Ethical-hacking.pdf

Su Seguridad es Nuestro Éxito

Madrid/Barcelona, Noviembre 2012

Ethical Hacking - Hacking Ético

Guillermo de Ángel García

[email protected]

© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 2

Ethical Hacking – Hacking Etico

Sobre el formador…

Guillermo de Ángel García – [email protected]

Auditor Senior en Internet Security Auditors



Temario

Introducción

Hacking Ético

Herramientas más comunes

Fases de un test de intrusión

Escaneo de redes y sistemas

Acceso a los sistemas

Mantenimiento del acceso

Borrado de huellas

Análisis y evaluación del riesgo

Laboratorio



Tema 1: Introducción

La importancia de la seguridad en los sistemas informáticos

Escenario actual del cibercrimen



Introducción

– La importancia de la seguridad en los sistemas informáticos

La seguridad informática es el área de la informática que se enfoca en la protección

de la infraestructura computacional y todo lo relacionado con esta (incluyendo la

información contenida).

Comprende software, bases de datos, metadatos, archivos y todo lo que la

organización valore (activo) y signifique un riesgo si ésta llega a manos de otras

personas.

Este tipo de información se conoce como información privilegiada o confidencial.



Introducción


• La seguridad informática está concebida para proteger los activos informáticos,

entre los que se encuentran:

– La información contenida

» La seguridad informática debe evitar que usuarios externos y no autorizados

puedan acceder a ella sin autorización.

– La infraestructura computacional

» La función de la seguridad informática en esta área es velar que los equipos

funcionen adecuadamente y prever fallos o ataques contra la infraestructura

informática.

– Los usuarios

» La seguridad informática debe establecer normas que minimicen los riesgos a la

información o infraestructura informática.



Introducción


• Tipos de amenazas:

– Amenazas internas: Generalmente estas amenazas pueden ser más serias

que las externas por varias razones:

» Los usuarios conocen la red y saben cómo es su funcionamiento.

» Tienen algún nivel de acceso a la red por las mismas necesidades de su trabajo.

» Los IPS y Firewalls son mecanismos no efectivos en amenazas internas.

– Amenazas externas: Son aquellas amenazas que se originan fuera de la

red. La ventaja que se tiene en este caso es que el administrador de la red

puede prevenir una buena parte de los ataques externos.



Introducción


• Existen organismos oficiales encargados de asegurar servicios de prevención de

riesgos y asistencia a los tratamientos de incidencias, como por ejemplo:

– El CERT/CC (Computer Emergency Response Team Coordination Center) del SEI

(Software Engineering Institute) de la Carnegie Mellon University el cual es un centro de

alerta y reacción frente a los ataques informáticos, destinados a las empresas o

administradores, pero generalmente estas informaciones son accesibles a todo el mundo.

Listado Oficial CERTS Mundiales: https://www.cert.org/csirts/national/contact.html

https://www.cert.org/csirts/national/contact.html



Introducción

- Escenario Actual del Cibercrimen

1. Uso de malware contra móviles y explotación de teléfonos móviles para cometer fraude

– El crecimiento exponencial de los dispositivos móviles como ordenadores de uso general

los ha convertido en un objetivo atractivo para los ciberdelincuentes.

– Las descargas de aplicaciones a dispositivos móviles aumentan a un ritmo alarmante,

siendo inevitable que prolifere todo tipo de malware dirigido a tales aplicaciones y

dispositivos

– Adicionalmente se utiliza el móvil para realizar operaciones bancarias y pagos, consultar

el correo electrónico, tener acceso a sus cuentas online y almacenar datos de carácter

personal en el teléfono



Introducción


2. Malware en la empresa

- El problema del malware cobra cada vez más relevancia en organizaciones y

organismos oficiales de todo el mundo

- Los factores principales para esto es la movilidad de los empleados, el uso de los sitios

de redes sociales, y la TI basada en el usuario.

- En consecuencia, la red corporativa se ve cada vez más expuesta al malware, a los

troyanos, a las amenazas persistentes avanzadas (APT, Advanced Persistent Threat) y

otros ataques con potencial para abrir una brecha en la seguridad de los datos y poner

en peligro la información confidencial.



Introducción


3. Phising o robo de identidad

- En 2010, surgieron otros tipos de ataques de robo de identidad, tales como los que se

dirigen simultáneamente a las marcas de varias entidades, o los que interceptan los

códigos de confirmación de operaciones enviados al móvil del usuario como parte de la

autenticación fuera de banda

- Sobre todo van orientados a la banca, intentando engañar al usuario para que instale

determinada aplicación en el móvil con el fin de engañar al mismo, o una página falsa con

la que remitir las credenciales al delincuente



Introducción


• Tipos de ataque:



Introducción

– Escenario Actual del Cibercrimen

• Objetivos de los ataques:



Introducción


• Objetivos de los ataques:

Industries represented by percent of breaches



Introducción


• Estadísticas…

Fuente: The Web Hacking Incidents Database 2011



Tema 2: Hacking Ético

¿Qué es el Hacking Ético?

Terminología

Elementos de la seguridad de la información

Niveles de Seguridad

Principales metodologías.



Hacking Ético

– ¿Qué es el Hacking Ético?

• El Hacker Ético es la persona que lleva a cabo intentos de intrusión en redes y/o sistemas

utilizando los mismos métodos que un Hacker.

• La diferencia más importante es que el Hacker Ético tiene autorización para realizar las

pruebas sobre los sistemas que ataca.

• Actualmente existen certificaciones de Hacker Ético, como el CEH.



Hacking Ético

– Terminología

Exploit: Una vía definida para romper la seguridad de un sistema o aplicación aprovechando

una vulnerabilidad.

Zero-Day: Ataque contra una aplicación o sistema que tiene como objetivo la ejecución de

código malicioso gracias al conocimiento de vulnerabilidades que, por lo general, son

desconocidas para la gente y el fabricante del producto.

Seguridad: Un estado de «bien estar» de nuestra información e infraestructura con

posibilidad de robo, manipulación o perdida de servicio.

Threat (Amenaza): Un evento o acción que pone en compromiso la seguridad.

Vulnerabilidad: Existencia de una debilidad, ya sea de diseño o implantación, la cual puede

desembocar en un compromiso de la seguridad de nuestros sistemas.



Hacking Ético

– Elementos de la seguridad de la información

Confidencialidad: Con la que se asegura que el acceso a la

misma solo es accesible por quien está autorizado a ello.

Integridad: Con la que se asegura que los datos no ha sufrido

cambios no autorizados.

Accesibilidad: Con la que nos aseguramos que los sistemas

funcionan cuando los usuarios autorizados lo requieren.



Hacking Ético

– Niveles de seguridad



Hacking Ético

– Principales Metodologías

• Manual de la Metodología Abierta de Pruebas de Seguridad (OSSTMM, Open Source Security

Testing Methodology Manual) es una metodología que reúne las diversas pruebas y métricas

de seguridad, utilizadas por los profesionales durante las Auditorías de Seguridad.

• El OSSTMM se centra en los detalles técnicos de los elementos que deben ser probados.

¿Qué hacer antes, durante y después de una prueba de seguridad?, y ¿cómo medir los

resultados?

• http://www.isecom.org/osstmm/



Hacking Ético


La metodología de Ethical Hacking ISSAF esta diseñada para evaluar una Red de trabajo,

sistema y control de aplicaciones . Esta enfocada en tres fases y nueve pasos de evaluación.

Constituye un framework detallado respecto de las prácticas y conceptos relacionados con

todas y cada una de las tareas a realizar al conducir un testeo de seguridad.

Se encuentra organizada alrededor de lo que se ha dado en llamar "Criterios de Evaluación«.

El enfoque incluye tres fases siguientes:

» Planificación y Preparación

» Evaluación

» Reportes, Limpieza y Destrucción de Objetos



Hacking Ético


OWASP: Open Web Application Security Project

Inicio en septiembre de 2001

Objetivo: promover la seguridad en las aplicaciones web

Grupo de voluntarios que producen y mantienen documentación open-source, libre y de

calidad profesional, herramientas y estándares



Hacking Ético


Los proyectos de documentación actuales son:

Guía OWASP – Un enorme documento que proporciona una guía detallada sobre la

seguridad de las aplicaciones web.

OWASP Top 10 – Documento de alto nivel que se centra sobre las vulnerabilidades más

críticas de las aplicaciones web.

Métricas – Un proyecto para definir métricas aplicables de seguridad de aplicaciones

web.

Legal – Un proyecto para ayudar a los vendedores y compradores de software a negociar

adecuadamente los aspectos de seguridad en sus contratos.

Guía de pruebas – Una guía centrada en la prueba efectiva de la seguridad de

aplicaciones web.

ISO 17799 – Documentos de apoyo para organizaciones que realicen revisiones ISO

17799.

AppSec FAQ – Preguntas y respuestas frecuentes sobre seguridad de aplicaciones web.



Tema 3: Herramientas Comunes

Principales herramientas



Principales Herramientas

Herramientas comunes en Ethical Hacking

Nmap Nessus Metasploit Hping3

Google

Dirbuster

Burpsuite Acunetix Sqlmap

Hydra

Medusa

Qualys

John the

Ripper

FOCA Airsnort Wireshark W3af Netcat

Maltego Httprint Tcpdump Dsniff Xsser NeXpose

Mas herramientas categorizadas

http://sectools.org/

http://sectools.org/



Tema 4: Fases de un Test de Intrusión

Obtención de Información

Escaneo de redes y sistemas

Acceso a los sistemas

Mantenimiento del acceso

Borrado de Huellas



Fases de un Test de Intrusión

– Obtención de Información

En este apartado se incluye la información obtenida relacionada con el objetivo,

información de su organización, datos de sus empleados, etc. Esta información se

utilizará para efectuar ataques sobre los sistemas informáticos, que podrían a su vez

provocar otras fugas de información sensible.

A continuación se van a enumerar los diferentes puntos de esta fase:

Registros públicos de información

Google Hacking

Metadatos en ficheros públicos

Ingeniería Social

Redes Sociales





Registros públicos de información

– La búsqueda de información realizada en este test tiene como objetivo extraer

información útil asociada a los dominios públicos en Internet del objetivo.

– Como resultado, pueden extraerse posibles nombres de usuario, direcciones de red,

dominios de WEB, fecha de expiración de dominios y personas de interés entre otros

datos.

– Dicha información se obtiene a partir de las bases de datos de whois y su posterior

análisis.





• Registros públicos de información

– Se pueden ver los dominios WEB que tiene asignados una determinada dirección

IP, por ejemplo la IP 207.46.197.32 perteneciente a microsoft.com:





• Registros públicos de información

– Otro ejemplo seria, poder obtener nombres de usuarios relacionados con la

empresa así como teléfonos y direcciones de correo electrónico.





Google Hacking

Google Hacking consiste en explotar la gran capacidad de almacenamiento de

información de Google, buscando información específica que ha sido añadida a las

bases de datos del buscador.

Si las búsquedas las orientamos a ciertas palabras clave que nos ayuden a encontrar

información sensible, puntos de entrada sensibles a posibles ataques, o cualquier otro

tipo de información que tuviera carácter de sensibilidad, estaremos ejecutando un

Google hack.

Resumiendo: Google Hacking es buscar en Google información sensible,

generalmente, con fines maliciosos.





Google Hacking

Consulta de palabras

Consulta de frases

Operadores booleanos:

» AND

» OR

» NOT

Caracteres especiales:

» +

» -

» .

» *





Google Hacking

Consultas Avanzadas

Intitle, Allintitle Link Daterange Define

Allintext Inanchor Info Phonebook

Inurl, Allinurl Cache Related Group

Site Numrange Stocks Msgid

Filetype Author Insubject





Google Hacking

– Mediante esta técnica, es posible encontrar información sobre:

» Productos vulnerables

» Mensajes de error

» Ficheros que contienen información sensible

» Ficheros que contienen claves

» Ficheros que contienen nombres de usuario

» Páginas con formularios de acceso

» Páginas que contienen datos relativos a vulnerabilidades

» Directorios sensibles

» Información sensible sobre comercio y banca electrónica

» Ficheros vulnerables





Google Hacking

– Consulta: intitle:index.of “parent directory”





Google Hacking

– También se podría especificar un directorio en particular, por ejemplo el directorio

admin:

– Consulta: intitle:index.of inurl:admin





Google Hacking

– Seguidamente se verá como buscar servidores web a través de Google:

» Servidores apache, consulta: intitle:index.of “Apache/*” “server at”

» Servidores IIS, consulta: intitle:index.of “Microsoft-IIS/* server at”





Google Hacking

– Otra utilidad de Google hacking, seria poder buscar información acerca de bases de

datos, por ejemplo búsqueda de contraseñas:

– Consulta: filetype:inc intext:mysql_connect





Google Hacking

– O también estructuras de las bases de datos:

– Consulta: filetype:sql “# dumping data for table”





Google Hacking

– Para encontrar usuarios y contraseñas mediante Google:

– Consulta: intitle:index.of passwd





Google Hacking

A través de Google también se podrían buscar subdominios de un dominio

especifico. Esto podría ser de utilidad a la hora de realizar el test de Intrusion, ya

que se podrían encontrar dominios mas vulnerables que el dominio principal:

Ejemplo: site:microsoft.com -site:www.microsoft.com





Google Hacking

– Todas estas consultas se podrían realizar automáticamente mediante herramientas

que se pueden obtener en internet, como por ejemplo SiteDigger:

» Creado por Foundstone www.foundstone.com

» Utiliza la Google API

» Exige la instalación de .NET Framework 1.1

» Utiliza la base de datos FSDB o GHDB

» Genera informes en HTML






Metadatos: datos que describen otros datos.

Los archivos contienen información «oculta» que los describe y los caracteriza.

Dicha información puede ser utilizada para obtener información sensible del archivo.






Un ejemplo de metadatos en un libro serian los datos referentes a su fecha y lugar

de impresión, ISBN, etc.

En el mundo electrónico los metadatos son información incrustada, por ejemplo en

ficheros ofimáticos o imágenes, que aportan información acerca de los propios

ficheros.

Los metadatos pueden contener información como por ejemplo, usuarios del

sistema, rutas internas, software utilizado y su versión, entre otros.






– Un programa que nos permite obtener archivos para

después extraer los metadatos de ellos seria FOCA:





Ingeniería Social

– Es la práctica de obtener información confidencial a través de la manipulación de

usuarios legítimos.

– Esta técnica la usan personas, como investigadores privados, criminales, o

delincuentes computacionales, para obtener información, acceso o privilegios en

sistemas de información que les permitan realizar algún acto que perjudique o

exponga la persona u organismo comprometido a riesgo o abusos.





Ingeniería Social

Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick.

Según su opinión, la ingeniería social se basa en estos cuatro principios:

» Todos queremos ayudar.

» El primer movimiento es siempre de confianza hacia el otro.

» No nos gusta decir No.

» A todos nos gusta que nos alaben.





Ingeniería Social

– Una ataque simple pero efectivo es engañar a un usuario llevándolo a pensar que un

administrador del sistema esta solicitando una contraseña para varios propósitos

legítimos. A este tipo de ataques se los llama phishing (pesca).

– Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos

adjuntos en e-mails, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona

famosa o algún programa "gratis" (a menudo aparentemente provenientes de alguna

persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina

de la víctima para enviar cantidades masivas de spam).





Redes Sociales

Estas plataformas permiten interactuar mediante mensajes, compartir información,

imágenes o vídeos, de forma que estas publicaciones sean accesibles de forma

inmediata por todos los usuarios que formen su grupo de contactos.

Se puede conseguir información sensible tan solo visitando los perfiles personales

de la red social.

Políticas de privacidad insuficientes por defecto.




– Escaneo de Redes y Sistemas

En la fase de escaneo de redes y sistemas se analizan la red y los sistemas con el

objetivo de obtener un mapa lo más detallado posible de la misma. Se identifican las

máquinas activas y sus interconexiones.

Como resultado se obtiene:

Nombres de servidores

Direcciones IP

Características de cada máquina

Información sobre el ISP

Mapa de la red





• Ejemplo:





• Ejemplo:





Tipos de Escaneo:

Nmap es una herramienta que sirve para la verificación de puertos en un sistema,

aunque esta herramienta tiene muchas mas aplicaciones:

» Escaneos de redes: Este tipo de exploración nos va permitir conocer los

dispositivos conectados en la red a estudiar.

» Escaneos de puertos: Una vez identificadas las máquinas, nos va a permitir

descubrir puertos abiertos en las mismas. A partir de ese momento intentaremos

descubrir los servicios que se están ejecutando y obtener datos que nos ayudarán a

identificar el tipo de Sistema Operativo, las aplicaciones, versiones de las mismas,

etc.

» Escaneos de vulnerabilidades: Encontrar servicios vulnerables que sirvan como

punto de entrada en los sistemas.





Tipos de Escaneo:

Pasos en la metodología de escaneo:

» Búsqueda de sistemas vivos

» Test de puertos abiertos

» Obtención de banners

» Test de vulnerabilidades

» Realizar diagrama de red





Tipos de Escaneo:

Búsqueda de sistemas vivos:

» Se realiza mediante un Ping Scan, enviando paquetes del tipo ICMP ECHO

request al host victima. Si el host esta vivo devuelve un paquete ICMP ECHO

reply.





Tipos de Escaneo:

Búsqueda de sistemas vivos:

» Salida del Nmap:





Tipos de Escaneo:

TCP Connect – Full Open Scan:

» Se utiliza la técnica de «three-way handshake» para establecer una conexión

entre el cliente y servidor.

» Si responde con un SYN-ACK el puerto esta abierto y responde un ACK.

» Si responde con un RST el puerto esta cerrado.

» Nmap –sT 192.168.1.1





Tipos de Escaneo:

Stealth Scan – Half Open Scan:

» Se utiliza la técnica de «three-way handshake» para empezar una conexión

entre el cliente y servidor.

» Si responde con un SYN-ACK el puerto esta abierto y el cliente envía un RST.

» Si responde con un RST el puerto esta cerrado.

» Nmap –sS 192.168.1.1





Tipos de Escaneo:

XMAS Scan:

» XMAS scan sólo funciona en sistemas operativos TCP/IP basados de acuerdo

con RFC 793. Xmas Scan no funciona Microsoft Windows ya que se mostraran

todos los puertos cerrados.

» Nmap –sX 192.168.1.1





Tipos de Escaneo:

FIN Scan:

» FIN scan sólo funciona en sistemas operativos TCP/IP basados de acuerdo

con RFC 793. FIN Scan no funciona Microsoft Windows ya que se mostraran

todos los puertos cerrados.

» nmap –sF 192.168.1.1





Tipos de Escaneo:

NULL Scan:

» NULL scan sólo funciona en sistemas operativos TCP/IP basados de acuerdo

con RFC 793. NULL Scan no funciona Microsoft Windows ya que se

mostraran todos los puertos cerrados.

» Nmap –sN 192.168.1.1





Tipos de Escaneo:

– IDLE Scan: Este tipo de escaneo se puede resumir en 3 pasos:

» Paso 1: Se elije un “Zombie” y averiguamos cual es su numero IPID (ejemplo:

31337)

» Paso 2: Enviamos paquetes falsificados del “Zombie” al “blanco”





Tipos de Escaneo:

IDLE Scan:

» Paso 3:

- Si el IPID aumenta en 2 su valor inicial- Abierto (ejemplo: 31339)

- Si el IPID aumenta en 1 su valor inicial- Cerrado (ejemplo: 31338)

» Este tipo de escaneo tiene como principal ventaja que no revela la IP real , si

no la IP de un Zombie.





Tipos de Escaneo:

– UDP Scan:

» En el escaneo por el protocolo UDP activamos el modo para que solo escanee los

puertos UDP.

» Nmap –sU 192.168.1.1





Detección de Vulnerabilidades

– El escaneo de vulnerabilidades identifica fallos o errores en los sistemas y en la red

para determinar como pueden ser explotados.






Esta fase tiene como objetivo detectar los potenciales riesgos a los que están expuestos

los equipos seleccionados.

Se utilizarán escáneres de vulnerabilidades como pueden ser Nessus, NeXpose o

Qualys entre otros.

Se buscaran vulnerabilidades en los servicios de los hosts detectados en las fases

anteriores.











– Principales bases de datos de vulnerabilidades:

» http://www.cvedetails.com/

» http://nvd.nist.gov/

» http://cve.mitre.org/

» http://www.securityfocus.com/bid

» http://osvdb.org/

» http://secunia.com/advisories/product/

» http://www.vupen.com/english/

» http://securityvulns.com/

» http://www.exploit-db.com/




– Acceso a los Sistemas

Acceso autorizado: Resultado positivo de una autenticación.

Controlado por los administradores.

Acceso no autorizado: Producto de la explotación de una vulnerabilidad.

No controlado por los administradores del sistema.

El objetivo en esta fase como atacantes, es asegurarnos de tener acceso remoto al

sistema o al aplicativo siempre que se desee.



71



Password cracking

Consiste en descifrar la contraseña de determinados aplicativos o sistemas elegidas

por el usuario.

El tiempo está estrechamente ligado a la entropía elegida para la clave.

Además, son dependientes completamente de los recursos hardware.

Amplia variedad de software especializado y técnicas disponibles.





Password cracking

Es aconsejable:

Uso de caracteres especiales.

Combinar mayúsculas y minúsculas.

Crear un acrónimo único.

Realizar sustituciones de caracteres comunes

No es aconsejable:

Reusar claves en múltiples servicios importantes.

Utilizar información personal como claves.

No usar acrónimos o palabras que puedan ser encontradas en diccionarios.

No utilizar “caracteres repetidos (aa11)





Password cracking

Ejemplo de cracking

de una contraseña:





Exploits

Pieza de software o secuencia de comandos que provoca errores/fallos en alguna

aplicación.

Violar medidas de seguridad para acceder de forma no autorizada a un equipo.

Frameworks de explotación específicamente diseñados para la tarea.





Exploits

Empresas de seguridad

» Zero Day Initiative

» Secunia

» iDefense

» SecuriTeam

» iSight

Mercado negro

» Opensc

» HackForums

» IframeShop

» Pawn-Shop

» Wasm

– Organismos gubernamentales





Exploits

Metasploit Framework

» Varias versiones destinadas a distinto público.

» MsfCli

» MsfWeb

» MsfConsole

» Exploits

» Payloads

» Meterpreter





Virus, Gusanos y Troyanos

Tienen como objetivo alterar el funcionamiento de un equipo sin el permiso del

usuario.





Virus, Gusanos y Troyanos

Métodos de protección:

Activos:

» Antivirus – Programas que tratan de descubrir las trazas que ha dejado un software

malicioso, para detectarlo y eliminarlo.

» Filtros de ficheros – Generar filtros de ficheros que puedan integrarse en el sistema

de correos o en las reglas del firewall.

Pasivos:

» Evitar introducir en el equipo medios de almacenamiento extraíbles.

» No instalar software “pirata” de dudosa procedencia.

» No abrir mensajes de direcciones de correo desconocidas.

» No visitar páginas desconocidas o de dudosa reputación




– Mantenimiento del acceso

• Cuando el atacante consigue acceso al sistema victima, el objetivo es mantener el acceso

en este.

• En esta fase el intruso quiere permanecer indetectable y para eso utiliza métodos, como

puertas traseras y rootkits, para tener acceso a cuentas privilegiadas como la cuenta de

Administrador o root.





Backdoors

Una puerta trasera (o en inglés backdoor), es una secuencia especial dentro del

código de programación, mediante la cual se pueden evitar los sistemas de seguridad

del algoritmo (autentificación) para acceder al sistema.

Los backdoor están preparados para recibir ciertas instrucciones particulares, y

dependiendo de ellas, ejecutar distintos tipos de acciones, por ejemplo:

» Ejecutar otras aplicaciones

» Enviar archivos al autor

» Modificar parámetros de configuración del sistema

» Instalar otras aplicaciones y/o malware

Los más conocidos para el sistema Microsoft Windows son BackOrifice, NetBus,

SubSeven, tres de los primeros backdoors que ya detectan la mayoría de los programas

antivirus.





Rootkits

Un rootkit es un programa que permite un acceso de privilegio continuo a una

computadora pero que mantiene su presencia activamente oculta al control de los

administradores al corromper el funcionamiento normal del sistema operativo o de otras

aplicaciones.

El término proviene de una concatenación de la palabra inglesa “root” que significa raíz

(nombre tradicional de la cuenta privilegiada en los sistemas operativos Unix) y de la

palabra inglesa “kit” que significa conjunto de herramientas





Rootkits

Usualmente se lo asocia con malware, que se esconde a sí mismo y a otros programas,

procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso

mantener el acceso a una amplia variedad de sistemas operativos como pueden ser

GNU/Linux, Solaris o Microsoft Windows para remotamente comandar acciones o

extraer información sensible.

El un atacante instala un rootkit en una computadora después de primero haber

obtenido un acceso privilegiado, ya sea por haberse aprovechado de una vulnerabilidad

conocida o por haber obtenido una contraseña.

Como ejemplo de rootkits famosos tenemos: SuckIT, Adore, T0rn, Ambient's Rootkit

(ARK), etc.




– Borrado de Huellas

Las acciones de escanear, enumerar, obtener acceso remoto, abrir una puerta trasera,

etc. tienen una implicación en el sistema víctima:

Se registra todo!

Es importante para un atacante eliminar toda esta información registrada antes de salir

del sistema penetrado.

Esto se puede realizar de varios modos:

Borrado seguro de datos

Zappers





Borrado seguro de datos

El borrado seguro de datos es una forma de eliminar archivos de una maquina

comprometida, con el fin de que un análisis forense no de evidencias de las acciones que

hemos llevado a cabo.

Existen multitud de herramientas para el borrado seguro de huellas en sistemas

comprometidos, tanto en la plataforma Linux, como en Windows, por ejemplo:

» Wipe

» Eraser

» Shred

Estos programas utilizan técnicas de overwriting (sobrescribir varias veces encima del

archivo borrado con información aleatoria) con el fin de que sea imposible recuperar la

información original.





Zappers

Los Zappers son otro tipo de programas (normalmente hechos en lenguaje batch o shell

Scripting) que sirven para eliminar archivos de una maquina comprometida.

Estos programas automatizan todo el proceso de borrado de huellas para hacer mas

sencilla esta tarea.

Muchos Zappers se ejecutan al inicio de una Intrusion para parar los sistemas de registro

de acciones en la maquina, evitando así que el ordenador victima registre información de

nuestra Intrusion.



Análisis y Evaluación del riesgo

• El análisis y evaluación del riesgo es un proceso que comprende la identificación de activos

informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como

su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles

adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

• El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce

como matriz de riesgo.

• En este documento se muestran los elementos identificados, la manera en que se relacionan

y los cálculos realizados




Como se describe en el BS ISO / IEC 27001:2005, la evaluación del riesgo incluye las

siguientes acciones y actividades:

Identificación de los activos

Identificación de los requisitos legales y de negocios que son relevantes para la

identificación de los activos

Valoración de los activos identificados

Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una

pérdida de confidencialidad, integridad y disponibilidad.

Identificación de las amenazas y vulnerabilidades importantes para los activos

identificados.

Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.

Cálculo del riesgo.

Evaluación de los riesgos frente a una escala de riesgo preestablecidos




Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los

riesgos residuales que se identificaron. Las acciones pueden ser:

Controlar el riesgo: Fortalecer los controles existentes y/o agregar nuevos controles.

Eliminar el riesgo: Eliminar el activo relacionado y con ello se elimina el riesgo.

Compartir el riesgo: Mediante acuerdos contractuales parte del riesgo se traspasa a un

tercero.

Aceptar el riesgo: Se determina que el nivel de exposición es adecuado y por lo tanto

se acepta.




– Métricas de evaluación de riesgo

Interpretación de vulnerabilidades

Para determinar la gravedad de cada una de las vulnerabilidades se ha usado la puntuación

base del estándar abierto CVSSv2 (CommonVulnerability Score System).

Dicha puntuación tiene en cuenta métricas características de la vulnerabilidad

independientemente del tiempo y el entorno en la que se encuentra.

Estas métricas están clasificadas en dos grupos:

Métricas de explotabilidad: definen las probabilidades que tiene una vulnerabilidad de

ser explotada:

» Vector de acceso

» Complejidad del acceso

» Nivel de autenticación




Métricas de Impacto: definen las probabilidades que tiene una vulnerabilidad de ser

explotada:

» Impacto en la Confidencialidad

» Impacto en la Integridad

» Impacto en la Disponibilidad

Basando el cálculo en la puntuación base establecida por el estándar CVSSv2 se han

considerado en un 40% las métricas de explotabilidad y en un 60% las métricas de impacto.

Puntuación Base = (0.4 * Explotabilidad + 0.6 * Impacto – 1.5) * 1.176

Niveles de criticidad

0 Recomendación

De 1 a 3 Bajo

De 4 a 5 Medio

De 6 a 7 Alto

De 8 a 10 Muy Alto





El objetivo aquí es estimar la probabilidad de que una vulnerabilidad particular pueda ser

descubierta y explotada.

Facilidad de descubrimiento

¿Qué probabilidad hay de que un atacante descubra esta vulnerabilidad?

Prácticamente imposible (1), difícil (3), fácil (7), herramientas automatizadas

disponibles (9)

Facilidad de explotación

¿Qué probabilidad hay de que un atacante explote esta vulnerabilidad realmente?

Teórica (1), difícil (3), fácil (5), las herramientas automatizadas disponibles (9)





Conocimiento

¿Cuánto conocen los atacantes esta vulnerabilidad? Desconocido (1), oculto (4), obvio

(6), conocimiento público (9)

Detección de intrusiones

¿Cuánto de probable s que este ataque pueda ser detectado? Detección activa en la

aplicación (1), registrado y revisado (3), registrado sin revisión (8), no registrado (9)

Resultados:

Niveles de riesgo e Impacto

De 0 a 2 Bajo

De 3 a 5 Medio

De 6 a 9 Alto



¿Preguntas?




C. Santander, 101. Edif. A. 2º

E-08030 Barcelona (Spain)

Tel.: +34 93 305 13 18

Fax: +34 93 278 22 48

C. Arequipa, 1

E-28043 Madrid (Spain)

Tel.: +34 91 763 40 47

Fax: +34 91 382 03 96

[email protected]

www.isecauditors.com


C. Santander, 101. Edif. A. 2º

E-08030 Barcelona (Spain)

Tel.: +34 93 305 13 18

Fax: +34 93 278 22 48

C. Arequipa, 1

E-28043 Madrid (Spain)

Tel.: +34 91 763 40 47

Fax: +34 91 382 03 96

[email protected]

www.isecauditors.com

Documents

Ethical-hacking.pdf