Alejandro Ramos

www.securitybydefault.com

Mtodo para evaluar la seguridad

de un sistema o red de sistemas
de informacin simulando el
ataque por un intruso

Parte por la necesidad de comprobar cual es

el impacto real de una vulnerabilidad
mediante la realizacin de pruebas
controladas.
Que no se diagnostique una enfermedad no
significa que no exista, se busca la deteccin
de vulnerabilidades no conocidas.

Auditora de vulnerabilidades:
Cuantifica y clasifica vulnerabilidades y
recomendaciones
Encuentra el 100% de las vulnerabilidades
conocidas

Test de intrusin:
Detecta algunas vulnerabilidades conocidas y
algunas desconocidas
Describe y demuestra el impacto asociado a las
vulnerabilidades detectadas.

Ataque: lo que afecta a la Autenticidad,

Confidencialidad, Integridad, Disponibilidad, o
Auditabilidad (ACIDA)
Activo
Modifica el sistema
Altera la integridad o disponibilidad
Ejemplos: explotar una vulnerabilidad, descargar una
base de datos.

Pasivo

No modifica los sistemas

Intercepta informacin
Afecta a la confidencialidad
Ejemplo: escucha de paquetes en la red

Externo
Ejecutado desde fuera del permetro de seguridad.
Ejemplo: Internet

Interno
Con ms privilegios de acceso en la red
Ejemplo: empleado, cliente, proveedor, conexin
wireless

T
E
Anlisis de visibilidad
Auditora de cdigo fuente (J2EE, C, ASPX, PHP)S
T
Auditora de aplicaciones web y web services

Capa de aplicacin

Auditora de Servicios (BBDD, WEB, Correo, etc)

Auditora de sistemas Operativos

Capa comunicaciones

D
E

I
N
Auditora Accesos remotos: Wardialing, VPN
T
Auditora Elementos de red: routers, switches
R
Auditora Elementos de seguridad: FW, IDS, SEIM U
S
Capa fsica
I
Ingeniera Social

Dumpster Diving
N
Auditora entornos inalmbricos: WiFi, BT, RFID

Se genera un requerimiento de propuestas

(request for proposal)
Proveedores responden con sus ofertas
Se acepta una de ellas
Reunin de arranque
Ejecucin
Cierre de proyecto

Fase 0.
Arranque
Proyecto

Fase I.

Fase II.

Test de
Intrusin
Externo

Test de
Intrusin
Interno

Fase III.

Fase IV.

Resultados

Cierre de
Proyecto

Gestin Proyecto
A. Reunin
Arranque

Da. Recopilacin
Informacin

Db. Recopilacin
Informacin

H. Informe
tcnico

B. Planificacin de
pruebas

Ea. Enumeracin

Eb. Enumeracin

I. Informe
Ejecutivo

Fa. Anlisis

Fb. Anlisis

C. Reuniones
Seguimiento

Fa.1
Infraestructura

Fb.1
Infraestructura

Fa.2 Sistema
Operativo

Fb.2 Sistema
Operativo

Fa.3 Servicios

Fb.3 Servicios

Fa.4
Aplicaciones

Fb.4
Aplicaciones

Ga. Obtencin de
evidencias

Gb. Obtencin de
evidencias

J. Presentacin de
Resultados

K. Reunin de
Cierre de Proyecto
L. Aceptacin de
hitos y
finalizacin de
proyecto

mbito / Alcance
Nivel de informacin

Autorizacin de trabajo

Caja Blanca
Caja Negra

http://www.counterhack.n
et/permission_memo.html

Objetivos de auditora
Ingeniera social?
Pruebas (exploits)
peligrosos?

Recopilacin de Informacin
Buscadores: Google, MSN
Ripe, whois, DNS
Metadatos: jpg, doc, xls, pdf

Documentacin

Enumeracin

Anlisis de visibilidad

Direccionamiento IP

Informe de Test de Intrusin

Nombres de usuario

Presentacin de resultados

Servicios y aplicaciones

Alertas

Explotacin

Anlisis

Intrusin en sistemas

Infraestructura

Obtencin de evidencias

Sistema Operativos

Servicios
Aplicaciones

Recopilacin de
Informacin
Garantizando acceso

Instalacin de rootkits

Enumeracin

Sniffers

Keyloggers

Borrado de
evidencias

Anlisis

Eliminacin de
registros

Explotacin

ISECOM OSSTMM 3.0

http://www.isecom.org/

OWASP
http://www.owasp.org

NIST SP 800-42 (Security Testing), 800-115

http://csrc.nist.gov

Demo

Primera fase del test de intrusin

Esencial para elaborar un ataque sofisticado
posterior
No intrusivo, la entidad no debe detectarlo
Recopilar mayor cantidad de informacin
publica:
Direccionamiento IP

Dominios

Correos electrnicos

Nombres de usuario

Software y Hardware

Proveedores y clientes

Marcas comerciales

Productos

Perfil de trabajadores

IMAGINACIN

Objetivo: encontrar nuevos hosts y aplicaciones

web
Identificar otros dominios alojados en una misma
direccin IP (virtual vost)
Se consultan todas las direcciones IP en
buscadores
Bing.com permite IP:<ip>
Online:

http://www.serversniff.net/hostonip.php
http://www.myipneighbors.com
http://www.domaintools.com/reverse-ip/
http://whois.webhosting.info/

A veces incluido dentro de fase de obtencin

de informacin (activo)
Identificar las versiones y los servicios que
ofrece cada direccin IP
Identificacin de sistemas operativos,
elementos de red, etctera.
Identificacin de reglas en firewalls
Descartar sistemas que no ofrezcan servicios
(IPs sin uso)

Objetivo: descubrir los

servicios activos
Barrer los 65535
puertos.
Uso de distintos
protocolos
Optimizacin de tiempo
Deteccin de reglas de
firewall

Versiones antiguas
Falta de parches
Errores de configuracin
Configuraciones por defecto
Usuarios y contraseas dbiles

Proceso de deteccin de vulnerabilidades

automticamente:
Banco de pruebas muy elevado.
Ahorro en coste/tiempo
Falta de control
Nmero elevado de falsos positivos
Denegacin de Servicio

Tenable Nessus
OpenVAS
GFI Languard
SAINT
QualysGuard
Rapid7 Nexpose
eEye Retina
Foundstone
nCircle IP360
Skybox Secure solution
Gideon SecureFusion

Objetivos:

Eliminacin

de falsos positivos.
Obtencin de evidencias
Salto a la red interna y/o entre servidores
Muestra el impacto real
Precauciones:

Cada del servicio

Cada del sistema
Inestabilidad de los servicios
Obtencin de informacin confidencial

Revisin del alcance y autorizacin de trabajos

Cdigo que explota una vulnerabilidad en

beneficio del que la ejecuta
Categoras:
Exploits de servicio - Server side
Exploits en el cliente - Client side
Escalada local de privilegios

Frameworks
Cdigos independientes

Metasploit
Core Impact
Canvas
Saintexploit

function validarAcceso($login,$password ) {
include("../includes/config.inc.php");
$login=mysql_escape_string($login);
$password=mysql_escape_string($password);
$sql="select * from usuarios where
db_login='".$login."' and
db_pwd=password('".$password."')";

http://forum.antichat.ru/showthread.php?p=2121072

Introduccin
Resumen ejecutivo y conclusiones
Metodologa
Proceso de intrusin, vulnerabilidades
Criticidades, recomendaciones, evidencias

Apndices

www.securitybydefault.com