Test de intrusiónseminarisempresa.fib.upc.edu/anteriors/2008/programes/Aulas Empres… · ©2008...

©2008 Deloitte. Todos los derechos reservados

Barcelona, febrero de 2008

Test de intrusión.

Auditoría .Fiscal y Legal.Consultoría.Asesoramiento Financiero.


Objetivos y alcance


Objetivos y alcance

• Objetivo

Introducción a los conceptos básicos para la ejecución de tests de intrusión bajo el marco del Open-Source Security Testing Methodology (OSSTM 2.2).

• Temario general

I. Introducción

II. Seguridad de la información

III. Seguridad de los procesos de negocio

IV.Seguridad Internet

V. Seguridad en las comunicaciones

VI.Seguridad de las redes inalámbricas

VII.Seguridad física

Anexo I: Test de aplicaciones web

Anexo II: Valoración del riesgo / vulnerabilidades


I. Introducción


III.Seguridad de los procesos de negocio







Anexo III: Referencias

ÍNDICE


• Recursos de información

� Open Source Security Testing Methodology (OSSTM)

� Information System Security Assessment Framework (ISSAF)

� Sans Institute Security Testing Best Practices

� CERT Security Testing Best Practices

� NIST Security & Risk Management Best Practices

� BS7799/ISO27002

� VISA PCI DSS

I. Introducción


• Pilares básicos de la seguridad

� Confidencialidad: Debe permitirse acceso a la información solo a los usuarios autorizados.

� Integridad: Es necesario garantizar que la información no sea alterada por usuarios no autorizados.

� Disponibilidad: Se requiere garantizar que los sistemas y la información estará disponible cuando los usuarios autorizados la requieran.

I. Introducción


• Principios básicos de seguridad

� Minimizar la superficie de ataque: Cada funcionalidad añadida a la aplicación aumenta en un cierto porcentaje el riesgo de seguridad de la aplicación en conjunto.

� Establecer una configuración por defecto segura: Por ejemplo, exigentes políticas de contraseña.

� Principio del menor privilegio: Únicamente se deben conceder permisos para las tareas que se van a llevar a cabo. Por ejemplo, si un servidor solo necesita acceder a una base de datos remota, esta es la única funcionalidad que debe ser habilitada.

� Principio de la defensa en profundidad: Un único control es razonable, pero diversos controles que vigilen diferentes riesgos pueden ser mejor.

� Fallos seguros: Toda situación debe ser preparada para fallar de forma segura y controlada (e.g. control de excepciones).

I. Introducción


• Principios básicos de seguridad

� No confiar en los servicios de terceros: Si la aplicación recibe información de un tercero, se debe establecer controles rigurosos sobre esta interfase. Es posible que la fuente externa no disponga unas políticas de seguridad sólidas.

� Segregación de funciones: Una misma persona no debe acumular todas las funciones, mejor distribuir entre diferentes perfiles.

� Evitar la seguridad por ocultación (security by obscurity).

� Mantener la seguridad simple.

� Arreglar fallos de seguridad correctamente: Cuando se comparte código, es posible que fallos detectados en una funcionalidad puedan afectar a otras partes de la aplicación. Es importante testear y arreglar por completo el fallo identificado.

I. Introducción


• Open-Source Security Testing Methodology

� Guía que proporciona una metodología consensuada con objeto de obtener una imagen fiel del estado de la seguridad de los sistemas de información.

� Adaptable a diversos tipos de trabajo:

� Auditoria de los Sistemas de Información

� Auditoria de Seguridad

� Tests de intrusión (penetration tests) / Hacking ético

� La metodología intenta garantizar:

� Inclusión de todos los posibles canales.

� Respeto a los derechos fundamentales de privacidad.

� Los resultados son cuantificables.

� Los resultados son consistentes y repetibles.

� Los resultados contienen aspectos que derivan exclusivamente del propio test.

I. Introducción


Amenaza

Recurso

Vulnerabilidad

I. Introducción


Amenaza

Recurso

Vulnerabilidad

Técnicas demitigación

¡Alarma! ggrr

!

I. Introducción


• Tipología de trabajos

� Escaneo de vulnerabilidades: chequeos automatizados en busca de vulnerabilidades conocidas de los sistemas.

� Escaneo de seguridad: escaneo de vulnerabilidades que incluye la validación manual de falsos positivos, identificación de debilidades de la red y análisis profesional a medida.

� Test de intrusión: proyecto orientado al alcance de un objetivo / trofeo (p.ej. Conseguir acceso administrador a una BBDD determinada), para el cual se comprometen sistemas y se realiza escalado de privilegios.

� Valoración del riesgo: validación de seguridad a partir de entrevista, comprobaciones de nivel medio que incluyen análisis de evidencias, justificaciones legales, etc.

� Auditorias de seguridad: inspección de sistemas operativos y aplicaciones mediante acceso autorizado y privilegiado.

� Hacking Ético: tests de intrusión cuyo objetivo es el descubrimiento de objetivos / trofeos de una red, enmarcado dentro de un proyecto limitado en el tiempo.

I. Introducción


• Tipología de tests

� Blind:

� El auditor no tiene conocimiento previo de las defensas, los activos o canales del objetivo.

� Los responsables del objetivo son informados de la ejecución del test de intrusión.

� La profundidad de este tipo de tests dependen del las habilidades y conocimientos del auditor.

� Double Blind / Black box:

� El auditor no tiene conocimiento previo de las defensas, los activos o canales del objetivo.

� Los responsables del objetivo no son informados de la ejecución del test de intrusión.

� Permite la validación de la preparación frente a circunstancias adversas no previstas.

I. Introducción



� Gray Box:

� El auditor tiene conocimiento previo limitado sobre las defensas y los activos del objetivo, adicionalmente tiene conocimiento completo de los canales.

� Los responsables del objetivo conocen todos los detalles del test.

� La profundidad del test dependerá de tanto de las habilidades del auditor como de la información proporcionada por el objetivo.

� Double Gray Box / White Box:

� El auditor tiene conocimiento previo limitado sobre las defensas y los activos del objetivo, adicionalmente tiene conocimiento completo de los canales.

� Los responsables del objetivo es informado del alcance y el periodo del test pero no de los canales y vectores de ataque que serán utilizados.


I. Introducción



� Tandem / Crystal Box:

� El auditor y los responsables del objetivo tienen todos los detalles de los sistemas de información y de las pruebas.

� Este tipo de test comprueba la eficacia de las medidas de protección y control implantadas (p.ej. el auditor puede solicitar acceso a logs, alarmas, etc.).

� Reversal:

� El auditor tiene conocimiento detallado sobre el objetivo.

� Los responsables del objetivo desconocen que activos, como o cuando van a ser testeados.


I. Introducción


• Apartados

� Seguridad de la información

� Seguridad de los procesos

� Seguridad Internet

� Seguridad en las comunicaciones

� Seguridad wireless

� Seguridad física

I. Introducción


I. Introducción

II.Seguridad de la información









ÍNDICE



• Competitive Intelligence Review

� Desde una punto de acceso a Internet, obtener toda la información relativaa la organización disponible públicamente en la red:

� Páginas Web o servicios FTP: estructura de directorios.

� Examinar la base de datos WHOIS para los dominios registrados.

� Buscar comentarios sobre la organización en foros, grupos de noticias (newsgroups), etc.

� Productos de la organización que pueden ser comprados online.

� Productos de la organización que pueden encontrarse en las redes P2P.

Buscadores :

http://www.google.com/http://www.dogpile.com/http://www.alltheweb.com/http://www.infoseek.com/http://www.kartoo.com/

Consulta de dominios / IPs :

http://www.geektools.com/whois.phphttp://whois.schttp://arin.com/http://www.samspade.orghttp://www.dnsstuff.com/

Consulta de BBDD Spammers : http://www.spamhaus.org/http://www.spamcop.net/http://rbls.org/http://www.dshield.org/

Otros : http://www.netcraft.comhttp://www.alexa.comhttp://www.archive.org

Redes P2P : Emule / EdonkeyKaZaAGroksterBitTorrentSoulseekGnutella

Herramientas Mirroring : HTTrackGNU Wget



• Competitive Intelligence ReviewGoogle Hacking Database : http://johnny.ihackstuff.com/ghdb.php




$ whois -h whois.arin.net 67.18.176.102OrgName: ThePlanet.com Internet Services, Inc.OrgID: TPCMAddress: 1333 North Stemmons FreewayAddress: Suite 110City: DallasStateProv: TXPostalCode: 75207Country: USReferralServer: rwhois://rwhois.theplanet.com:4321NetRange: 67.18.0.0 - 67.19.255.255…NameServer: NS1.THEPLANET.COMNameServer: NS2.THEPLANET.COMComment:RegDate: 2004-03-15Updated: 2004-07-29RTechHandle: PP46-ARINRTechName: Pathos, PeterRTechPhone: +1-214-782-7800RTechEmail: [email protected]




$ dig @<domain DNS server> -t MX oissg.org; <<>> DiG 9.2.4 <<>> @<domain DNS server> -t MX oissg.org;; global options: printcmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57798;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 1;; QUESTION SECTION:;oissg.org. IN MX;; ANSWER SECTION:oissg.org. 3600 IN MX 20 mail.oissg.org.oissg.org. 3600 IN MX 30 mx2.mailhop.org.;; AUTHORITY SECTION:oissg.org. 3600 IN NS li9-102.members.linode.com.oissg.org. 3600 IN NS li9-37.members.linode.com.;; ADDITIONAL SECTION:mail.oissg.org. 3600 IN A 67.18.176.102;; Query time: 115 msec;; SERVER: <IP of domain DNS server>#53(<domain DNS server>);; WHEN: Sat Feb 11 12:30:48 2006;; MSG SIZE rcvd: 153


II. Seguridad de la Información

• Revisión de la privacidad

� Identificar los puntos públicos donde se trata o transmite datos de carácter personal:

� Identificar posibles incumplimientos de leyes locales, regionales, etc.

� Identificar información recolectada por la organización (p.ej. formularios)

� Identificar el uso de cookies, tipología, expiración, etc.



• Document Grinding

� Analizar el perfil de la organización y de las personas clave de la misma:

� Identificar personas clave de la organización y recopilar información de contacto.

� Investigar cada una de las personas identificadas: páginas personales, curriculums, redes sociales, forums, etc.

� Buscar información oculta en los documentos públicos (p.ej. Control de versiones de documentos word).

Redes sociales : http://www.linkedin.comhttp://www.facebook.comhttp://www.xing.comhttp://www.neurona.com

Buscadores de personas : http://pipl.com/http://wink.com/https://upscoop.com/http://www.spock.com/


• Document Grinding

$ nc -vv mail.oissg.org 25220 OISSG Mail ServerEHLO assessor250-server1.oissg.org250-PIPELINING250-SIZE 10240000250-VRFY250-ETRN250-AUTH=LOGIN PLAIN250 8BITMIMEVRFY balwant550 <balwant>: Recipient address rejected: User unknown in local recipienttableMAIL FROM: [email protected] OkRCPT TO: [email protected] OkRCPT TO: [email protected] <[email protected]>: Recipient address rejected: Userunknown in virtual alias table



I. Introducción










ÍNDICE


III. Seguridad de los procesos

• Test de petición

� El objetivo de este punto es intentar ganar acceso privilegiado a la organización o a sus activos mediante la petición a personal interno desde una posición privilegiada fraudulenta:

� Seleccionar una persona interna que nos pueda facilitar el acceso.

� Identificar información específica sobre la persona (posición, hábitos, preferencias, etc.)

� Contactar y solicitar información desde una posición privilegiada (p.ej. Simular ser un superior en la jerarquia de la organización).

� Enumerar información descubierta.

• Test de petición desde posición de confianza

� Mismo objetivo que el punto anterior, pero realizado desde una posición de confianza real (p.ej. empleado/compañero/superior/etc.)

Ingeniería Social : Práctica de obtener información confidencial a través de la manipulación de usuarios legítimos.

Los 4 principios según Kevin Mitnick : - Todos queremos ayudar.- El primer movimiento es siempre de confianza hacia el otro.- No nos gusta decir No.- A todos nos gusta que nos alaben..


III. Seguridad de los procesos

• Test de sugestión guiada

� Invitar a personal interno a acceder a una web externa fraudulenta (u otro tipo de recurso):

� Identificar personas clave de la organización y recopilar información de contacto.

� Invitar a la persona a visitar / utilizar el recurso fraudulento.

� Enumerar información descubierta. Phishing : El phishing es llevado a cabo por atacantes que intentan hacerse pasar por una entidad de confianza utilizando técnicas de ingeniería social. A su vez, para dar una mayor confianza a la víctima, utilizan la estética de la entidad que desean suplantar.


I. Introducción










ÍNDICE


IV. Seguridad Internet

• Objetivo: esquema de red, servicios, etc.

� En una primera fase el objetivo consiste en identificar los sistemas y servicios de la organización objetivo

ExchangeServer

Domain Controllers

BlackberryServer

InternetInternet

Red objetivo

.1

Firewall

ADSL

Router

84.77.x.x

.201 .202 .211 .213 .231 192.168.1.x

Laboratorio

.23

.1



• Escaneo de red

� Identificar el número de sistemas accesibles desde la red:

� Examinar la información registrada en los servidores de dominio.

� Identificar la parte externa de la red (traceroute).

� Examinar información en el código fuente de las aplicaciones en búsqueda de enlaces ocultos.

� Examinar las cabeceras de los correos electrónicos (correos devueltos, recibos, etc.).

� Buscar en webs de trabajo ofertas de empleo de la organización que detallen los requisitos de conocimiento de Software o Hardware específico.

Ofertas de empleo : http://www.infojobs.nethttp://www.tecnoempleo.comhttp://www.monster.eshttp://www.careerbuilder.com

Herramientas escaneo:Hping (pings a medida)Fping (pings en paralelo)Unix / Windows pingNmaptraceroutetcptraceroutePaketto Keiretsu (manipulación TCP/IP)



• TCP/IP TTL (Time to Live):En cada salto del paquete, el TTL es decrementadoen 1. Al llegar a 0, se envia paquete de error.

Ventana:Un lado de la conexión informa la cantidad de datos que puede ser enviados en la siguiente transmisión.

Scan SYN Stealth:Se verifican los puertos sin llegar a completar la conexión.


IV. Seguridad Internet• Escaneo de red

ICMP# traceroute –I www.google.com

UDP # traceroute www.google.comtraceroute to www.l.google.com (64.233.169.99), 64 hops max, 40 byte packets1 * * *2 172.16.183.1 (172.16.183.1) 23 ms 23 ms 22 ms3 10.127.66.229 (10.127.66.229) [MPLS: Label 1479 Exp 0] 38 ms 51 ms 38 ms4 cnt-00-tge1-0-0.gw.cantv.net (200.44.43.85) 38 ms 38 ms 37 ms5 cri-00-pos1-0-0.border.cantv.net (200.44.43.50) 51 ms 43 ms 43 ms6 sl-st21-mia-14-1-0.sprintlink.net (144.223.245.233) 94 ms 93 ms 93 ms

…

Nota: El comando tracert de Windows realiza el trazado utilizando ICMP pordefecto.

TCP# tcptraceroute -f 5 pages.ebay.comSelected device eth0, address 207.8.132.210, port 1056 for outgoing packetsTracing the path to pages.ebay.com (216.32.120.133) on TCP port 80 (www), 30 hops max5 core2-abov-ds3.b2.iad.netaxs.net (207.106.127.130) 10.849 ms6 core1-mae-e-gige-1.mae-e.iad.netaxs.net (207.106.127.101) 105.601 ms7 core1-core3-fe-1.mae-e.iad.netaxs.net (207.106.31.28) 19.929 ms8 250.ATM3-0.BR3.DCA6.ALTER.NET (137.39.92.25) 16.123 ms

…



• Escaneo de red

# paratrace 192.168.8.100Waiting to detect attachable TCP connection to host/net: 192.168.8.100192.168.8.100:80/32 1-8001 = 192.168.100.254|80 [01] 11.650s (192.168.100.66 -> 192.168.8.100)002 = 192.168.1.2|80 [01] 11.650s (192.168.100.66 -> 192.168.8.100)003 = 192.168.2.2|80 [02] 11.730s (192.168.100.66 -> 192.168.8.100)004 = 192.168.6.2|80 [03] 11.750s (192.168.100.66 -> 192.168.8.100)UP: 192.168.8.100:80 [04] 11.786s (192.168.100.66 -> 192.168.8.100)

Paketto Keiretsu- Paratrace:No genera un paquete ICMP, UPD o TCP SYN nuevo. Por el contrario, utilizaalgun flujo TCP ya existente, enviandoTCP Keepalive para determinar los saltos intermedios.

TCP Keepalive:Paquete sin datos y con el bit ACK activado. Se utiliza para verificar que la conexión establecida no ha sido cerrada.



• Escaneo de red

# nmap -v -sP 10.3.8.1-50Starting nmap V. 3.81 (www.insecure.org/nmap/)Host (10.3.8.1) appears to be down.Host (10.3.8.2) appears to be down.Host (10.3.8.3) appears to be down.Host (10.3.8.4) appears to be down.Host (10.3.8.5) appears to be up.

# nmap -sP –vv –PS80 10.3.8.1-50Starting nmap V. 3.81 (www.insecure.org/nmap/)Host (10.3.8.1) appears to be down.…

Nota: La combinación de la opción –sPconjuntamente con –PE, –PA o –PS podria proporcionar mejores resultados. Consultar man page.

# hping -S -c 2 10.3.8.5HPING 10.3.8.5 (eth1 10.3.8.5): S set, 40 headers + 0 data byteslen=46 ip=10.3.8.5 ttl=60 id=1650 sport=0 flags=RA seq=0 win=0 rtt=2.8 ms…

# arping 10.0.0.1ARPING 10.0.0.1 from 10.0.0.100 eth0Unicast reply from 10.0.0.1 [DE:30:3A:CA:D4:44] 1.584ms…



• Escaneo de puertos

� Validación activa de los puertos abiertos/filtrados de los diferentes sistemas:

� Realizar escaneo de puertos completo o parcial (p.ej. 21, 22, 25, 80 y 443) para los sistemas de la red.

TCP SYN Scan# nmap –vv -sS 10.3.8.5Starting nmap V. 3.81 ( www.insecure.org/nmap/ )Host (10.3.8.5) appears to be up ... good.Initiating SYN Stealth Scan against (10.3.8.5)…The SYN Stealth Scan took 16 seconds to scan 1601 ports.Interesting ports on (10.3.8.5):(The 1594 ports scanned but not shown below are in state: closed)Port State Service21/tcp open ftp23/tcp open telnet80/tcp open http280/tcp open http-mgmt515/tcp open printer631/tcp open ipp9100/tcp open jetdirect

Herramientas:NmapNetcatHpingFscanGFI LANGuardAmaptelnetArppingArpwatchPaketto Scanrand



• Escaneo de puertos

UDP Scan# nmap –vv -sU 10.3.8.5Starting nmap V. 3.81 ( www.insecure.org/nmap/ )Host (10.3.8.5) appears to be up ... good.Initiating UDP Scan against (10.3.8.5)The UDP Scan took 12 seconds to scan 1468 ports...Interesting ports on (10.3.8.5):(The 1466 ports scanned but not shown below are in state: closed)Port State Service161/udp open snmp427/udp open svrlocNmap run completed -- 1 IP address (1 host up) scanned in 12 seconds



• Identificación del sistema y los servicios

� Determinar el sistema operativo y la versión del mismo (fingerprinting):

� Uso de herramientas específicas (p.ej. nmap)

� Buscar en webs de trabajo ofertas de empleo de la organización que detallen los requisitos de conocimiento de Software o Hardware específico.

Escaneo pasivo (TTL y ventanas)# p0fp0f - passive os fingerprinting utility, version 2.0.5(C) M. Zalewski <[email protected]>, W. Stearns <[email protected]>p0f: listening (SYN) on 'eth0', 231 sigs (13 generic), rule: 'all'.192.168.1.101:1298 - Windows XP SP1, 2000 SP3 (2)-> 192.168.1.102:22 (distance 0, link: ethernet/modem)192.168.1.102:2298 - Linux 2.5 (sometimes 2.4) (4) (up: 2 hrs)-> 10.1.1.1:80 (distance 0, link: ethernet/modem)

Sniffers:WiresharkEttercap-NGTCPDump




Pila TCP/IP (envío de paquetes a medida y contraste de respuesta)# nmap -O 192.168.1.254Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-06-04 19:45Interesting ports on gateway (192.168.1.254):(The 1662 ports scanned but not shown below are in state: closed)PORT STATE SERVICE80/tcp open httpMAC Address: 00:06:25:EC:CC:D9 (The Linksys Group)Device type: WAP|broadband routerRunning: Linksys embeddedOS details: Linksys BEFW11S4 WAP or BEFSR41 router

Otras herramientas:quesoxprobe2




# ./httprint -h 192.168.1.1 -s signatures.txthttprint v0.202 (beta) - web server fingerprinting tool…Banner Reported: -Banner Deduced: Linksys BEFSR41/BEFSR11/BEFSRU31Score: 65Confidence: 39.16------------------------Scores:Linksys BEFSR41/BEFSR11/BEFSRU31: 65 39.16Cisco-HTTP: 46 13.26…

# nc -vv www.target.com 80Warning: inverse host lookup failed for 192.168.0.1: Unknown hostwww.target.com [192.168.0.1] 80 (http) openHEAD / HTTP/1.0HTTP/1.1 200 OKDate: Sun, 12 Oct 2003 13:36:46 GMTServer: Apache/1.3.26 (Unix) mod_jk mod_perl/1.27 mod_perl/1.27Last-Modified: Mon, 06 Oct 2003 08:13:35 GMT…




# nmap –sS –sV 10.0.0.1Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-05-29 20:03CDTInteresting ports on localhost (10.0.0.1):(The 1662 ports scanned but not shown below are in state: closed)PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 3.9p1 (protocol 2.0)

# amap –v 10.0.0.1 22amap v4.8 (www.thc.org/thc-amap) started at 2005-05-29 20:58:53 - MAPPINGmodeTotal amount of tasks to perform in plain connect mode: 17Waiting for timeout on 17 connections ...Protocol on 10.0.0.1:22/tcp (by trigger http) matches sshProtocol on 10.0.0.1:22/tcp (by trigger http) matches ssh-opensshUnidentified ports: none.



• Búsqueda y verificación de vulnerabilidades

� Identificar las debilidades, configuraciones inseguras y vulnerabilidades de los sistemas. En este paso se pueden utilizar herramientas automáticas, cuyos resultados deben ser acompañados de verificaciones manuales para eliminar falsos positivos.

� Identificar vulnerabilidades relacionadas con las aplicaciones y el sistema operativo.

� Verificar falsos positivos y falsos negativos.

Nota : Importante tomar precauciones para no provocar denegaciones de servicio en sistemas críticos.



• Búsqueda y verificación de vulnerabilidades

Escaners automáticos:

NessusHerramienta gratuita. Problemas con falsos positivos y denegaciones de servicio.

XXX

Verificación de vulnerabilidades :

Metasploithttp://www.metasploit.com/

XXX



• Test de aplicaciones web

� Capa aplicación:

� Ingeniería inversa

� Autenticación

� Gestión de sesiones

� Manipulación de datos de entrada

� Manipulación de datos de salida

� Fuga de información

Intercepción HTTP :WebScarabParos Proxy

Herramientas escaneo web :Nikto 2WiktoXXXWhiskerJava Bro FuzzerBurp SuiteNota : Consultar anexo I



• Otras tareas

� Routers: Verificar la correcta implantación de políticas de flujo de tráfico (denegar por defecto).

� Sistemas de confianza: Identificar controles de seguridad basados en la confianza (p.ej. Permitir conexiones sin contraseña de una determinada IP) e intentar realizar un spoofing (suplantación).

� Cortafuegos: Verificar la correcta implantación de las reglas del cortafuego (firewalking). Revisión de logs.

� Sistemas de detección de intrusos (IDS): Verificar el rendimiento y la sensibilidad de los sistemas IDS. Revisión de logs.

� Medidas de contención: antivirus, protecciones de escritorio, etc.

� Password Cracking: Validación de la robustez de las contraseñas (ataques de diccionario, fuerza bruta, etc.).

� Denegación de servicio: Identificar posibles causas de DOS. Quedan excluidos de las pruebas los ataques por Flood o Distributed DOS, dado que esta tipología de ataque siempre tiene efectos negativos sobre los sistemas.

� Revisión de la política de seguridad:

� Alineación a las necesidades del negocio y a los requerimientos legales

� Grado de cumplimiento actual

Herramientas Firewalking:FirewalkFtester

Password cracking:John the ripperXXXCain & AbelRainbowCrackTHC HydraBrutus


I. Introducción




V.Seguridad en las comunicaciones






ÍNDICE


V. Seguridad de las comunicaciones

• Identificar posibles debilidades que permitan ganar acceso a los siguientes elementos:

� PBX (centralitas telefónicas)

� Contestadors automáticos: Robustez de PINs.

� Fax

� Modem: mecanismos de autenticación.


I. Introducción










ÍNDICE


VI. Seguridad de las redes inalámbricas

• Radiaciones electromagnéticas (EMR)

• A partir de las emisiones electromagnéticas de dete rminados dispositivos (pantallas CRT, LCDs, impresoras, módems, teléfonos móviles, etc.) podria llegar a ser reconstruida la información mostrada en la pa ntalla, impresa, transmitida, etc. El equipamiento para explotar o testear esta v ulnerabilidad es muy costoso y suele realizarse únicamente con información muy sen sible.

� Evaluar las necesidades del negocio.

� Validar la ubicación del equipamiento con objeto de estudiar la posibilidad de proteger los dispositivos en salas especialmente diseñadas (Faraday Cage).

• Redes Wireless 802.11

• Idenificar los puntos de acceso disponibles por la organización.

• Determinar el grado de acceso físico directo a los puntos de acceso.

• Verficar el uso de algoritmos de cifrado seguros (WPA-2)

Scan redes Wireless:KismetAircrack-ngXXX


VI. Seguridad de las redes inalámbricas

• Otras redes inalámbricas: evaluar las necesidades del negocio, verificar posibles vulnerabilidades, etc.

• Bluetooth

• Dispositivos inalámbricos (p.ej. Teclados, ratones, etc.)

• Dispositivos de monitorización inalámbricos (p.ej. Micrófonos, cámaras, etc.)

• RFID (Identificadores por radiofrecuencia): habitual en procesoslogísticos.

• Sistemas de infrarrojos


I. Introducción










ÍNDICE


VII. Seguridad física

• Revisión perimetral

� Mapa físico del perímetro

� Medidas de protección (puertas, vallas, etc.)

� Rutas o métodos de acceso

� Areas no monitorizadas

• Revisión de la monitorización

� Enumerar dispositivos de monitorización

� Prueba de los dispositivos de monitorización para comprobar posibles limitaciones, debilidades y denegaciones de servicio.

• Controles de acceso

� Enumerar las áreas con controles de acceso

� Examinar los dispositivos de acceso y los tipos de alarmas

� Prueba de los dispositivos de acceso para comprobar posibles limitaciones, debilidades y denegaciones de servicio.


VII. Seguridad física

• Revisión de las respuestas ante alarmas

� Enumerar los dispositivos de alarma

� Evaluar los procedimientos definidos para cada tipo de alarma

� Prueba de los dispositivos de alarma para comprobar posibles limitaciones, debilidades y denegaciones de servicio.

• Revisión de la ubicación

� Enumerar áreas visibles dentro de la organización

� Enumerar áreas que faciliten la escucha pasiva dentro de la organización

� Evaluar los controles sobre el personal de limpieza, distribución, etc.

• Revisión del entorno

� Evaluar las probabilidades para la ocurrencia de catástrofes naturales

� Evaluar los procedimientos de restauración y recuperación definidos


I. Introducción










ÍNDICE



I. Introducción vulnerabilidades webII. Protocolo HTTP

III. Test de intrusión web

IV. Vulnerabilidades comunes

V. Ejemplos



• Búsqueda y verificación de vulnerabilidades web

� Los escaners que han sido presentados en secciones anteriores (Nessus, XXX)proporcionan información sobre vulnerabilidades conocidas.

Network Security Scanner



• Búsqueda y verificación de vulnerabilidades web

� Las aplicaciones web a medida disponen de sus propias vulnerabilidades.

� Se requiere escaners que identifiquen debilidades genéricas (XSS, SQL Injection, etc.) o ejecución de pruebas manuales.



• Búsqueda y verificación de vulnerabilidades webIntercepción HTTP :WebScarabParos Proxy



I. Introducción vulnerabilidades web

II. Protocolo HTTP



V. Ejemplos



• Protocolo HTTP

� El protocolo de transferencia de hipertexto (HTTP, HyperText Transfer Protocol) es el protocolo usado en cada transacción de la Web.

� Protocolo orientado a transacciones que sigue el esquema petición-respuesta entre un cliente y un servidor.

� Un cliente que desea ejecutar una transacción, accede a un recurso que es identificado mediante una URL.

� Los recursos pueden ser archivos, el resultado de la ejecución de un programa, una consulta a una base de datos, la traducción automática de un documento, etc.

� HTTP no guarda ninguna información sobre conexiones anteriores (stateless protocol).

� Si se requiere mantener información de estado (p.ej. Información relativa al usuario autenticado) se hace uso de cookies:

� Una cookie es un fragmento de información (p.ej. Identificador unívoco) que se almacena en el disco duro del visitante de una página web a través de su navegador.

� En cada nueva petición, el cliente añade la información de las cookies pertenecientes al servidor que esta accediendo.

Sesión:- El cliente es marcado con un identificador (p.ej. Cookie, parámetro oculto, etc.).- El servidor almacena información temporal vinculada al identificador.



• Protocolo HTTP

$ telnet www.example.com 80GET /index.html HTTP/1.1Host: www.example.comUser-Agent: Mozilla/4.5 [en]Accept: image/jpeg, image/gif, text/htmlAccept-language: enAccept-Charset: iso-8859-1

HTTP/1.1 200 OKDate: Fri, 31 Dec 2003 23:59:59 GMTContent-Type: text/htmlContent-Length: 1221

<html><body><h1>Página principal</h1>(Contenido)…</body></html>



• Protocolo HTTP

� Peticiones / Métodos:

� HEAD: Solicita la misma respuesta que GET, pero sin el cuerpo. De utilidad para acceder únicamente a la meta-información de la cabecera.

� GET: Solicita la representación de un recurso especifico. Permite la especificación de parámetros en la misma URL.

� POST: Envia información para ser procesada (p.ej. Formulario HTML) por un recurso. Los datos se incluyen en el cuerpo de la petición y no en la URL como en el caso de GET.

� PUT: Sube una representación de un recurso determinado. Utilizado por WebDav.

� DELETE: Borra un recurso determinado.

� TRACE: Replica la petición recibida, de forma que el cliente puede observar lo que agregan o cambian posibles servidores intermedios.

� OPTIONS: Devuelve el listado de métodos que soporta el servidor.

� CONNECT: Convierte la petición en un tunel TCP/IP transparente. Utilizado para facilitar comunicaciones cifradas SSL a través de proxys sin capacidades de cifrado.

Nota:Una aplicación web habitual únicamente requierelos métodos GET y POST. El resto pueden ser deshabilitados para reducir potencialesdebilidades de seguridad.



• Protocolo HTTP

� Códigos de respuesta:

100-111 Conexión rechazada

200 OK201-203 Información no oficial

204 Sin Contenido205 Contenido para recargar206 Contenido parcial

300 Múltiples posibilidades301 Mudado permanentemente302 Encontrado303 Vea otros304 No modificado305 Utilice un proxy307 Redirección temporal

1xx Mensajes

2xx Operación exitosa

3xx Redirección hacia otro URL

400 Solicitud incorrecta401 No autorizado402 Pago requerido403 Prohibido404 No encontrado405 Método no permitido406 No aceptable407 Proxy requerido408 Tiempo de espera agotado409 Conflicto410 Ya no disponible411 Requiere longitud412 Falló precondición413 Entidad de solicitud demasiado larga414 URL de solicitud demasiado largo415 Tipo de medio no soportado416 Rango solicitado no disponible417 Falló expectativa

500 Error interno501 No implementado502 Pasarela incorrecta503 Servicio no disponible504 Tiempo de espera de la pasarela agotado505 Versión de HTTP no soportada

5xx Error por parte del servidor

4xx Error por parte del cliente




II. Protocolo HTTP

III. Test de intrusión webIV. Vulnerabilidades comunes

V. Ejemplos



• Ingeniería inversa

� Desensamblar código binario accesible (p.ej. Flash .swf, Java .class, etc.)

� Identificar la lógica de la aplicación a partir de:

� Mensajes de error.

� Mensajes de depuración.

� Comportamiento de la web en las interacciones con el usuario.

Herramientas de decompilación:Boomerang decompilerJad (Java Decompiler)Rec decompilerVBReFormer



• Autenticación

� Identificar los posibles accesos a la web donde pueda ser aplicados ataques de fuerza bruta (contraseñas)

� Buscar credenciales de acceso válidos a partir de búsquedas en el código HTML, googlehacking, etc. * Consultar apartado de Seguridad de la Información.

� Evitar el sistema de autenticación utilizando tokens robados o falseados (p.ej. Identificadores de sesión en cookies).

� Identificar la lógica de la gestión de sesiones : número de reintentos fallidos de autenticación, time-outs, etc.

� Identificar los controles de acceso: chequeos de usuario identificado en cada transacción, usuario autorizado a ejecutar la transación, etc.



• Gestión de sesiones

� Identificar la información relacionada con la gestión de sesiones:

� Número de sesiones concurrentes permitidas.

� Autenticación basada en IP

� Autorización basada en roles

� Uso de cookies

� Identificador de sesión en URL o parámetros HTML ocultos

� Identificar la secuencia de identificadores de sesión y su formato

� Identificar si el identificador de sesión se relaciona con una única IP

� Facilidades para realizar ataques man-in-the-middle (p.ej. Uso de canales no cifrados o con algoritmos de cifrado poco robustos)



• Validaciones de los datos de entrada

� Uso de números/cadenas excesivamente largos para identificar buffer overflows.

� Insertar en los parámetros de entrada: Comandos del sistema, SQL, LDAP, etc.

� Comprobar la existencia de Cross Site Scripting (XSS).

� Facilidades para la ejecución de Cross Site Request Forgeries (Session Riding).

� Examinar la estructura web y el acceso a directorios no autorizados mediante path/directorytransversal (p.ej. http://victima.com/download.cgi?file=../../../etc/passwd).

� Utilizar diversas codificaciones de caracteres (Unicode, URL-encoded, etc) para evitar los controles sobre los parámetros de entrada.

� Manipular cookies o parámetros de formularios HTML (p.ej. hidden) para engañar o modificar la lógica de la aplicación.

� Utilizar entradas ilegales o ilógicas para testear el manejo de errores de la aplicación.

� Identificar mensajes de error o depuración.



• Validaciones de los datos de salida / Fuga de infor mación

� Buscar información confidencial o valiosa para la ejecución de ataques:

� HTML.

� Cookies.

� Cache del navegador cliente.

� Objetos serializados.

� Ficheros temporales.




II. Protocolo HTTP


IV. Vulnerabilidades comunesV. Ejemplos



• OWASP Top 10 - Vulnerabilidades web más comunes 2007

� Cross Site Scripting (XSS)

� Debilidades de inyección (p.ej. SQL injection)

� Ejecución de código malicioso (p.ej. Posibilidad de subir archivos y posteriormente ejecutarlos)

� Referencias directas a objeto (p.ej. victima.com/download.cgi?file=../../../etc/password)

� Cross Site Request Forgery (Session riding)

� Fuga de información e incorrecta gestión de errores

� Autenticación y gestión de sesiones vulnerable

� Almacenamiento no cifrado (p.ej. contraseñas)

� Comunicaciones por canales no seguros

� Ausencia de controles de autorización




II. Protocolo HTTP



V. Ejemplos



• Ejemplo de vulnerabilidad: Cross Site Request Forgeri es (Session Riding)

� Mediante ingeniería social o utilizando alguna otra vulnerabilidad (p.ej. XSS), un atacante podría provocar que su víctima realice una llamada a una URL determinada.

� Si la sesión de la victima en la aplicación objetivo no ha sido cerrada/caducada, la ejecución podría ser exitosa.

Ejemplo:<img src=”http://ejemplo.com/borrar.php?todo=true”>



• Ejemplo de vulnerabilidad: Cross Site Scripting (XSS)

� El objetivo más común de los ataques XSS es el robo de identificadores de sesión (guardados por el navegador mediante cookies). De esta forma, una vez robado el identificador, el atacante podría acceder a la aplicación web objetivo sin necesidad de autenticación.

� Los ataques XSS son llevados a cabo mediante campos de entrada de datos que posteriormente son utilizados para renderizar alguna página de resultados.

Ejemplo:<script>alert(document.cookie);</script>



• Ejemplo de vulnerabilidad: SQL Injection

� La necesidad de ofrecer contenidos dinámicos requiere que la aplicación web interaccione con un sistema gestor de bases de datos externo. Dicha separación entre la gestión de los datos y el almacenamiento de los mismos ofrece importantes beneficios en términos de flexibilidad y rendimiento.

� No obstante, esta circunstancia añade nuevos riesgos potenciales dado que el control de autorizaciones es mucho más granulado a nivel aplicación que a nivel de base de datos.

Transacción de búsqueda:SELECT * FROM Solicitudes WHERE Propietario = ‘EntidadUsuario’ AND Descripción LIKE ‘%$datos_usuario %’;

Ejecución con datos esperados:SELECT * FROM Solicitudes WHERE Propietario = ‘EntidadUsuario’ AND Descripción LIKE ‘%África %’;

Ejecución con datos malintencionados:SELECT * FROM Solicitudes WHERE Propietario = ‘EntidadUsuario’ AND Descripción LIKE ‘%’ OR 1=1 OR ‘%’=‘ %’;



• Ejemplo de vulnerabilidad: SQL Injection

� Los ataques de inyección SQL pueden clasificarse en tres tipos:

� Inband: La información se obtiene por el mismo canal que se inyecta la sentencia SQL.Este es el caso del ejemplo anteriormente expuesto.

� Out-of-band: La información se obtiene por un canal diferente al que se ha usado para inyectar la sentencia SQL (e.g. se inyecta mediante un email y se obtienen a través de la interfaz web)

� Inferencial: La información no llega a visualizarse como tal, pero el atacante es capaz dereconstruir la información observando las respuestas del servidor de BBDD. (e.g. utilizando comparaciones booleanas, se podría determinar el importe de una solicitud aprobada de otra entidad)


I. Introducción










ÍNDICE



• Valoración del riesgo / vulnerabilidades

� Risk Assessment Values (RAV): Método de cálculo del riesgo proporcionado por OSSTMM con objeto de valorar cuantitativamente los riesgos identificados.

� Common Vulnerability Scoring System (CVSS): Método para la cuantificación de las vulnerabilidades identificadas en los sistemas. Se descompone en tres elementos:

� Métrica base: Características intrínsecas de la vulnerabilidad.

� Métrica temporal: Características que cambian durante el tiempo.

� Métrica del entorno: Características que varían según el entorno.

Riesgo : Daño potencial que puede tener impacto negativo sobre las personas, la información, los procesos de negocio, etc.

Vulnerabilidad : Debilidad que podría ser explotada (accidental o intencionalmente) y que resulta en una brecha de seguridad.

CVSS

RAV


I. Introducción










ÍNDICE



• Bases de datos de vulnerabilidades

– National Vulnerability Database

� http://nvd.nist.gov/

– Open Source Vulnerability Database

� http://osvdb.org/

– Bugtraq

� http://www.securityfocus.com/archive/1

• Enumeración e identificación de vulnerabilidades

– Common Vulnerability and Exposures

� http://cve.mitre.org/

– Common Weakness Enumeration

� http://cwe.mitre.org/

� Recopilación de recursos

– Making Security Measurable

� http://measurablesecurity.mitre.org/

Listado completo con referencias interesantes :Penetration Testing Framework 0.4http://www.vulnerabilityassessment.co.uk/Penetration%20Test.html


Deloitte Touche Tohmatsu es una organización de firmas independientes, dedicadas a la prestación de servicios y asesoramiento profesional de máxima calidad, y que se centran en el servicio al cliente mediante una estrategia global aplicada a nivel local en cerca de 140 países. Con acceso a un enorme capital intelectual de casi 150.000 personas en todo el mundo, Deloitte presta servicios en cuatro áreas profesionales (auditoría, asesoramiento tributario, consultoría y asesoramiento financiero) a más del 80% de las empresas más importantes del mundo, así como a grandes empresas públicas, aunque por diversos motivos, entre los que se hallan las regulaciones específicas de cada país, no todas las Firmas miembro de Deloitte prestan toda la gama de servicios.

Deloitte hace referencia, individual o conjuntamente, a Deloitte Touche Tohmatsu (Swiss Verein), sus firmas miembro y respectivas filiales y asociadas. Al tratarse de un Verein suizo (asociación), ni Deloitte Touche Tohmatsu ni ninguna de sus firmas miembro es responsable de los actos u omisiones de las otras. Cada firma miembro es una entidad independiente con personalidad jurídica propia que opera bajo los nombres de “Deloitte”, “Deloitte & Touche”, “Deloitte Touche Tohmatsu”, u otros nombres asociados. Los servicios son prestados a través de las firmas miembro y sus respectivas filiales y asociadas y no por Deloitte Touche Tohmatsu (Swiss Verein).

Copyright © 2008 Deloitte. Todos los derechos reservados.

A member firm ofDeloitte Touche Tohmatsu

Test de intrusiónseminarisempresa.fib.upc.edu/anteriors/2008/programes/Aulas Empres… · ©2008...

Documents

Transcript of Test de intrusiónseminarisempresa.fib.upc.edu/anteriors/2008/programes/Aulas Empres… · ©2008...