Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF...
Transcript of Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF...
![Page 1: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/1.jpg)
Fecha: 24 de Febrero de 2011Jornadas Técnicas 2011
Test de Intrusión: Metodologías OSSTMM e ISSAF
Carlos SahuquilloConsultor de Seguridad
GMV
![Page 2: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/2.jpg)
¿Qué debemos proteger?
LA INFORMACIÓN
![Page 3: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/3.jpg)
Conceptos básicos
Vulnerabilidad
Activo
Amenaza
![Page 4: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/4.jpg)
¿Qué es la gestión del riesgo?
Ojo con el
perro!
ggrr!
ActivoActivo
AmenazaAmenazaGestión del
Riesgo
![Page 5: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/5.jpg)
Objetivos: disminuir el riesgoPlan de
ChoquePlan Director
de Seguridad
ImplantaciónAuditoria
Tecnológica
Implantación
Residual
Riesgo
Tiempo
Análisis de
Riesgos
Auditoria
(verificación)
![Page 6: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/6.jpg)
Estado de un Control
Estado Ideal
Ausente Estricto
Insuficiente
Innecesario
Nivel Riesgo
Deseado
![Page 7: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/7.jpg)
Auditoría Informática
� ¿Qué es una auditoría de seguridad informática?Una auditoría de seguridad, es el análisis y estudio de un sistema,
para intentar conocer sus limitaciones (vulnerabilidades, debilidades, riesgos, etc.) y posteriormente poder corregirlas.
� ¿Qué es un test de intrusión?Es un tipo de auditoría de seguridad en la que el auditor se centra
en localizar las vulnerabilidades del sistema que puedan permitir el acceso de alguien no autorizado. Según la definición de OSSTMM, es un Test de seguridad con un objetivo definido que finaliza cuando el objetivo es alcanzado o el tiempo ha terminado.
![Page 8: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/8.jpg)
El valor de las auditorías
Tener criterio informado sobre:� Conformidad� Efectividad del sistema� Realizar decisiones de negocio efectivas� Distribuir recursos� Mejorar los procesos críticos
de negocio
![Page 9: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/9.jpg)
Tipos de auditoría de seguridad
![Page 10: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/10.jpg)
Promesas, resultados…
![Page 11: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/11.jpg)
Necesitamos una técnica: Test de intrusión
� Recoger Información� Escaneo de direcciones IP � Evaluar la información obtenida� Explotar servicios vulnerables� Elevar el acceso
� Principales metodologías:– OSSTMM– ISSAF– OWASP
![Page 12: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/12.jpg)
OSSTMM (1)
� Fue creada en el año 2000 por ISECOM (Institute for Security and Open Methodologies).
� A partir del año 2006, se convierte en el estándard de facto en EEUU.
� Pretende ir mas allá de la ‘fotografía’ actual del sistema, enriqueciendola con los Análisis de Riesgos.
� Desarrollado por Pete Herzog, es un documento vivo que define el marco debuenas prácticas sobre cómo hacer un test de intrusión.
![Page 13: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/13.jpg)
OSSTMM(2)
� El OSSTMM se centra en los detalles técnicos de los elementos que deben ser probados. ¿Qué hacer antes, durante y después de una prueba de seguridad?, y ¿cómo medir los resultados?
� Se divide en 6 grandes grupos:– Seguridad de la Información– Seguridad de los Procesos– Seguridad en las tecnologías de Internet– Seguridad en las Comunicaciones– Seguridad Inalámbrica– Seguridad Física
![Page 14: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/14.jpg)
Convergencia entre dominios
![Page 15: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/15.jpg)
Sección A – Seguridad de la Información
� Revisión de la Inteligencia Competitiva (Google)� Revisión de la Privacidad (LOPD, LSSI)� Recolección de Documentos (FOCA)
![Page 16: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/16.jpg)
Sección B – Seguridad de los Procesos
� Testeo de Solicitud (Ingeniería social)� Testeo de Sugerencia Dirigida (Ingeniería social
Phising)� Testeo de las Personas Confiables (Ingeniería social)
![Page 17: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/17.jpg)
Sección C – Seguridad en las tecnologías de Internet (1)
� Exploración de Red (whois y DNS)� Escaneo de puertos (el gran Nmap de Fyodor!)� Identificación de los Servicios del Sistema (Telnet,
Netcat y Nmap)� Identificación del Sistema (Telnet, Netcat y Nmap para
estudio de banners y fingerprint)� Búsqueda de vulnerabilidades y verificación (exploits)� Testeo de aplicaciones de Internet (Metasploit)� Testeo del router (Telnet, traceroute)� Testeo de sistemas de confianza (ACLs)
![Page 18: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/18.jpg)
Sección C – Seguridad en las tecnologías de Internet (2)
� Testeo del Firewall (Traceroute)� Testeo de los Sistemas de Detección de Intrusos (IDS)� Testeo de medidas de protección (virus, troyanos,
código malicioso)� Testeo de contraseñas (John the ripper)� Testeo de Denegación de Servicio (herramientas de
stress)� Revisión de las políticas de seguridad (Microsoft Word
y Acrobat Reader)
![Page 19: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/19.jpg)
Revisión de las políticas de seguridad
![Page 20: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/20.jpg)
Sección D – Seguridad en las Comunicaciones
� Testeo de PBX (Centralitas telefónicas, números 900)� Testeo del Correo de Voz (Ejemplo Paris Hilton y
Tinkerbell, Asterix y CallerID spoofing)
� Revisión del FAX (políticas de envío, ACLs, FTP)� Testeo del router (wardialing, WarVox sobre VoIP)
![Page 21: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/21.jpg)
Sección E – Seguridad Inalámbrica� Verificación de Radiación Electromagnética (EMR)� Verificación de Redes Inalámbricas (aircrack, kismet)� Verificación de Bluetooth (Super Bluetooth Hack)� Verificación de Dispositivos de Entrada Inalámbricos� Verificación de Dispositivos de biometría� Verificación de Dispositivos de Vigilancia Inalámbricos� Verificación de Dispositivos de Transacción
Inalámbricos (lectores códigos de barras CheckPoint)� Verificación de RFID (pasaporte británico)� Verificación de Sistemas Infrarrojos (MIRT semáforos)� Revisión de Privacidad (sniffers inalámbricos)
![Page 22: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/22.jpg)
Sección F – Seguridad Física
� Revisión de Perímetro (Datacenter)� Revisión de la monitorización (dispositivos de entrada)� Evaluación de Controles de Acceso� Revisión de Respuesta de Alarmas� Revisión de Ubicación� Revisión de Entorno (alrededores de la empresa,
posibles desastres naturales)
![Page 23: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/23.jpg)
Information Systems Security Assessment Framework ISSAF (1)
� Metodología creada por el Open Information Systems Security Group (OISSG).
� Implementa controles de IEC/ISO 27001:2005 (BS7799), Sarbanes Oxley SOX404, CoBIT, SAS70 y COSO
� La versión actual es la 0.2 y es muy exahustiva.
![Page 24: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/24.jpg)
ISSAF (2)
� Los criterios de evaluación en los que se basa incluyen los siguientes:– Una descripción de los criterios de evaluación– Finalidades y objetivos– Los prerrequisitos para la realización de las evaluaciones– Los procesos para las evaluaciones– Presentación de resultados– Contramedidas recomendadas– Referencias a documentos externos
![Page 25: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/25.jpg)
ISSAF (3)
� ISSAF propone cinco fases para la realización de un completo Test de Penetración:– Fase I – Planteamiento– Fase II – Evaluación– Fase III – Tratamiento– Fase IV – Acreditación– Fase V – Mantenimiento
Cada una de estas fases involucra procesos como los siguientes: Recolección de Información, Identificación de Recursos, Riesgos Inherentes, Regulaciones Legales, Políticas de Seguridad, Mapeo de Red, Identificación de Vulnerabilidades, Intrusión, Escalada de Privilegios, Mantenimiento del Acceso, Cubrimiento de Huellas, etc.
![Page 26: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/26.jpg)
Plan Do Check Act
![Page 27: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/27.jpg)
Ciclo de vida de las auditorias
NoImplantado
NoImplantado
EvaluaciónEvaluación
A.Correctiva
A.Preventiva
Selección PrimeraImplantación
PrimeraImplantación
Control Innecesario
Control Innecesario Control IdealControl Ideal Control
Estricto
Control Estricto
Control Insuficiente
Control Insuficiente
¿ ?Segui-miento
EvaluaciónEvaluación
Implantación Control
![Page 28: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/28.jpg)
Principales diferencias entre OSSTMM e ISSAF� ISSAF es mucho mas extensa:
– Auditorías de código– Más formalidad– Propone herramientas– Basada en checklists para los dispositivos– Incluye análisis de túneles VPN, AS400, LOTUS, etc.
� OSSTMM es más amigable:
– Auditoría alineada con objetivos concretos– Libertad en la elección de las herramientas, no basa la
seguridad en los resultados de herramientas concretas.
![Page 29: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/29.jpg)
Recopilación de herramientas (1)
http://www.backtrack-linux.org
![Page 30: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/30.jpg)
Recopilación de herramientas (2)
� http://www.vulnerabilityassessment.co.uk/Penetration%20Test.html
� Laboratorios Dragonjar http://labs.dragonjar.org/� Syngress Penetration Testers Open Source Toolkit
Volume 2
![Page 31: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/31.jpg)
Dudas? Preguntas? Donaciones?
![Page 32: Test de Intrusión: Metodologías OSSTMM e ISSAF...Principales metodologías: – OSSTMM – ISSAF – OWASP OSSTMM(1) Fue creada en el año 2000 por ISECOM (Institute for Security](https://reader035.fdocuments.ec/reader035/viewer/2022062414/5fa723ca8f11400b16291eaa/html5/thumbnails/32.jpg)
02/02/2011Jornadas Técnicas 2011
GRACIAS POR SU ATENCIÓN