba de
Intrusión es un método, actividad, o buena
práctica realizado para evaluar la seguridad
de un equipo o red simulando un ataque
proveniente de una fuente maliciosa.
10. Que tipos de
Evaluaciones existen
white box: Cuando se realiza una
evaluación con conocimiento detallado
de la red.
black box: Cuando no se tiene mayor
conocimiento del objetivo a evaluar.
gray box: Cuando se tienen ciertos
datos sobre el objetivo a evaluar.
11. Otras definiciones
Riesgo: la explotación de una vulnerabilidad por
parte de una amenaza
Exposiciones: Áreas que son vulnerables a un
impacto por parte de una amenaza
Vulnerabilidades: deficiencias que pueden ser
explotadas por amenazas
Amenazas: Cualquier acción o evento que puede
ocasionar consecuencias adversas
Impacto: los resultados y consecuencias de que se
materialice un riesgo
15. Comparación entre:
Análisis de
Ethical Hacking
Vulnerabilidades
Identificación de fallas de Identificación de fallas de
seguridad seguridad
Análisis de vulnerabilidades Búsqueda de Vulnerabilidades a
en los equipos a evaluar explotar
Enumeración de las Explotación de vulnerabilidades a
vulnerabilidades, riesgo y fin de comprobar las falencias de
posibles alternativas de seguridad
solución
Se muestra evidencia del acceso
Por lo general la verificación “autorizado” a los sistemas y los
de las vulnerabilidades métodos para ello
escapa al análisis
Ejecutado al final de un plan de
Ejecutado al inicio de un plan seguridad para verificar que el
de seguridad para adoptar sistema se encuentra seguro
medidas correctivas
17. Dudas que surgen con las
Pruebas de Intrusión
Cómo prácticar sin cometer delitos, o afectar
a nuestros sistemas.
Como definir el alcance de las pruebas.
Como lograr el objetivo esperado.
Como preparar un buen informe.
Como asegurar las brechas encontradas.
19. Algunas metodologías
conocidas
OSTMM - Open Source Security Testing
Methodology Manual
ISSAF - Open Information System Security
Asessment Framework
OWASP - Open Web Application Security
Project
PTES - Penetration Testing Execution
Standard
22. Evaluación
Ingeniería Evaluació n Evaluació n Evaluació n Evaluació n
de Seguridad
Social de Seguridad de Seguridad
Intranet/red de Seguridad de Accesos
Internet Intranet
interna Extranet Remotos
FASE 1
Descubrimiento /
ATAQUE
Exploración
FASE 2
PENETRACIÓN
Explotación
FASE 3
AMENAZAS &
VULNERABILIDADES
Evaluació n de la
vulnerabilidad del host
Perspectivas para una
evaluación de Seguridad
23. Toma de Huellas
Escaneo
Enumeración
Denegaciones de
Obtención de Acceso servicio (DoS)
Escalamiento de Privilegios
Creación de Puertas Extraer información
traseras (Pilfering)
Eliminación de huellas
Fuente: Hacking Exposed 4th Edition
Anatomía de un Ataque
25. Toma de Huellas
Esta etapa abarca
actividades tales como:
Google Hacking
Identificación de Dominios
y redes asociadas.
Reconocimiento de la red.
26. Escaneo
(de equipos y servicios)
Identifica:
Equipos activos
Servicios Activos y sus
versiones
Sistema Operativo
Otros datos relevantes
27. Explotación
(De Datos y Vulnerabilidades)
Explotación de
vulnerabilidades para cada
servicio.
Identificación de
información relevante para
la explotación.
Retroalimentación que
facilite la explotación.
Clasificación de las brechas
encontradas.
28. Reporte de Hallazgos
Informe Ejecutivo
Informe Detallado:
Hallazgos
Riesgos y,
Recomendaciones de
control
Anexos:
Reportes de hallazgos
Estadísticas
29. Consideración al
momento de recomendar mejoras
IMPORTANTE
Es necesario identificar cuales son las
necesidades y las implicancias de las brechas
encontradas
Evaluar y probar cada corrección previamente
que podría afectar a uno o mas sistemas
existentes.
31. Algunas Herramientas
recomendadas
NMAP Rainbow Tables
Netcat Nikto
Nessus Burp
OpenVAS Paros
Metasploit Kismet
SET AirCrack
John The Ripper Maltego
32. Algunos sitios
recomendados
http://sectools.org (Top 100 SecTools)
http://securitytube.net (Security Videos)
http://www.exploit-db.com (Exploits DB)
http://packetstormsecurity.org (de todo un poco)
http://www.cisecurity.org (checklists de seguridad)
46. Como se desarrolla
un Acceso a un Web
El browser parte el URL en 3 partes:
El protocolo ("HTTP")
El nombre del servidor ("www.website.com")
El Archivo ("webpage.html")
El navegador se comunica con un servidor de
dominio, donde traduce el nombre del
servidor por la dirección IP
El navegador luego realiza una conexión al
Servidor Web a la dirección IP al puerto 80.
47. Como se desarrolla
un Acceso a un Web (cont.)
Siguiendo el protocolo HTTP, el navegador
envía una solicitud GET al servidor,
solicitando por el archivo http://
webpage.html.
El servidor envía el texto HTML text por la
página web al navegador.
El navegador lee el texto HTML y formatea
la página en la pantalla.
48. Algunos supuestos en http
Siempre se hace una conexión utilizando un
browser
Es posible enviar datos ocultos dentro del
código fuente
Los parámetros o variables no pueden ser
manipulados por el cliente
No es posible insertar otra cosa que no sea
HTTP
49. ¿Que trae como
consecuencia?
Confianza en los datos del lado cliente
No se bloquean caracteres especiales
Filtrado en la salida de caracteres HTML
Acceso a Admin por las aplicaciones Web
Autenticación vía ActiveX/JavaScript
Falta de autenticación de usuario a realizar
tareas críticas
Debilidades en el manejo de sesiones
54. Base de Datos (Información)
Aplicación Web
Servidor Web
Sistema Operativo
Arquitectura Funcional de una
aplicación HTTP
55. Fallos Comunes de
Seguridad Web
Cross-site Scripting
SQL Injection
Debilidades en Login/Password
Robo de Sesiones
Mensajes de error de sistema en crudo
Validación de Parámetros
Buffer Overflows
Robo de Cookies
57. Alteremos nuestro
supuesto
Reemplazamos el Cliente por una ventana en línea de
comandos
Utilizamos browsers no convencionales o antiguos (Lynx,
Opera, Iexplorer 3.0)
Implementamos capas adicionales en la conexión (proxys
en la navegación)
58. Que nos permiten
estos cambios
Somos capaces de ver, capturar, modificar la
información que ha sido procesada en los
browsers
Somos capaces de entender la lógica de la
programación
Somos capaces de manipular la información a
fin de probar la seguridad de nuestros
sistemas
64. Recordemos...
Todo conocimiento debe ser utilizado con
fines éticos.
El hecho de saber como vulnerar la
seguridad, no nos da el derecho de hacerlo
indiscriminadamente.
Toda evaluación de seguridad debe ser
aprobada previamente a su ejecución por
personal responsable de los equipos.
La línea entre lo legal y lo ilegal es muy
frágil y podemos cruzarla sin darnos cuenta.
65. Gracias...
Juan Pablo Quiñe Paz,
CISSP, GISP, ISO 27001 LA
http://hackspy.blogspot.com