Seguridad y Penetration Testing

III CONGRESO INTERNACIONAL DE
INGENIERIA DE SISTEMAS – ICSE 2005
Universidad Cesar Vallejo
Seguridad & Penetration Testing
Alonso Eduardo Caballero Quezada
http://alonsocaballero.informatizate.net
reydes@gmail.com
Viernes 15 de Julio, 2005
Trujillo - Perú

Alonso Eduardo Caballero Quezada / Seguridad & Penetration Testing
III CONGRESO INTERNACIONAL DE INGENIERIA DE SISTEMAS – ICSE 2005
El “hacking” en la Actualidad
* No se tiene un cabal conocimiento de la amenaza
* Dos grandes problemas:
- Las amenazas en seguridad de computadoras no es un riesgo
suficiente para justificar fondos de medidas proactivas.
- Inadecuado conocimiento de la complejidad de lo que
seguridad de computadoras realmente es y cuales son los
recursos adecuados para defenderse.
http://www.zone-h.org - http://www.sans.org/top20/

El “hacking”en la Actualidad
Datos de CERT: http://www.cert.org - Reporte Anual 2003
542754 mensajes y más de 934 llamadas reportando incidentes
de seguridad o solicitando información.
3784 Reportes de vulnerabilidades y manejado 137529
incidentes en seguridad de computadoras.
http://www.cert.org/stats/

El “hacking”en la Actualidad
Datos de CSI: http://www.gocsi.com/ -CSI/FBI Survey
http://www.gocsi.com/forms/fbi/csi_fbi_survey.jhtml - FBI2004.pdf

Conociendo al “Hacker”
* No se debe de guiar por estereotipos.
* La sociedad da al “Hacker” una connotación negativa.
* Categorizar a los “hackers” de la tecnología es complicado,
dadas sus refinadas especializaciones;
- S.Os particulares GNU/Linux, Windows, etc..
- Aplicaciones individuales; servidores web, firewalls, etc..
- Tipos particulares de ataques; DoS, Web Hacks
* Pocos se especializan en mas de un tópico, pero solo un
selecto grupo se especializa en todos.

Conociendo al “Hacker”
* “Hackers” de Primer Grado; Habilidad para encontrar
vulnerabildiades y crear código para explotarlas, Amplios
conocimientos del modelo OSI, pila TCP, Programar es una
pasión. Trabajan independientemente o una red de grupos de
“hack”.
* “Hackers” de Segundo Grado; Nivel equivalente a un
administrador de sistemas, Experimentación de S.Os,
entendimiento de TCP/IP, La mayoría de consultores cae en éste
rango.
* “Hackers” de Tercer Grado; Denominados scriptkiddies,
“hackean” por hobby, y buscan notoriedad, Son fáciles de
identificar y atrapar, No necesariamente se relacionan con la
informática.

Conociendo al Consultor en Seguridad
* Penetration testing;
- Pueden tener serias consecuencias si no sen realizadas
adecuadamente.
- Potenciales problemas legales. Se debe llegar a un acuerdo
antes de que los “tests” se inicien.
- El “tester” debe tener un “salvoconducto” y un acuerdo
firmado con la empresa, autorizandolo para “ingresar” a la
organización.
- Fase inicial involucra identificación de software y hardware,
si se “tercerizan” servicios, obtener los permisos pertinentes.

* Consultor “FreeLance”
- Habilidades; > Administrador de Sistemas
- Conocimientos; Familiaridad Tecnológica, Funcionamiento,
S.Os, TCP/IP Networking. Programación.
- Herramientas; & scripts para trabajar sobre diferentes S.Os
- Hardware; Maquina Potente, LapTop, Maquina Virtual.
- Historial; Documentar procedimientos del PT. Información
del cliente es confidencial.
- Etica; El cliente debe sentir seguridad y confiabilidad. La
verdad debe ser protegida.

* ¿Anunciado o No Anunciado?
- Anunciado; Cooperación y conocimiento del staff IT.
No Anunciado; Infraestructura de Seguridad y responsables.
- Pros; (AT) permiten comprobar los controles de seguridad.
Apoyo del IT permite Concentrarse en los puntos mas criticos.
(UT) requiere acercamiento más sutil, identificar y
comprometer, bajo vigilancia. “test” más valioso.
Contras; (AT) permite cerrar “agujeros” rapidamente,
cambios temporales, añadir más seguridad. falsa sensación de
seguridad. (UT) desconocimiento bloquea el “test”, reportar
autoridades. “upgrades”, tiempo offline.
- Documentar el “compromiso”.

¿Donde se localizan los “agujeros”?
* Errores de configuración o “pobre” programación.
* Deben ser identificados;
- Cerrar los “agujeros” y aprender a mitigar el riesgo.
- Algunos “agujeros” son faciles de identificar y explotar.
* Irrumpir en los sistemas es relativamente facil.
* “ventana de oportunidad” Publicación del “parche”.
* Errores de configuración crean un riesgo. Servicios
innecesarios.
* Mantener un sistema actualizado significa un 80% a 90% de
“agujeros” cerrados.
* Las vulnerabilidades permiten un ataque directo, o obtener
información para el ataque.

The Twenty Most Critical Internet Security Vulnerabilities
http://www.sans.org/top20/ - Version 5.0 October 8, 2004
Vulnerabilidades para Sistemas Windows (Top 10)
* Web Servers & services
* Workstations services
* Windows Remote Access Services
* Microsoft SQL Server (MsSQL)
* Windows Authentification
* Web Browsers
* File Sharing Applications
* LSAS Exposures
* Mail client
* Instant Messaging

The Twenty Most Critical Internet Security Vulnerabilities
http://www.sans.org/top20/ - Version 5.0 October 8, 2004
Vulnerabilidades para Sistemas UNIX (Top 10)
* BIND Domain Name System
* Web Server
* Authentication
* Version Control Systems
* Mail Transport Service
* Simple Network Management Protocol (SNMP)
* Open Source Socket Layer (SSL)
* Misconfiguration of Enterprise Services NIS/NFS
* DataBases
* Kernel

“Penetration” desde internet
* Enumeración de la Red; Descubrir tanto como sea posible del
objetivo.
Internic - http://www.internic.net/whois.html
NIC Perú - http://www.nic.pe/registros-existentes.htm

“Penetration”desde internet
- Transferencia de Zona;
- CentralOps.net;
http://centralops.net/co/
- Comandos; nslookup,
dig, host.

- Barridos de PING
- El host puede estar apagado
- El Tráfico ICMP esta siendo filtrado.
- O la petición de PING no alcanza su
objetivo.
- TracerRoute
- Trazar ruta hacia los hosts objetivos
- Identificación de gateways, routers,
firewalls, dispositivos de balanceo
de carga.
Domain Dossier - http://tatumweb.com/iptools.htm

* Analisis de Vulnerabilidades;
- Identificación del S.O: RFC respuestas de la Pila TCP, predecir
detección mediante servicios disponibles. El posible manipular la
“firma” del SO.
xprobe2 - http://www.sys-security.com/
- “escaneo” de Puertos: Diferentes tipos de “scan”; herramienta
nmap por excelencia; Hay que tener cuidado para evitar la
detección del proceso. Puertos TCP, UDP, etc. SYN stealth,
connect, Null scan, etc.
nmap - http://www.insecure.org/nmap/

- Enumeración de Aplicaciones; resultado del “escaneo” tenemos
una lista de puertos en las maquinas objetivo. Es necesario
conocer que aplicaciones están a la escucha en dichos puertos.
RCF 1700 – Assigned Numbers http://www.faqs.org/rfcs/rfc1700.html
- nmap Parámetro “sV”
- THC-AMAP
http://thc.org/thc-amap/
- Investigación en internet; consultar Bds de vulnerabilidades,
documentar y proceder a “explotarlas”.

“Penetration” desde dentro.
* Las organizaciones se concentran en las amenazas externas, o
no ponen énfasis en las amenazas internas.
* Las estadísticas muestran que una gran cantidad de ataques
provienen del interior.
* Los usuarios han pasado los controles físicos.
* “Penetration Testing” interno, ayuda a identificar los recursos
que son internamente vulnerables, y asiste al administrador para
solucionarlos.
* PT interno es similar al externo, con ligeras variaciones en la
metodología.

“Penetration”desde dentro.
* Escenarios: Auditor Maligno, Empleado descontento,
deshonesto
* Descubrir la Red: Mapeo, identificación, exploits
* Sistemas Windows: Dominios, servidores, recursos de Red.
* Sistemas *NIX: Servicios, versiones, BOF.
* Buscando exploits: fiabilidad de exploits.
* Sniffing: Capturar trafico que viaja en nuestro segmento de red.
* Instalando un “toolkit” de “hackers”: Escalar privilegios.
* “Escaneo” de Vulnerabilidades: Internamente

Ingeniería Social
* Permite “pasar” los mecanismos de seguridad de la red, sin
necesidad de un script o herramienta de “hack”.
- El teléfono; Comúnmente, fingir como un miembro de soporte
técnico, o un usuario contrario solicitando cambio de contraseña.
- Información de escritorio; Notas pegadas en el monitor, sin
protector de pantalla & clave.
- Contra medidas; Identificación Plena, no revelación de
información sensible por medios inseguros, destrucción
adecuada de la “basura.”
The Art of Deception - Kevin Mitnick

Métodos para *NIX
* Servicios; Estrategia es explotar los
servicios disponibles, servicios inetd,
servicios remotos, RPC.
* Buffer overflow; Remotos o Locales.
Cambian el flujo de la ejecución y
ejecutar código del atacante
* Permisos de Archivos: SUID / SGID, Muchos exploits son
escritos para tomar ventaja de ellos.
Security.Nnov - http://www.security.nnov.ru/

Métodos para *NIX
* Aplicaciones; Servidores de Correo,
Servidores Web, Xwindow,
Servidores DNS
* Desconfiguraciones; servicios innecesarios activados, archivos
CoreDump, archivos de logs. SUID/SGID, permisos erroneos.
* Herramientas *nix; redireccionadores TCP, fpipe, tcpr,
tcpredirector (gui), Mapeo de Red, CHEOPS, etherape; Acceso a
recursos SMB smbclient.
cheops - http://www.marko.net/cheops/
etherape - http://etherape.sourceforge.net/

El Kit de herramientas
* Hardware;
- Maquina de escritorio o Laptop.
- No indicado para almacenar datos críticos.
- Alto requerimientos de Procesamiento y Memoria.
* Software;
- Distribución GNU/Linux y algún Windows.
- El S.O tiene que ser configurable, flexible y permitir el uso de
las herramientas requeridas.
- La mayoria de herramientas de la comunidad “blackhat” son
desarrolladas para GNU/Linux.
* Maquinas virtuales;

“scanners” de Vulnerabilidades
* “scanners” Basados en Red y en “host”.
- “NBS”, Intentan hallar las vulnerabilidades desde fuera.
- “HBS”, Intentan hallar las vulnerabilidades desde dentro.
- Son complementarios, es efectiva su utilización cuando se
“testean” sistemas críticos.
* Herramientas;
- ¿Cual es el mejor “escaner”?
- Depende del S.O
- Su Velocidad.
- Depende de la utilización, y de las características que se
necesitan.

“scanners”de Vulnerabilidades
* “scanners” Basados en Red.
- Metasploit - http://www.metasploit.com
Plataforma OpenSource para desarrollar, “testear” y usar código
de “exploit”.
- Nessus - http://www.nessus.org/
Proporciona un “scanner” Remoto de Vulnerabilidades, libre,
poderoso, actualizable y fácild e utilizar.
- Core Impact - http://www.coresecurity.com
Primer Producto automatizado de “penetration testing”, para
determinar las amenezas específicas en una organización.

“scanners”de Vulnerabilidades
* “scanners” Basados en Red.
- Immnutity CANVAS - http://www.immunitysec.com/
Software que permite probar a la
organización, permitiendo descubrir cuan
vulnerable se esta realmente.
* “scanners” Basados en Host.
- System Scanner - http://www.iss.net
Manejador de Vulnerabilidades Basado en Host. Determinando
la seguridad, monitoreando, detectando y reportando la actividad.
- Bastille - http://www.bastille-linux.org/
Permite Fortalecer los sistemas como una parte vital de
seguridad.

Herramientas de “Descubrimiento”
* Network Management Software - http://www.solarwinds.net/
ToolSets; Análisis / Diagnóstico.
* SamsSpade - http://www.samspade.org/ssw/
consultas abus.net / “Listas Negras” / Analisis de Cabeceras, etc.
* HPING2 - http://www.hping.org/
PING con esteroides. Crear paquetes IP conteniendo TCP, UDP o
ICMP, modificación y control de cabeceras.
* VisualRoute - http://www.visualroute.com/
Permite determinar problemas de conectividad debido al ISP,
internet, resaltando puntos de red donde el problema reside.
* nmap - http://www.insecure.org/nmap/
Mapeador de Redes OpenSource, permite explorar la red o auditar
la seguridad.

“scanners” de Puertos
* nmap - http://www.insecure.org/nmap/
El mas avanzado scanner de puertos de la industria. Funciona
bajo GNU/Linux y es Portable. Soporta docenas de ténicas
avanzadas, Puede “escanear” cientos/miles de maquinas, Fácil de
usar, “Scans” ocultos, especificar puertos
origen. Sus reportes son confiables,
buena documentación de uso.Y es “libre”
* SuperScan - http://www.foundstone.com/
Windows 9X/2000. Rápido y configurable, pero no realiza
“scans” ocultos, o algun tipo de “scaneo” más avanzado.

Sniffers
* dsniff - http://www.monkey.org/~dugsong/dsniff/
Excelente para “interceptar” claves en una red, e-mails y tráfico
HTTP.
* ethereal - http://www.ethereal.com/
Un analizador de tráfico de red. Utilizado por profesionales para
localizar averias, analisis, y desarrollo de software y protocolos.
Análisis Multiplataforma.
* Iris Network Traffic -
http://www.eeye.com/html/products/iris/index.html
Integra capacidades de filtrado, decodificación y reconstrucción
de datos a su formato origen.

“Romper” Contraseñas
* John The Ripper - http://www.openwall.com/john/
DES, MD5, Blowfish, Kerberos /AFS, hash ML (basado DES)
Adicionalmente, NTLM (basado MD4), hashes MySQL,
Netscape LDAP, eggdrop, etc.
* LC - http://www.atstake.com/products/lc/
Utiliza “Tabla de contraseñas Pre-Computadas”, reduciendo el
tiempo de recuperación de contraseñas. Indicado para entornos
Windows.
* Password Recovery Software - http://www.elcomsoft.com/prs.html
MS Office; Archivos comprimidos, zip, rar, etc; WordPerfect,
Clientes de correo, The Bat, Eudora, etc; messenger, ICQ, etc...

Herramientas para Windows.
* net; utiliza NetBIOS para mapear y establecer conecciones a
recursos compartidos.
* nbtstat; Obtiene la tabla de nombre del servidor objetivo.
* NT Resource Kit Utilities; Conjunto de herramientas de
software para administradores, desarrolladores, y usuarios que
permite manejar, Active Directory, Politicas de Grupo, Redes
TCP/IP, Registro, Seguridad, etc.
* NetBIOS Audit Tool; Herramienta automatizada para ataque
por fuerza bruta.
* netcat, fpipe, etc.

Herramientas para “Web-testing”
* Nikto - http://www.cirt.net/code/nikto.shtml
“scanner” de servidores web, Open Source realiza
completos “test” en servidores web, buscando mas
de 3200 vulnerabilidades.
* WebInspect - http://www.spidynamics.com/
Identifica vulnerabilidades conocidas y desconocidas dentro de la
capa de aplicación web.
* N-Stealth Security Scanner - http://www.nstalker.com/
Incluye una base de Datos de 30000 vulnerabilidades y exploits.
* THC-hydra - http://thc.org/thc-hydra/
Obtener “logins” validos, HTTP Auth, POP3, FTP, etc.

Control Remoto
* RealVNC - http://www.realvnc.com
Virtual Network Computing; Software de Control
Remoto que permite ver e interactuar con una computadora
“Servidor” utilizando un simple programa “Cliente” en otra
computadora.
* BO2K - http://www.bo2k.com/
Poderosa herramienta de administración de redes disponible
para entornos Microsoft. Algunas características, atrapador de
teclado, edición de registro, transferencia de archivos,
redirección de conecciones TCP/IP, acceso a programas de
consola, reboot remoto, etc..

IDS - Intrusion Detection Systems
* Un IDS se desarrolla con sensores dispersos en la red, los
cuales reportan alertas a un control central.
* Vigila el tráfico de red en busca de “firmas” o “patrones”,
cuando son localizadas, alertas son notificadas, e-mail, sms, etc.
* Basado en “Host” y Basado en Red;
- NBIDS; vigila el tráfico de la red, DoS, “escaneo” de
Puertos,etc.
- HIDS; Vigila y protege un solo “host”, busca evidencia de
actividad inusual sobre o contra el “host”. Intentos de “login”,
acceso a archivos, etc.

* Evadir el IDS;
- Sea Paciente; Periodos de tiempo.
- Este Quieto; Limitar el tráfico contra el objetivo.
- Hagalo manualmente;
- Usar Direcciones IP múltiples o no rastreables.
- Usar Fragmentación IP. Firmas son rotas en múltiples
paquetes.
+ “Escaneo” de Puerto Oculto.
+ Técnicas Agresivas;

* SNORT - http://www.snort.org/
Reconocido como el estándar de facto para detección de
intrusiones y prevención. Poder, precisión y fiabilidad aunado a
un robusto lenguaje de reglas permite una cobertura mas amplia
a las amenazas en organizaciones.
* RealSecurre Network - http://www.iss.net/
Capacidades de Respuesta, vigila segmentos de redes 10/100
Mbps con un “framework” centralizado de operaciones y
mantenimiento.

Firewalls - Cortafuegos
* Monitorea el trafico de la red y permite o impide el trafico
basado en un conjunto de reglas.
* Se ubican generalmente en el perímetro de la organización,
protegiendola de la internet, o segmentos de red menos
seguras.
* Errado concepto de que es un la única solución para proteger
las redes.
* Deben ser configurados adecuadamente y con un conjunto de
reglas constantemente actualizado ante nuevas vulnerabilidades,
y detectar actividad sospechosa.
* El “monitoreo” puede ser activo o pasivo. (similiar a los IDS)

* El firewall debe ser el sistema de identificación temprana.
* Debe ser configurado para “registrar” toda la actividad y
proporcionar alertas, vía e-mail, sms, etc..
* Bloquear todo, y permitir lo necesario. Política por defecto.
* Tipos:
- Filtrado de Paquetes; Direcciones IP, Puertos O/D, ACL.
- Inspección de Estado; “busca” dentro del paquete. + Seguridad
- Basados en Proxy; + Seguro, pero no ofrece la misma
performance; no hay conección directa, el proxy la realiza.

* IPTables - http://www.netfilter.org/
FrameWork que permite filtrado de paquetes, NAT, etc. Tabla
estructurada para la definición de conjuntos de reglas.
* Firewall-1 - http://www.checkpoint.com/
Integra tecnología inteligente de inspección, para protección de
red y capa de aplicación.
* Amplia diversidad de “cortafuegos” en el mercado; ZoneAlarm,
Sygate, Tiny Firewalls, etc.

DoS - Ataques “Denial of Service”
* Resource Exhaustion Attacks; ocupar tanto como sea posible
los recursos disponibles de un servicio, aplicación o S.O. Para
que no este disponible y pueda procesar mas datos.
* Port Flooding; Agotar disponibilidad del objetivo para
establecer conecciones en un puerto.
* SYN Flooding; Envío de múltiples mensajes TCP SYN sin
intención de responder con un ACK.
* IP Fragmention Attacks; Creación de paquete de gran tamaño
y enviarlo en fragmentos que al ser “ensamblados” es muy
grande para manejarlo (servidor o aplicación), causando una
“caida”.
* DDoS.

Estandares
* ISO 17799 - http://www.iso17799software.com
Sistema de Controles que abarca las mejores Prácticas de
Seguridad de La Información. Incluye Un código de Práctica la
ISO17799 y una especificación para un sistema de manejo de
seguridad de la información. BS7799[2]
* OSSTMM - Open Source Security Testing Methodology
Manual - http://www.isecom.org/osstmm/
Metodología para realizar “pruebas” y métricas de Seguridad,
dividido en cinco secciones. Se enfoca en los detalles técnicos de
cuales “items” que necesitan ser probados, que hacer, antes,
durante y después del “test” de seguridad, y como medir los
resultados.

Tendencias a Futuro (Presente)
* Pishing; Envío de mensajes electrónicos fraudulentos.
* SPAM; Correo electrónico NO Solicitado.
* DDoS; Ataque a una computadora o Redes, perdiendo
conectividad de red y servicios.
* Buffer OverFlow;
* Spyware; Software Malicioso, que intercepta o toma control
parcial sin el consentimiento del usuario; Kazaa, Gator,
flashget, etc..
* Worms / virus; Sasser, MyDoom, Blaster, etc..
* etc., etc., etc..

Muchas Gracias...
Alonso Eduardo Caballero Quezada
http://alonsocaballero.informatizate.net
reydes@gmail.com
Julio, 2005
Trujillo - Perú

Seguridad y Penetration Testing

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Andere mochten auch

Andere mochten auch (20)

Ähnlich wie Seguridad y Penetration Testing

Ähnlich wie Seguridad y Penetration Testing (20)

Mehr von Alonso Caballero

Mehr von Alonso Caballero (20)

Kürzlich hochgeladen

Kürzlich hochgeladen (11)

Seguridad y Penetration Testing