Cesser Criteria Proyectos Hacking Tico v02

7/24/2019 Cesser Criteria Proyectos Hacking Tico v02

1/22

Hacking tico

Simulacin de Eventos de Seguridad


2/22


CESSER Criteria Proyectos, Productos y ServiciosPgina:2 de 22

ndice de Contenidos

ndice de Contenidos ................................................................................................................ 2

1 Objetivos del presente documento. ............................................................................... 4

2 Contexto. ...................................................................................................................... 4

3 Alcance y objetivos del proyecto. .................................................................................. 4

4 Metodologa. ................................................................................................................ 5

4.1 OSSTMM. Descripcin general. ............................................................................................ 6

4.1.1. Seccin A - Seguridad de la Informacin. ................................................................................. 7

4.1.2. Seccin B - Seguridad de los procesos. .................................................................................... 7

4.1.3. Seccin C - Seguridad en Tecnologas de Internet. .................................................................. 8

4.1.4. Seccin D - Seguridad en las Comunicaciones. ...................................................................... 11

4.1.5. Seccin E - Seguridad Inalmbrica. ......................................................................................... 11

4.1.6. Seccin F - Seguridad Fsica. ................................................................................................... 13

4.2 Aplicacin de la metodologa por parte de CESSER. ............................................................ 13

4.2.1. Fase 1. Topologa y alcance. ................................................................................................... 14

4.2.2. Fase 2. Ensayos generales. ..................................................................................................... 14

4.2.3. Fase 3. Ensayos de rendimiento. ............................................................................................ 15

4.2.3.1. Capas fsica y de enlace de datos. ................................................................ ................................... 15

4.2.3.2. Capa de red. ................................................................ ............................................................... ..... 15

4.2.3.3. Capa de transporte. ............................................................... ......................................................... 15

4.2.3.4. Capas de aplicacin................................ ................................................................. ........................ 16

4.2.4. Fase 4. Ensayos de seguridad. ................................................................................................ 16

4.2.4.1. Capa de enlace de datos. ....................................................... ......................................................... 16

4.2.4.2. Capa de red. ................................................................ ............................................................... ..... 16

4.2.4.3. Capa de transporte. ............................................................... ......................................................... 17


3/22



4.2.4.4. Capa de aplicacin. ................................................................ ......................................................... 17

4.2.5. Fase 5. Seguridad fsica. ......................................................................................................... 18

4.2.5.1. Permetro de seguridad. ........................................................ ......................................................... 18

4.2.5.2. Monitorizacin y alarmas. ................................................................ .............................................. 18

4.3 Herramientas utilizadas. .................................................................................................... 19

5 Desarrollo del proyecto. .............................................................................................. 20

6 Entregables del proyecto ............................................................................................. 21

7 Equipo de proyecto. .................................................................................................... 22

8 Enfoque interno. ......................................................................................................... 22

9 Compromisos de Confidencialidad. .............................................................................. 22


4/22



1 Objetivos del presente documento.

Este documento expone la estrategia y metodologa de CESSER para los proyectos de Hacking tico, englobados

bajo un concepto genrico como es Simulacin de Eventos de Seguridad.

2 Contexto.

La Seguridad de los Sistemas de Informacin es un objetivo prioritario en toda Organizacin, sea pblica o privada,

ante el valor crtico de dichos Sistemas para el desarrollo de sus actividades.

Adicionalmente, existen Marcos Normativos que exigen el cumplimiento de unos niveles de seguridad cada vez

ms estrictos, con lo que este concepto trasciende de los marcos de la actividad de la Organizacin y se convierte

en una obligacin cuyo incumplimiento puede derivar en graves sanciones econmicas, perjuicios de imagen, pol-

ticos e incluso penales si la infraccin se encuadrara en determinadas tipologas.

En este contexto, medir la seguridad es una de las actividades fundamentales para conocer el verdadero nivel de

eficacia y eficiencia de las medidas adoptadas. Para ello se dispone de varios Marcos (trata de ello tambin la

Norma ISO/IEC 27004) pero las medidas estticas y/o pasivas ofrecen muy poco nivel de control preventivo, en cla-

ra contradiccin con el enorme valor que supone el disponer de medidas preventivas que puedan anticipar posi-

bles amenazas sobre los activos de informacin y adoptar medidas adecuadas a los riesgos evaluados.

Es por ello que los proyectos de Simulacin de Eventos de Seguridad constituyen un mecanismo fundamental en

todas las fases del ciclo de vida de la Seguridad de los Sistemas de Informacin, dado que permiten determinar los

niveles de riesgo no solo mediante estimaciones sino por medio de un amplio conjunto de pruebas y ataques simu-

lados que representan muy diversos patrones de amenazas que se pueden producir en los entornos reales de tra-

bajo, obteniendo con ellos unas evidencias de mxima calidad para un Anlisis y Gestin de Riesgos adecuado.

Estos proyectos hace uso de un amplio y diverso conjunto de herramientas automatizadas, muchas de ellas dispo-

nibles para quienes pudieran planear un ataque real contra la Organizacin, permanentemente actualizadas y ca-

paces de simular un amplio conjunto de escenarios y situaciones amenazantes que, en caso de tangibilizarse, pue-

den suponer graves problemas en los tres parmetros bsicos de la Seguridad (Confidencialidad, Integridad y Dis-

ponibilidad).

3 Alcance y objetivos del proyecto.El alcance y objetivos del proyecto deben establecerse claramente como punto de partida del diseo y ejecucin

del proyecto.

Estos datos pueden venir suministrados por la Organizacin, pero es muy habitual que se obtengan y/o se com-

plementen tras un anlisis inicial de los activos de informacin de la misma, junto a informes de evaluacin de

riesgos, reevaluaciones de los mismos, y, en general, teniendo en cuenta los escenarios particulares de cada Orga-

nizacin.


5/22



4 Metodologa.

CESSER utiliza una metodologa basada en el estndar OSSTMM 3 (Open Source Testing Methodology Manual),

metodologa desarrollada por ISECOM (Institute for Security and Open Methodologies) para efectuar tests de se-guridad y mtricas.

OSTTMM se centra en los detalles tcnicos de los elementos que se necesita testear:

I. Preparacin de los test de seguridad.

II. Desarrollo de los test de seguridad.

III. Acciones posteriores a los test de seguridad.

IV. Mediciones y guas de interpretacin de los resultados.

Al tratarse de una metodologa estndar y abierta, el xito de sus tests se basan en las capacidades tcnicas y

herramientas automatizadas del equipo, el cual desarrolla sus trabajos bajo unos criterios universalmente acepta-

dos, lo cual les confiere un valor especialmente relevante al ser independientes de marcas comerciales y ofrecer

un entorno homogneo interpretable por cualquiera de los actores actuales o futuros que puedan intervenir y/o

interpretar los resultados.

Con estos criterios, el desarrollo del proyecto por parte de CESSER ofrece una serie de valores diferenciales:

I. CESSER dispone de tcnicos con las ms altas cualificaciones para desarrollar estos test con el mxi-

mo rigor.

II. CESSER ha desarrollado un amplio conjunto de herramientas propias para la realizacin de estos pro-

yectos al ms profundo nivel de detalle. Estas herramientas han contrastado su eficacia en numero-

sos proyectos de este tipo, obteniendo un amplsimo conjunto de datos que han permitido, a su vez,

obtener un conjunto de conclusiones y recomendaciones de gran precisin, homologadas y contras-

tables al haber sido desarrolladas mediante la metodologa estndar indicada (OSSTMM). Estas

herramientas, unidas a un conjunto de utilidades reconocidas como estndares en la prctica de an-

lisis tcnicos de seguridad proporcionan evidencias totalmente fiables del estado de los sistemas au-

ditados.

III. CESSER ha desarrollado el concepto de control reutilizable en los proyectos relacionado s con la

Seguridad de Sistemas de Informacin. Este enfoque permite reutilizar trabajos realizados en estos

test como parte de los trabajos a desarrollar para otros proyectos donde se requieran, como pue-

den ser adaptaciones a la LOPD y otros Marcos Normativos, LSSI/LISI, Ley 11/2007, etc. De esta

forma, los mtodos, trabajos y conclusiones son directamente aplicables y homologables a otrosproyectos dado que las premisas y rigor tcnicos exigidos son cubiertos con creces.

IV. Asimismo, estos trabajos pueden ser reutilizados para certificaciones bajo Normas ISO/IEC 27001

(Seguridad de Sistemas de Informacin) o para la implementacin de un sistema de buenas prct i-

cas (ISO/IEC 27002) tras el anlisis diferencial realizado.

V. Los proyectos relacionados con el Esquema Nacional de Seguridad (R.D. 3/2010) requieren asimis-

mo de actividades relacionadas con al anlisis y gestin de riesgos, as como acreditaciones de la

calidad de los controles, que pueden obtenerse mediante este tipo de proyecto.

VI. De la misma forma, estos controles son utilizables para proyectos orientados a la definicin y con-

trol de servicios bajo diferentes Normas y Marcos (ISO/IEC 20000, ITIL, etc.).


6/22



VII. CESSER, en virtud de los resultados, expondr las vulnerabilidades, calcular amenazas potenciales,

riesgos e impactos que pueden existir y, haciendo mucho nfasis en este punto, en las propuestas de

mejoras y contramedidas necesarias para eliminar y/o minimizar estos riesgos. Este anlisis incluye

(opcionalmente) las estimaciones de costes asociados, con lo cual la Organizacin obtiene datos muyrelevantes para su propia toma de decisiones.

VIII. El enfoque expuesto supone una proteccin de la inversin realizada, dado que los trabajos y conclu-

siones permanecen vigentes mientras se mantengan las configuraciones analizadas y/o mientras

stas no sufran cambios relevantes desde un punto de estabilidad determinado, el cual normalmente

se establece tras la adopcin del conjunto de medidas resultantes del test de intrusin.

4.1 OSSTMM. Descripcin general.

La metodologa OSSTMM est dividida en secciones, mdulos y tareas.

Las secciones son puntos especficos del mapa de seguridad. Son el modelo total de seguridad dividido en por-

ciones manejables y analizables.

Los mdulos son el flujo de la metodologa y funcionan como procesos. Algunos mdulos pueden ignorarse,tener varias entradas o no tener ninguna salida, en cuyo caso hay que justificarlo.

Los mdulos requieren una entrada para ejecutar las tareas del mdulo y de otros mdulos en otras seccio-

nes.

Las tareas son los test de seguridad a ejecutarse dependiendo de la entrada del mdulo. Las salidas de todas

las tareas dentro de un mdulo se consideran la salida de dicho mdulo.

La metodologa OSSTMM es flexible, permitiendo desarrollar partes de la misma.


7/22



4.1.1. Seccin A - Seguridad de la Informacin.

1. Revisin de la Inteligencia Competitiva.

En este mdulo se trata de obtener informacin sobre el objetivo que pueda ser relevante para la realizacin de la

auditora de seguridad. Dicha informacin puede encontrarse en motores de bsqueda en Internet, en los regis-

tros whois de los dominios de Internet (DNS) pertenecientes a ella, etc.

El objetivo es inferir un mapa conceptual de la presencia de la empresa en Internet, para obtener una visin sobre

la empresa como objetivo potencial de ataques, tanto por su propio negocio como por la vulnerabilidad de los ser-

vicios expuestos en la red y la informacin que sobre ellos circula por Internet.

2. Revisin de Privacidad.

La revisin de la privacidad es un punto bastante importante dentro de la auditora de seguridad, puesto que no

solamente trata sobre informacin de la empresa, si no que se realizan auditoras atenindose a la legislacin vi-

gente (en su visin ms tcnica), como pueden ser la LOPD y la LSSI-CE.

Con estas pruebas se espera conseguir un conjunto de informes sobre cualquier revelacin de informacin, sobre

diferencias de conformidad entre la poltica de seguridad y la prctica actual, lista de sistemas involucrados en la

recoleccin de datos, etc.

Para la realizacin de estas tareas se utilizan herramientas como Maltego, Dmitry, Metagoofil, herramientas

genricas y herramientas propias,

3. Recoleccin de Documentos.

Posteriormente se realiza una recoleccin de informacin sobre la Organizacin en base a sus objetivos de negocio

(en su sentido ms amplio, servicio en Administraciones Pblicas), al personal clave y a su presencia indirecta en

Internet. Por ejemplo las ofertas de trabajo publicadas por la empresa solicitando un perfil con un nivel tecnolgi-

co determinado.

Con este mdulo se espera conseguir el perfil de la organizacin, perfil de los empleados, perfil de la red y las tec-

nologas de la organizacin, etc.

Para la realizacin de las tareas implicadas se utiliza Maltego, Dmitry, Metagoofil, herramientas genricas, mo-

tores de bsqueda en Internet, ...

4.1.2. Seccin B - Seguridad de los procesos.

1. Testeo de Solicitud.

Se realizar una comprobacin de la capacidad de obtencin de privilegios de acceso al realizar solicitudes al per-

sonal. Tales solicitudes se realizarn a travs de la informacin sobre personal anteriormente obtenida y mediante

medios de comunicacin habituales como el telfono, e-mail, etc.

Con estas tareas se espera conseguir una lista de mtodos de cdigo de acceso, lista de cdigos vlidos, nombres

de la personas de entrada, etc.

Para la realizacin de estas pruebas se utilizan herramientas genricas.


8/22



2. Testeo de Sugerencia Dirigida.

En este mdulo se intentar conseguir informacin, a travs de sitios fraudulentos, del personal obtenido en los

mdulos anteriores, invitndoles a ingresar dicha informacin a travs de mensajes mediante los medios de co-

municacin habituales.

Con la realizacin de estas tareas se espera conseguir una lista de puntos de acceso, lista de las direcciones IP in-

ternas, mtodos de obtencin de esta informacin, etc.

Se utilizarn herramientas genricas para la realizacin de estos testeos.

3. Testeo de las Personas Confiables.

Se tratar de inducir al personal interno a la revelacin de informacin sobre la organizacin a personas con una

posicin de confianza.

Con estas pruebas se esperan conseguir informes sobre personas de confianza, listado de posiciones de confianza,

etc.

Para la realizacin de estas pruebas se utilizarn herramientas genricas .

4.1.3. Seccin C - Seguridad en Tecnologas de Internet.

1. Estudio de Red.

Recoleccin de informacin referente a la Red a auditar (direcciones IP, nombres de dominio y de servidores, etc.).

A la conclusin de este mdulo se espera conseguir un listado de nombres de dominios, nombres de servidores,direcciones IP, mapa de topologa de red, etc.

Para la consecucin de las pruebas se utiliza Maltego, Dmitry, Nmap, Wireshark, Tcpdump, Dsniff, herramientas

genricas, herramientas propias,

2. Escaneo de Puertos.

Pruebas realizadas para la obtencin de los puertos abiertos y/o no controlados, as como los sistemas que se en-

cuentran accesibles, con lo que se puede averiguar los sistemas abiertos y los protocolos utilizados.

Con la realizacin de las pruebas se espera conseguir un listado de puertos abiertos, cerrados y filtrados, direccio-

nes IP de los sistemas activos, direccionamiento de la red interna, etc.

Para la realizacin de estas tareas se utiliza Nmap, UnicornScan, Wireshark, Tcpdump, Dsniff, herramientas


3. Identificacin de Servicios.

Identificacin de los tipos de servicios que se encuentran disponibles. Al mismo tiempo se intentar descubrir las

versiones y nivel de actualizacin.

Con la realizacin de estas tareas se persigue conseguir los tipos de servicios y nivel de parcheo, el mapa de red,

etc.

Para la realizacin de las pruebas se utiliza Nmap, UnicornScan, Amap, Wireshark, Tcpdump, Dsniff, herramien-

tas genricas, herramientas propias,


9/22



4. Identificacin de Sistemas.

Obtencin de los Sistemas Operativos de los equipos objetivo, intentando identificar su nivel de actualizacin.

A la consecucin de las pruebas se espera conseguir los tipos de Sistema Operativo (SO), nivel de actualizacin, ti-

pos de sistemas, etc.

Para la realizacin de las tareas se utiliza Nmap, UnicornScan, Amap, Wireshark, Tcpdump, Dsniff, P0f, SinFp,

herramientas genricas, herramientas propias,

5. Investigacin y Verificacin de Vulnerabilidades.

Identificacin, entendimiento y verificacin de las debilidades, errores de configuracin y vulnerabilidades dentro

de un equipo o red.

Se espera conseguir el tipo de aplicacin o servicio por vulnerabilidad, niveles de actualizacin de los sistemas y las

aplicaciones, listado de posibles vulnerabilidades de denegacin de servicio (DoS), etc.

Para la realizacin de las pruebas se utiliza Nmap, UnicornScan, Amap, Wireshark, Tcpdump, Dsniff, Nessus,

OpenVas, MBSA, Metasploit, Inguma, Fast-Track, herramientas genricas, herramientas propias,

6. Testeo de Aplicaciones de Internet.

Comprobacin de la seguridad en las aplicaciones cliente/servidor desarrolladas a medida por/para la empresa

propietaria de los sistemas.

Se espera conseguir un listado de aplicaciones, listado de componentes y vulnerabilidades de las aplicaciones, etc.

Se utilizan las siguientes herramientas: Nmap, UnicornScan, Amap, Wireshark, Tcpdump, Dsniff, Webscarab,

Nikto, Can&Abel, Ettercap, Inguma, Metasploit, Fast-Track, Absinthe, Curl, Pipper, herramientas genricas,

herramientas propias, ...

7. Testeo de Enrutadores.

Verificacin del correcto funcionamiento de los routers, tanto en su funcin de encaminadores, como en las carac-

tersticas de seguridad que se hayan configurado.

Las pruebas a efectuar esperan conseguir los tipos de routers y caractersticas implementadas, informacin del

router como servicio y como sistema, perfil de la poltica de seguridad de la red a partir de la Lista de Control de

Acceso (ACL), etc.

Para la realizacin de las pruebas se utilizan herramientas genricas.

8. Testeo de Sistemas Confiables.

Identificacin de las dependencias entre sistemas y el correcto funcionamiento de la relacin de confianza entre

ellos.

Con estos testeos se espera conseguir un mapa de dependencias entre sistemas, mapa de aplicaciones con depen-

dencias con otros sistemas, etc.

Para la realizacin de los testeos se utilizan herramientas genricas.

9. Testeo de Firewalls.

En este mdulo se comprobar la correcta configuracin de los cortafuegos corporativos, acorde a la poltica de

seguridad de la empresa.


10/22


CESSER Criteria Proyectos, Productos y ServiciosPgina:

10 de 22

Con este mdulo se espera conseguir informacin del firewall como servicio y como sistema, informacin de las

caractersticas implementadas en el firewall, perfil de la poltica de seguridad de red a partir de la ACL, etc.

Para la realizacin de las pruebas se utiliza Wireshark, Tcpdump, Dsniff, Ntop, Tcpflow, Tcpick, herramientas


10.Testeo de Sistemas de Deteccin de Intrusos.

Comprobacin de las reglas del Sistema de Deteccin de Intrusos (IDS) y su correcto funcionamiento, analizando

falsos positivos y falsos negativos, alarmas y contramedidas, etc.

Con la realizacin de estas pruebas se espera conseguir el tipo de IDS, notas sobre el rendimiento del IDS con car-

gas altas de trabajo, tipo de paquetes eliminados o no escaneados por el IDS, etc.

Para la consecucin de las pruebas se utiliza Snort, Kismet, Yersinia, Inguma, Metasploit, Nmap, UnicornScan,

herramientas genricas, herramientas propias,

11.Testeo de Medidas de Contencin.

Identificacin de los mecanismos de seguridad y las polticas de respuesta ante programas maliciosos (troyanos, vi-

rus, etc.).

Con la realizacin de los testeos se espera conseguir la definicin de las capacidades anti-troyanos, definicin de

las capacidades antivirus, una identificacin de las medidas de contencin de escritorio, etc.

Para la realizacin de los testeos se utiliza el test EICAR, Fast-Track, herramientas genricas, herramientas pro-

pias,

12.Descifrado de Contraseas.

Verificacin de la fortaleza de las contraseas e identificacin de la poltica establecida.

Con este mdulo se espera conseguir una serie de archivos de contraseas craqueados o sin craquear, una lista de

los identificadores de login con contraseas de usuario o sistema, una lista de sistemas vulnerables a ataques de

descifrado de contrasea, etc.

Para la realizacin de las tareas se utiliza Hydra, Medusa, John The Ripper , Nessus, Openvas, herramientas genri-

cas, herramientas propias,

13.Testeo de Denegacin de Servicio.

Identificacin de puntos nicos de fallo y pruebas de estrs y denegacin de servicio.

Con la realizacin de las pruebas se espera conseguir una lista de puntos dbiles desde Internet, incluyendo pun-

tos nicos de fallo, el establecimiento de un perfil para el uso normal, una lista de comportamiento de los sistemas

en cargas intensivas, etc.

Se utiliza Nessus, Openvas, Yersinia, Inguma, herramientas genricas, herramientas propias,

14.Revisin de la Poltica de Seguridad.

Obtencin y revisin de la Poltica de Seguridad, comprobando que las conclusiones extradas de los diferentes

mdulos coinciden con la implementacin de dicha poltica.


11/22



11 de 22

4.1.4. Seccin D - Seguridad en las Comunicaciones.

1. Testeo de PBX.

Comprobacin de la seguridad de la centralita telefnica (PBX), especialmente los mecanismos de administracin

remotos.

Con estas pruebas se espera conseguir la lista de sistemas PBX que permiten administracin remota, lista de sis-

temas que permiten acceso global al terminal de mantenimiento, etc.

2. Testeo del Correo de Voz.

Testeo de la obtencin de acceso privilegiado a travs de los sistemas de correo de voz.

Con estos testeos se espera conseguir la lista de buzones de voz que son accesibles globalmente, lista de los cdi-

gos dial-in y PINs de los correos de voz, etc.

3. Revisin del FAX.

Obtencin de toda la informacin posible a travs de las mquinas de FAX.

Se espera conseguir la lista de los sistemas de FAX, lista de los tipos de sistemas FAX y posibles programas de ope-

racin, mapa del protocolo de uso del FAX dentro de la organizacin, etc.

4. Testeo del Modem.

Listado y comprobacin de la seguridad de los sistemas que disponen de conexiones mediante mdems.

Con estos testeos se espera conseguir una lista de sistemas con mdems a la escucha, lista de tipos de mdems y

programas de operacin, lista de esquemas de autenticacin de los mdems, etc.

4.1.5. Seccin E - Seguridad Inalmbrica.

1. Verificacin de Radiacin Electromagntica (EMR).

Comprobacin de las emisiones de radiacin electromagntica. Este mdulo solamente se realizar en ambientes

de alta seguridad con requerimientos excepcionales de privacidad.

2. Verificacin de Redes Inalmbricas (802.11).Mediante este mdulo se testear el acceso a las redes WLANs (802.11). Se evaluar la poltica de seguridad refe-

rente a redes con tecnologa Wireless y su nivel de seguridad implementado. Es importante resear que las prue-

bas no se centrarn nicamente en los dispositivos de red (Access Point, Routers, etc.) si no tambin en la securi-

zacin de los clientes wireless (firewall, antivirus, etc.), por ser un importante punto de entrada.

Para la realizacin de las pruebas se utiliza Aircrack, Airscript, Airodump, Airsnort, Kismet, Cowpatty,

3. Verificacin de Redes Bluetooth.

La utilizacin de dispositivos Bluetooth puede suponer problemas en la seguridad, debido a sus vulnerabilidades

inherentes.Para la realizacin de las tareas se utiliza Btscanner, ObexFTP, BTCrack, Blueprint,


12/22



12 de 22

4. Verificacin de Dispositivos de Entrada Inalmbricos.

Este mdulo trata la utilizacin de dispositivos de entrada (ratones, teclados, etc.) inalmbricos. Su uso puede faci-

litar la interceptacin de informacin enviada a travs de ellos.

5. Verificacin de Dispositivos de Transmisin Inalmbricos.

Evaluacin del uso de dispositivos con capacidad de transmisin inalmbrica, como pueden ser telfonos mviles,

pdas, agendas electrnicas, etc. Esta verificacin se basa principalmente en la cultura de seguridad que siguen los

usuarios en relacin al uso de este tipo de dispositivos.

6. Verificacin de Comunicaciones sin Cable.

Comprobacin del alcance y las configuraciones de todas las comunicaciones inalmbricas, testeando posibles in-

terferencias entre dispositivos inalmbricos similares pertenecientes a otras organizaciones prximas. En este

mdulo se comprobaran por ejemplo las conexiones inalmbricas entre distintas sedes (WVLAN) o a internet

(Wimax).

7. Testeo de los Dispositivos Inalmbricos de Vigilancia.

Verificacin de la seguridad de los dispositivos inalmbricos de vigilancia, incluyendo la poltica de seguridad y los

requerimientos legislativos o normativos que pudieran afectarles.

8. Testeo de los Dispositivos Inalmbricos de Transaccin.

Este mdulo cubre las pruebas a realizar sobre la seguridad de dispositivos inalmbricos de transaccin (termina-

les de punto de venta, cajas registradoras, cajeros, etc.).

9. Verificacin de RFID.

Comprobacin de la seguridad implementada sobre la utilizacin de dispositivos RFID.

10.Verificacin de Sistemas Infrarrojos.

Pruebas relativas al alcance, fuera de las instalaciones de la organizacin, de dispositivos que utilicen comunica-

cin mediante infrarrojos.

11.Revisin de Privacidad.

Identificacin y verificacin de su cumplimiento de la legislacin y normativas respecto al almacenamiento, trans-

misin y control de datos personales a travs de comunicaciones inalmbricas.

Con estas pruebas se espera conseguir un listado de cualquier revelacin de informacin, listado de diferencias de

conformidad entre la poltica de seguridad y la prctica actual, lista de los sistemas involucrados en la recoleccin

de datos, etc.


13/22



13 de 22

4.1.6. Seccin F - Seguridad Fsica.

1. Revisin del Permetro.

Comprobacin de la seguridad fsica de la organizacin y sus activos mediante la revisin de las medidas de seguri-

dad del permetro fsico.

Con esta revisin se espera conseguir el mapa del permetro fsico, tipos de medidas de proteccin fsica, lista de

reas sin proteger o con proteccin dbil, etc.

2. Revisin de la Monitorizacin.

Identificacin de accesos fsicos vigilados, infiriendo limitaciones y debilidades en la implementacin de la monito-

rizacin ante posibles ataques y/o incidentes en la seguridad.

Con estas pruebas se pretende conseguir la lista de los puntos de acceso monitorizados, tipos de monitorizacin,

lista de puntos de accesos estndar y privilegiados sin monitorizar, etc.

3. Evaluacin de Controles de Acceso.

Comprobacin de la idoneidad y el correcto funcionamiento de los controles de acceso fsicos implementados.

Con estos testeos se espera conseguir una lista de controles de acceso fsicos, tipos de autenticacin, tipos de sis-

temas de alarma, etc.

4. Revisin de Respuesta de Alarmas.

Revisin de los dispositivos de alarma implementados y los procedimientos de respuesta ante su puesta en fun-

cionamiento.

Con estas tareas se espera conseguir la lista de tipos de alarmas, lista de disparadores de alarmas, mapa del pro-

cedimiento de alarma, etc.

5. Revisin de Ubicacin.

Identificacin de debilidades en reas de la organizacin con acceso pblico.

Con estas pruebas se pretende obtener el mapa de localizaciones fsicas de los activos, lista de la localizacin fsica

de los puntos de acceso, lista de los puntos de acceso vulnerables localizados, etc.

6. Revisin de Entorno.

Comprobacin del entorno y las amenazas asociadas a l, como pueden ser desastres naturales, poltica, etc.

Con estos tests se espera obtener el mapa de la localizacin fsica de los activos, lista de localizaciones vulnerables,

lista de leyes, costumbres y tica local, etc.

4.2 Aplicacin de la metodologa por parte de CESSER.

Como se menciona anteriormente, CESSER utiliza una metodologa basada en el estndar OSSTMM y que abarca la

prctica totalidad de sus secciones, dividindolas en fases.

Cada fase est compuesta de mdulos de diferentes secciones de la metodologa OSSTMM.


14/22



14 de 22

En cada fase se dividen los anlisis, tanto de rendimiento como de seguridad, entre capas del protocolo TCP/IP

(Fsico y Enlace, Red, Transporte y Aplicacin). Este enfoque favorece el anlisis de conclusiones y la eleccin de las

mejores recomendaciones partiendo desde la base del problema detectado.

La metodologa de CESSER consta de las siguientes fases:

4.2.1. Fase 1. Topologa y alcance.

En esta fase se determina el escenario sobre el que se va a trabajar y los patrones de comportamiento que se quie-

re localizar.

Se elabora el plan de actuacin que proporcione la informacin que el cliente necesita.

Esta fase se apoyar en reuniones y encuestas realizadas a los distintos administradores del sistema, aunque si

fuese necesario se hara uso de herramientas automatizadas, como por ejemplo de mapeo de redes para la con-

feccin de la topologa.

En esta primera fase se requiere la participacin activa del cliente para la definicin completa y fidedigna del al-

cance y el plan de actuacin que realmente requiere.

Asimismo, el cliente participa activamente en el diseo de las pruebas a desarrollar, dado que en el desarrollo de

las mismas deben establecerse cuestiones conjuntas como:

I. Determinacin y priorizacin de entornos de anlisis.

II. Anlisis de riesgos e impacto de las pruebas.

III. Ventanas de tiempo.

IV. Autorizaciones.

V. Condiciones de inicio y terminacin de las pruebas.

VI. Participantes.

VII. Restricciones.

4.2.2. Fase 2. Ensayos generales.

En esta fase se identifican las mquinas involucradas en cada segmento de red, ya que se necesita disponer de esta

informacin para los ensayos siguientes. Consiste en obtener toda la informacin disponible a travs de mecanis-

mos tanto pasivos como activos. El objetivo es disponer de una base de datos donde figuren datos relativos a di-

recciones IP, MAC, Nombres Netbios, S.O., etc

Si el alcance lo requiere, esta fase abarca la obtencin de toda la informacin relacionada con la seguridad de la in-

formacin y/o de los procesos. Parte de esta informacin es necesaria en posteriores fases, por lo que si el alcance

no abarca este punto el personal de la Organizacin deber facilitar la informacin que los tcnicos estimen opor-

tuna. Este punto puede identificarse como las secciones A y B de la metodologa OSSTMM 2.


15/22



15 de 22

4.2.3. Fase 3. Ensayos de rendimiento.

4.2.3.1. Capas fsica y de enlace de datos.

Ensayos de inundacin y MTU:El objetivo de estos ensayos es comprobar la capacidad de los canales de transmi-

sin en puntos concretos de la red. Asimismo, permite validar el correcto funcionamiento de los puertos fsicos en

determinados elementos crticos de la red, y el correcto funcionamiento de sus estructuras de colas.

Flujos simultneos:Tienen por objetivo detectar problemas de transmisin a nivel de controladores, drivers y mal

funcionamiento de red en general.

Anlisis de trfico ARP:Se determina el porcentaje de utilizacin, as como las posibles puertas de enlace y usua-

rios existentes en un segmento de red.

Ruido lgico y trfico broadcast: Se examina todo aquel trfico que no transporte datos de las capas de aplica-

cin, ya que puede considerarse como ruido lgico.

Usuarios intensivos por dominio de broadcast: Con este ensayo se consigue realizar una identificacin y clasifi-

cacin por segmento de usuarios con mayores necesidades de consumo de ancho de banda. Ello permite determi-

nar y recomendar la correcta ubicacin de estos elementos dentro de la topologa.

4.2.3.2. Capa de red.

Deteccin de topologa: Se realiza para localizar posibles enrutadores en el segmento de red donde se efecta la

prueba, con la finalidad de comprobar la informacin obtenida en los apartados anteriores.

Anlisis de hosts IP intensivos:Se pretende clasificar las direcciones IP ms utilizadas.

Estudio de mensajes ICMP:A partir de dichos mensajes se puede determinar una gran variedad de problemas in-

herentes a encaminadores y hosts IP.

Ensayos de fragmentacin IP:Se centran en el estudio de la fragmentacin IP y el cumplimiento de las RFC asocia-

das.

4.2.3.3. Capa de transporte.

Anlisis de flujos TCP, en servidores: Este estudio se centra en parmetros crticos que pueden llegar a tener unagran repercusin en el rendimiento global del servidor.

Anlisis de flujos TCP generales: Es un estudio similar al anterior, pero que nicamente pretende descubrir

mquinas con un rendimiento excesivamente bajo.

Distribucin de protocolos por interfaz de acceso: Mediante este ensayo, se pretende conocer el perfil de uso de

servicios. Su finalidad es conocer de forma global los requerimientos que cada servicio exige a la red.

Medicin de caudales por interfaz de acceso: El objetivo de este ensayo es conocer el nivel de uso porcentual en

cuanto a ancho de banda y paquetes por segundo en las interfaces de paso.


16/22



16 de 22

4.2.3.4. Capas de aplicacin.

El anlisis de rendimiento en las capas de aplicacin se centra en la elaboracin de cronogramas de rendimiento de

la aplicacin que se audita.

4.2.4. Fase 4. Ensayos de seguridad.

4.2.4.1. Capa de enlace de datos.

Anlisis de trfico ARP: El protocolo ARP presenta serios problemas en cuanto a seguridad se refiere y existen va-

rias tcnicas que explotan esta vulnerabilidad. Un estudio de la actividad ARP permite detectar la presencia de

agentes perniciosos introducidos en la red.

Inmunidad de la capa 2 ante secuestros de sesin ARP: Se trata de comprobar el nivel de permisividad del entor-

no conmutado ante secuestros de sesin y suplantacin de direcciones MAC, tambin conocidos como ARP Spoo-

fing, que puede suponer ataques Man In the Middle (MIM). Se realizan ataques con el objetivo de poner a prueba

los mecanismos de defensa ante este tipo de amenazas, las cuales, en el supuesto de tangibilizarse, pueden supo-

ner un alto impacto en la Organizacin.

Deteccin de seales 802.11: Este estudio se centra en la deteccin de seales WIFI procedentes de puntos de ac-

ceso o enrutadores inalmbricos. Cada vez resulta ms frecuente descubrir puntos de acceso no controlados, los

cuales pueden constituir un grave riesgo de intrusin desde este punto hacia otros segmentos de la red.

Deteccin de seales inalmbricas: Con estos ensayos se pretende detectar y explotar las seales inalmbricas,que no sean WIFI, como pueden ser Bluetooth, Infrarrojos, etc.

Anlisis de las comunicaciones: En este anlisis se trata de comprobar los elementos utilizados para las comunica-

ciones como pueden ser mquinas de fax, centralitas telefnicas, mdems, etc.

4.2.4.2. Capa de red.

Inmunidad ante ataques icmp: Los mensajes icmp presentan un gran nmero de vulnerabilidades de seguridad,

las cuales se analizan en profundidad.

Anlisis de direcciones IP:Con este anlisis se pretende encontrar irregularidades en el direccionamiento o en eluso de direcciones IP. Se realizan diversos ataques en este punto, incluyendo los de suplantacin de direcciones IP

(IP spoofing), que pueden ser utilizados para ataques MIM.

Respuesta a paquetes broadcast remotos: Comprobacin sobre ataques de denegacin de servicio de tipo

smurf.

Deteccin de gateways no autorizados: Se realiza para localizar posibles enrutadores no censados en el segmen-

to de red donde se efecta la prueba.


17/22



17 de 22

4.2.4.3. Capa de transporte.

Deteccin de servidores DHCP: Obtencin de una lista de servidores que responden a las solicitudes DHCP, con el

fin de detectar fuentes de concesin de direcciones IP no censadas.Captura de trfico de enrutamiento broadcast o multicast sin autenticar: Permite conocer la configuracin a

nivel de seguridad, de los protocolos de enrutamiento utilizados en el segmento de red a analizar.

Anlisis de puertos y servicios en puntos crticos:Este estudio permite detectar la existencia de servicios con vul-

nerabilidades de seguridad.

Deteccin de gateways no autorizados.

Deteccin de seales 802.11, y test de intrusin. Se realizan barridos de red WIFI, con el objetivo de comprobar la

existencia y seguridad de dichas redes, en el caso de que existan, as como su autorizacin. Adicionalmente, se rea-

lizan ataques de descubrimiento para verificar la solidez de sus mtodos de acceso.

4.2.4.4. Capa de aplicacin.

Acceso a servicios UDP sin autenticar: Se realiza un estudio de trfico UDP, comprobando la posible existencia de

vulnerabilidades.

Rastreo de claves en punto de paso: Con este ensayo se pretende determinar la poltica de asignacin de claves

utilizada, en cuanto a composicin y tamao de stas. Se realizan diversos ataques de descubrimiento de contra-

seas para verificar la solidez de las mismas.

Acceso a dispositivos snmp:Se obtiene un censo de dispositivos snmp y las comunidades en uso, as como sus pri-

vilegios.

Anlisis de vulnerabilidades en servidores designados: Este estudio tiene el objetivo de detectar patrones de

comportamiento anormales en los servidores designados y deficiencias reportadas en las bases de datos pblicas

de vulnerabilidades. Se realizan diversos ataques de denegacin de servicio para verificar su solidez y mecanismos

de defensa ante los mismos.

Anlisis de aplicaciones especficas: Con este ensayo se pretende analizar aplicaciones instaladas en los equipos o

servidores objetivo. Para ello se desarrollarn pruebas especficas a las aplicaciones, por ejemplo:

Servicios de Correo Electrnico: Verificaciones de relay abierto, testeos del gestor de contenido (spam, virus,

etc.), etc.

Servicios Web:Comprobacin de SQL Injection, Cross-Site Scripting, etc.

Servicios de DNS: Pruebas de transferencias de zonas, DNS Spoofing, etc.

Antivirus:Verificacin de actualizaciones, comprobacin de efectividad, tests EICAR, etc.

Bases de Datos: Comprobacin de obtencin de informacin, acceso, explotacin, etc.

Test de vulnerabilidad externo para DMZ:Se realiza un anlisis exhaustivo de las DMZ expuestas a Internet, inclu-

yendo diferentes series de ataques.


18/22



18 de 22

4.2.5. Fase 5. Seguridad fsica.

4.2.5.1. Permetro de seguridad.

Revisin del permetro:Se obtiene un mapa fsico del permetro y de las medidas de proteccin.

Testeo de los controles de acceso: Se enumeran las reas de control de acceso y se revisan los dispositivos de con-

trol de acceso.

Revisin de la ubicacin: Se enumeran las reas visibles de la organizacin y las reas de carga y descarga. Se revi-

sar la lista de proveedores, de personal de limpieza, etc.

Revisin del entorno:Se examinarn las condiciones ambientales de la regin, las condiciones polticas y las leyes

o normativas regionales.

4.2.5.2. Monitorizacin y alarmas.

Revisin de la monitorizacin:Se enumeran los dispositivos de monitorizacin, se mapean las ubicaciones de per-

sonal de vigilancia y las rutas seguidas. Adems se evaluar la seguridad de los dispositivos de vigilancia.

Revisin de las respuestas de alarma:Se enumeran los dispositivos de alarma y los procedimientos de respuesta

ante su activacin. Se comprobar adems el correcto funcionamiento de las alarmas ante determinados ataques.


19/22



19 de 22

4.3 Herramientas utilizadas.

En este punto se resumen las herramientas utilizadas por CESSER en este tipo de proyectos, las cuales han sido ex-

puestas en los puntos de aplicacin correspondientes.

Las herramientas siguientes, adems de los desarrollos propios, forman parte del paquete de herramientas utiliza-

das por Cesser en la realizacin de auditoras de seguridad. Dicha lista no es exhaustiva, puesto que dependiendo

del escenario se escogen las mejores herramientas para llevar a cabo las auditoras, tratando de realizar cada

prueba con un pool de herramientas que verifiquen los resultados.

o Nmap, UnicornScan, Amap, Nbtscan, etc.: Herramientas para exploracin de redes y auditoras de seguri-

dad.

o Wireshark, Tcpdump, Dsniff, etc.: Analizadores de protocolos de red.

o Ntop, Tcpflow, Tcpick, etc.: Analizadores de trfico de red.

o Kismet, Air Crack, Airodump, Airsnort, etc.: Herramientas de auditora de entornos wireless.

o Nessus, OpenVas, MBSA, Sara, etc.: Herramientas de exploracin de vulnerabilidades.

o Nikto, Wikto, Webscarab, etc.: Herramientas de exploracin de vulnerabilidades en entornos web.

o Can&Abel, Ettercap, etc.: Herramientas de anlisis de protocolos y ataques Man In the Middle (MIM).

o Yersinia, Inguma, Metasploit, Fast-Track, Absinthe, Curl, Pipper, etc.: Herramientas utilizadas para la reali-

zacin de pruebas de penetracin y explotacin de vulnerabilidades.

o P0f, SinFp, etc.: Analizadores de huellas digitales de sistemas operativos.

o

Snort, Kismet, etc.: Sistemas de Deteccin de Intrusos (IDS).

o THC Hydra, Medusa, Ophcrack, John the Ripper, etc.: Herramientas de ataque a contraseas mediante

diccionario y fuerza bruta.

o BTCrack, Blueprint, Btscanner, ObexFTP, etc.: Herramientas de auditora de redes Bluetooth.

o Maltego, Dmitry: Herramientas de recogida y anlisis de informacin.

o Metagoofil: Herramienta de extraccin de metadatos de documentos.

o Buscadores de internet: Google, Yahoo, Microsoft Live Search, etc.

o

Procedimientos manuales de recoleccin de informacin.

o Herramientas genricas de red y de sistema.


20/22



20 de 22

5 Desarrollo del proyecto.

El proyecto consta de los siguientes grupos de actividades:

1. Trabajos de campo. En la sede de la Organizacin y en CESSER (para test remotos).

2. Documentacin. CESSER.

Los grupos de actividades anteriores abarcarn las fases 1, 2 y 4 de la metodologa de CESSER, excluyndose, debi-

do al alcance de la auditora, las fases 3 y 5.

Es importante resaltar que los test de vulnerabilidades externas pueden afectar a los servicios en produccin, por

lo que se debe realizar una planificacin exhaustiva de las pruebas, contando con el conocimiento y el apoyo del

personal de la Organizacin.


21/22



21 de 22

6 Entregables del proyecto

Entregable Descripcin

Fundamentos del proyecto Fases de la metodologa OSSTMM 3 aplicable.

Equipos de trabajo.

Entornos y prioridades.

Objetivos.

Plan de Trabajo y seguimiento.

Entornos analizados Inventario de equipos objeto del proyecto.

Condicionantes de los anlisis Restricciones organizativas.

Restricciones tcnicas.

Restricciones normativas.

Autorizaciones.

Conjunto de pruebas realizadas Diseo de pruebas.

Desarrollo de las pruebas.

Resultados.

Informe/s de conclusiones Evidencias derivadas de las pruebas.

Anlisis de riesgos.

Conclusiones extradas.

Informe/s de recomendaciones Recomendaciones sobre implementacin de medidas tendentes a

minimizar los riesgos detectados.

Guas de seguimiento Recomendaciones sobre monitorizacin de las medidas recomenda-das en su objetivo de minimizar los riesgos detectados.


22/22


7 Equipo de proyecto.

CESSER dispone de personal especializado en el diseo, realizacin y elaboracin de conclusiones y recomendacio-

nes de este tipo de proyectos.

Adicionalmente a los componentes indicados, CESSER dispone de un amplio grupo de especialistas en diferentes

entornos y plataformas tecnolgicas que, si es estima necesario, pueden ser asignados al proyecto.

Estos consultores adicionales, en su mayora, disponen de certificaciones que acreditan sus conocimientos. Todos

ellos disponen de experiencia acreditada en sus especialidades.

8 Enfoque interno.

Es un hecho contrastado que el anuncio de la realizacin de este tipo de proyectos, a nivel interno, no es aconsejable, dadoque ello suele conllevar actuaciones de pre-auditora interna y adopcin de medidas diferentes a las realmente en uso si

dicho anuncio no se produjera, distorsionando en mayor o menor grado el escenario real. Con el fin de preservar la autenti-

cidad de los resultados obtenidos en relacin con el entorno real auditado, se recomienda no divulgar este proyecto y man-

tenerlo en conocimiento exclusivo de las personas asignadas para dirigirlo.

9 Compromisos de Confidencialidad.

La confidencialidad tiene como objetivo garantizar que terceros no autorizados accedan a los datos y documenta-

ciones manejados en el proyecto.

El equipo de trabajo cumplir con la obligacin de respetar la confidencialidad de la informacin a la que tenga ac-

ceso, no pudiendo, por tanto, utilizar con ningn fin la informacin a la que pudiese tener acceso en el curso del

trabajo propuesto excepto para elaborar los informes, recomendaciones, etc. descritos en la presente propuesta.

Si algn otro tcnico del equipo de trabajo, durante la realizacin del mismo, debiera ser consultado, recibir es-

trictamente la informacin que le permita responder adecuadamente, informndole de las normas a cumplir para

el aseguramiento de datos y documentos.

CESSER Informtica y Organizacin solicitar al cliente el permiso expreso para desarrollar las actividades propias

de un proyecto de estas caractersticas, en el transcurso del cual se realizarn ataques de diferentes tipos a los

componentes objeto del alcance del proyecto. Estos ataques sern descritos en la solicitud de permiso. En este

punto:

I. CESSER no iniciar estos test sin haber obtenido el permiso mencionado.

II. El permiso debe estar firmado por una persona de la Organizacin que ostente un cargo directivo que

ampare con suficiencia la autorizacin para el desarrollo los trabajos a realizar. Normalmente, se pide

la firma del Director de Informtica o cargo equivalente, o superior en rango jerrquico.

A tal efecto, se entregar al Cliente un Acuerdo de Confidencialidad por parte de CESSER Informtica y Organiza-

cin, S.L.

Cesser Criteria Proyectos Hacking Tico v02

Documents

Transcript of Cesser Criteria Proyectos Hacking Tico v02