Este documento describe las fases de una prueba de penetración, incluyendo la recopilación de información, enumeración, análisis de vulnerabilidades, explotación y documentación. La prueba de penetración simula un ataque para evaluar la seguridad de un sistema y encontrar vulnerabilidades desconocidas mediante pruebas controladas.

1. Penetration Test Alejandro Ramos www.securitybydefault.com

2. Introducción.

3. Método para evaluar la seguridad de un sistema o red de sistemas de información simulando el ataque por un intruso Test de intrusión

4. Parte por la necesidad de comprobar cual es el impacto real de una vulnerabilidad mediante la realización de pruebas controladas. Que no se diagnostique una enfermedad no significa que no exista, se busca la detección de vulnerabilidades no conocidas. ¿Por qué realizar un Test de intrusión?

5. Auditoría de vulnerabilidades: Cuantifica y clasifica vulnerabilidades y recomendaciones Encuentra el 100% de las vulnerabilidades conocidas Test de intrusión: Detecta algunas vulnerabilidades conocidas y algunas desconocidas Describe y demuestra el impacto asociado a las vulnerabilidades detectadas. Diferencias entre Test de Intrusión y Auditoría de vulnerabilidades

6. Ataque: lo que afecta a la Autenticidad, Confidencialidad, Integridad, Disponibilidad, o Auditabilidad (ACIDA) Activo Modifica el sistema Altera la integridad o disponibilidad Ejemplos: explotar una vulnerabilidad, descargar una base de datos. Pasivo No modifica los sistemas Intercepta información Afecta a la confidencialidad Ejemplo: escucha de paquetes en la red Tipos de ataque

7. Externo Ejecutado desde fuera del perímetro de seguridad. Ejemplo: Internet Interno Con más privilegios de acceso en la red Ejemplo: empleado, cliente, proveedor, conexión wireless Ámbitos de pruebas

8. ¿Dónde? Capa de aplicación Análisis de visibilidad Auditoría de código fuente (J2EE, C, ASPX, PHP…) Auditoría de aplicaciones web y web services Auditoría de Servicios (BBDD, WEB, Correo, etc) Auditoría de sistemas Operativos Capa comunicaciones Test De i ntrus ión Auditoría entornos inalámbricos: WiFi, BT, RFID Auditoría Accesos remotos: Wardialing, VPN Auditoría Elementos de red: routers, switches Auditoría Elementos de seguridad: FW, IDS, SEIM Capa física Ingeniería Social DumpsterDiving

9. Se genera un requerimiento de propuestas (requestforproposal) Proveedores responden con sus ofertas Se acepta una de ellas Reunión de arranque Ejecución Cierre de proyecto Así nace, así muere

10. Fases Fase 0. Arranque Proyecto Fase I. Test de Intrusión Externo Fase IV. Cierre de Proyecto Fase III. Resultados Fase II. Test de Intrusión Interno Gestión Proyecto Db.Recopilación Información A. Reunión Arranque Da. Recopilación Información H. Informe técnico J. Presentación de Resultados B. Planificación de pruebas K. Reunión de Cierre de Proyecto Eb. Enumeración Ea. Enumeración I. Informe Ejecutivo Fa. Análisis Fb. Análisis L. Aceptación de hitos y finalización de proyecto C. Reuniones Seguimiento Fb.1 Infraestructura Fa.1 Infraestructura Fb.2 Sistema Operativo Fa.2 Sistema Operativo Fb.3 Servicios Fa.3 Servicios Fb.4 Aplicaciones Fa.4 Aplicaciones Gb.Obtención de evidencias Ga.Obtención de evidencias

11. Ámbito / Alcance Nivel de información Caja Blanca Caja Negra Autorización de trabajo http://www.counterhack.net/permission_memo.html Objetivos de auditoría ¿Ingeniería social? ¿Pruebas (exploits) peligrosos? Antes de empezar

12. Fases de pruebas

13. Fases – DarkSide

14. ISECOM OSSTMM 3.0 http://www.isecom.org/ OWASP http://www.owasp.org NIST SP 800-42 (Security Testing), 800-115 http://csrc.nist.gov Metodologías

15. Fase 1 - Obtención de información.

16. Primera fase del test de intrusión Esencial para elaborar un ataque sofisticado posterior No intrusivo, la entidad no debe detectarlo Recopilar mayor cantidad de información publica: Introducción

17. Objetivo: encontrar nuevos hosts y aplicaciones web Identificar otros dominios alojados en una misma dirección IP (virtual vost) Se consultan todas las direcciones IP en buscadores Bing.com permite “IP:<ip>” Online: http://www.serversniff.net/hostonip.php http://www.myipneighbors.com http://www.domaintools.com/reverse-ip/ http://whois.webhosting.info/ Ejemplo: dominios virtuales

18. Ejemplo DNS inverso

19. Always... Coca-Google

20. Fase 2 – Enumeración.

21. A veces incluido dentro de fase de obtención de información (activo) Identificar las versiones y los servicios que ofrece cada dirección IP Identificación de sistemasoperativos, elementos de red, etcétera. Identificación de reglas en firewalls Descartar sistemas que no ofrezcan servicios (IPs sin uso) Enumeración

22. Objetivo: descubrir los servicios activos Barrer los 65535 puertos. Uso de distintos protocolos Optimización de tiempo Detección de reglas de firewall Escáner de puertos

23. Ejemplo Nmap

24. Fase 3 – Análisis de vulnerabilidades.

25. Versiones antiguas Falta de parches Errores de configuración Configuraciones por defecto Usuarios y contraseñas débiles Detección de vulnerabilidades

27. Ahorro en coste/tiempo

28. Falta de control

29. Número elevado de falsos positivos

31. Ejemplo Nessus

32. Ejemplo AppScan

33. Fase 4 – Explotación.

35. Obtención de evidencias

36. Salto a la red interna y/o entre servidores

38. Caída del sistema

39. Inestabilidad de los servicios

40. Obtención de información confidencialRevisión del alcance y autorización de trabajos Introducción !

41. Código que explota una vulnerabilidad en beneficio del que la ejecuta Categorías: Exploits de servicio - Server side Exploits en el cliente - Clientside Escalada local de privilegios Frameworks Códigos independientes Exploits

42. Metasploit CoreImpact Canvas Saintexploit Frameworks

43. SqlInjection

44. Rusos FTW http://forum.antichat.ru/showthread.php?p=[censored]

45. IE + XSS = fun

46. Fase 7 – Documentación.

47. Resumen ejecutivo y conclusiones Introducción Metodología Proceso de intrusión, vulnerabilidades Criticidades, recomendaciones, evidencias Apendices Estructura de informes

48. Gracias www.securitybydefault.com