Upload
ramon-quinonero-romero
View
5
Download
0
Embed Size (px)
Citation preview
Su Seguridad es Nuestro Éxito
Madrid/Barcelona, Noviembre 2012
Ethical Hacking - Hacking Ético
Guillermo de Ángel García
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 2
Ethical Hacking – Hacking Etico
Sobre el formador…
Guillermo de Ángel García – [email protected]
Auditor Senior en Internet Security Auditors
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 3
Ethical Hacking – Hacking Etico
Temario
Introducción
Hacking Ético
Herramientas más comunes
Fases de un test de intrusión
Escaneo de redes y sistemas
Acceso a los sistemas
Mantenimiento del acceso
Borrado de huellas
Análisis y evaluación del riesgo
Laboratorio
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 4
Ethical Hacking – Hacking Etico
Tema 1: Introducción
La importancia de la seguridad en los sistemas informáticos
Escenario actual del cibercrimen
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 5
Ethical Hacking – Hacking Etico
Introducción
– La importancia de la seguridad en los sistemas informáticos
La seguridad informática es el área de la informática que se enfoca en la protección
de la infraestructura computacional y todo lo relacionado con esta (incluyendo la
información contenida).
Comprende software, bases de datos, metadatos, archivos y todo lo que la
organización valore (activo) y signifique un riesgo si ésta llega a manos de otras
personas.
Este tipo de información se conoce como información privilegiada o confidencial.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 6
Ethical Hacking – Hacking Etico
Introducción
– La importancia de la seguridad en los sistemas informáticos
• La seguridad informática está concebida para proteger los activos informáticos,
entre los que se encuentran:
– La información contenida
» La seguridad informática debe evitar que usuarios externos y no autorizados
puedan acceder a ella sin autorización.
– La infraestructura computacional
» La función de la seguridad informática en esta área es velar que los equipos
funcionen adecuadamente y prever fallos o ataques contra la infraestructura
informática.
– Los usuarios
» La seguridad informática debe establecer normas que minimicen los riesgos a la
información o infraestructura informática.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 7
Ethical Hacking – Hacking Etico
Introducción
– La importancia de la seguridad en los sistemas informáticos
• Tipos de amenazas:
– Amenazas internas: Generalmente estas amenazas pueden ser más serias
que las externas por varias razones:
» Los usuarios conocen la red y saben cómo es su funcionamiento.
» Tienen algún nivel de acceso a la red por las mismas necesidades de su trabajo.
» Los IPS y Firewalls son mecanismos no efectivos en amenazas internas.
– Amenazas externas: Son aquellas amenazas que se originan fuera de la
red. La ventaja que se tiene en este caso es que el administrador de la red
puede prevenir una buena parte de los ataques externos.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 8
Ethical Hacking – Hacking Etico
Introducción
– La importancia de la seguridad en los sistemas informáticos
• Existen organismos oficiales encargados de asegurar servicios de prevención de
riesgos y asistencia a los tratamientos de incidencias, como por ejemplo:
– El CERT/CC (Computer Emergency Response Team Coordination Center) del SEI
(Software Engineering Institute) de la Carnegie Mellon University el cual es un centro de
alerta y reacción frente a los ataques informáticos, destinados a las empresas o
administradores, pero generalmente estas informaciones son accesibles a todo el mundo.
Listado Oficial CERTS Mundiales: https://www.cert.org/csirts/national/contact.html
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 9
Ethical Hacking – Hacking Etico
Introducción
- Escenario Actual del Cibercrimen
1. Uso de malware contra móviles y explotación de teléfonos móviles para cometer fraude
– El crecimiento exponencial de los dispositivos móviles como ordenadores de uso general
los ha convertido en un objetivo atractivo para los ciberdelincuentes.
– Las descargas de aplicaciones a dispositivos móviles aumentan a un ritmo alarmante,
siendo inevitable que prolifere todo tipo de malware dirigido a tales aplicaciones y
dispositivos
– Adicionalmente se utiliza el móvil para realizar operaciones bancarias y pagos, consultar
el correo electrónico, tener acceso a sus cuentas online y almacenar datos de carácter
personal en el teléfono
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 10
Ethical Hacking – Hacking Etico
Introducción
- Escenario Actual del Cibercrimen
2. Malware en la empresa
- El problema del malware cobra cada vez más relevancia en organizaciones y
organismos oficiales de todo el mundo
- Los factores principales para esto es la movilidad de los empleados, el uso de los sitios
de redes sociales, y la TI basada en el usuario.
- En consecuencia, la red corporativa se ve cada vez más expuesta al malware, a los
troyanos, a las amenazas persistentes avanzadas (APT, Advanced Persistent Threat) y
otros ataques con potencial para abrir una brecha en la seguridad de los datos y poner
en peligro la información confidencial.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 11
Ethical Hacking – Hacking Etico
Introducción
- Escenario Actual del Cibercrimen
3. Phising o robo de identidad
- En 2010, surgieron otros tipos de ataques de robo de identidad, tales como los que se
dirigen simultáneamente a las marcas de varias entidades, o los que interceptan los
códigos de confirmación de operaciones enviados al móvil del usuario como parte de la
autenticación fuera de banda
- Sobre todo van orientados a la banca, intentando engañar al usuario para que instale
determinada aplicación en el móvil con el fin de engañar al mismo, o una página falsa con
la que remitir las credenciales al delincuente
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 12
Ethical Hacking – Hacking Etico
Introducción
- Escenario Actual del Cibercrimen
• Tipos de ataque:
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 13
Ethical Hacking – Hacking Etico
Introducción
– Escenario Actual del Cibercrimen
• Objetivos de los ataques:
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 14
Ethical Hacking – Hacking Etico
Introducción
– Escenario Actual del Cibercrimen
• Objetivos de los ataques:
Industries represented by percent of breaches
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 15
Ethical Hacking – Hacking Etico
Introducción
– Escenario Actual del Cibercrimen
• Estadísticas…
Fuente: The Web Hacking Incidents Database 2011
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 16
Ethical Hacking – Hacking Etico
Tema 2: Hacking Ético
¿Qué es el Hacking Ético?
Terminología
Elementos de la seguridad de la información
Niveles de Seguridad
Principales metodologías.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 17
Ethical Hacking – Hacking Etico
Hacking Ético
– ¿Qué es el Hacking Ético?
• El Hacker Ético es la persona que lleva a cabo intentos de intrusión en redes y/o sistemas
utilizando los mismos métodos que un Hacker.
• La diferencia más importante es que el Hacker Ético tiene autorización para realizar las
pruebas sobre los sistemas que ataca.
• Actualmente existen certificaciones de Hacker Ético, como el CEH.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 18
Ethical Hacking – Hacking Etico
Hacking Ético
– Terminología
Exploit: Una vía definida para romper la seguridad de un sistema o aplicación aprovechando
una vulnerabilidad.
Zero-Day: Ataque contra una aplicación o sistema que tiene como objetivo la ejecución de
código malicioso gracias al conocimiento de vulnerabilidades que, por lo general, son
desconocidas para la gente y el fabricante del producto.
Seguridad: Un estado de «bien estar» de nuestra información e infraestructura con
posibilidad de robo, manipulación o perdida de servicio.
Threat (Amenaza): Un evento o acción que pone en compromiso la seguridad.
Vulnerabilidad: Existencia de una debilidad, ya sea de diseño o implantación, la cual puede
desembocar en un compromiso de la seguridad de nuestros sistemas.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 19
Ethical Hacking – Hacking Etico
Hacking Ético
– Elementos de la seguridad de la información
Confidencialidad: Con la que se asegura que el acceso a la
misma solo es accesible por quien está autorizado a ello.
Integridad: Con la que se asegura que los datos no ha sufrido
cambios no autorizados.
Accesibilidad: Con la que nos aseguramos que los sistemas
funcionan cuando los usuarios autorizados lo requieren.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 20
Ethical Hacking – Hacking Etico
Hacking Ético
– Niveles de seguridad
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 21
Ethical Hacking – Hacking Etico
Hacking Ético
– Principales Metodologías
• Manual de la Metodología Abierta de Pruebas de Seguridad (OSSTMM, Open Source Security
Testing Methodology Manual) es una metodología que reúne las diversas pruebas y métricas
de seguridad, utilizadas por los profesionales durante las Auditorías de Seguridad.
• El OSSTMM se centra en los detalles técnicos de los elementos que deben ser probados.
¿Qué hacer antes, durante y después de una prueba de seguridad?, y ¿cómo medir los
resultados?
• http://www.isecom.org/osstmm/
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 22
Ethical Hacking – Hacking Etico
Hacking Ético
– Principales Metodologías
La metodología de Ethical Hacking ISSAF esta diseñada para evaluar una Red de trabajo,
sistema y control de aplicaciones . Esta enfocada en tres fases y nueve pasos de evaluación.
Constituye un framework detallado respecto de las prácticas y conceptos relacionados con
todas y cada una de las tareas a realizar al conducir un testeo de seguridad.
Se encuentra organizada alrededor de lo que se ha dado en llamar "Criterios de Evaluación«.
El enfoque incluye tres fases siguientes:
» Planificación y Preparación
» Evaluación
» Reportes, Limpieza y Destrucción de Objetos
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 23
Ethical Hacking – Hacking Etico
Hacking Ético
– Principales Metodologías
OWASP: Open Web Application Security Project
Inicio en septiembre de 2001
Objetivo: promover la seguridad en las aplicaciones web
Grupo de voluntarios que producen y mantienen documentación open-source, libre y de
calidad profesional, herramientas y estándares
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 24
Ethical Hacking – Hacking Etico
Hacking Ético
– Principales Metodologías
Los proyectos de documentación actuales son:
Guía OWASP – Un enorme documento que proporciona una guía detallada sobre la
seguridad de las aplicaciones web.
OWASP Top 10 – Documento de alto nivel que se centra sobre las vulnerabilidades más
críticas de las aplicaciones web.
Métricas – Un proyecto para definir métricas aplicables de seguridad de aplicaciones
web.
Legal – Un proyecto para ayudar a los vendedores y compradores de software a negociar
adecuadamente los aspectos de seguridad en sus contratos.
Guía de pruebas – Una guía centrada en la prueba efectiva de la seguridad de
aplicaciones web.
ISO 17799 – Documentos de apoyo para organizaciones que realicen revisiones ISO
17799.
AppSec FAQ – Preguntas y respuestas frecuentes sobre seguridad de aplicaciones web.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 25
Ethical Hacking – Hacking Etico
Tema 3: Herramientas Comunes
Principales herramientas
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 26
Ethical Hacking – Hacking Etico
Principales Herramientas
Herramientas comunes en Ethical Hacking
Nmap Nessus Metasploit Hping3
Dirbuster
Burpsuite Acunetix Sqlmap
Hydra
Medusa
Qualys
John the
Ripper
FOCA Airsnort Wireshark W3af Netcat
Maltego Httprint Tcpdump Dsniff Xsser NeXpose
Mas herramientas categorizadas
http://sectools.org/
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 27
Ethical Hacking – Hacking Etico
Tema 4: Fases de un Test de Intrusión
Obtención de Información
Escaneo de redes y sistemas
Acceso a los sistemas
Mantenimiento del acceso
Borrado de Huellas
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 28
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
En este apartado se incluye la información obtenida relacionada con el objetivo,
información de su organización, datos de sus empleados, etc. Esta información se
utilizará para efectuar ataques sobre los sistemas informáticos, que podrían a su vez
provocar otras fugas de información sensible.
A continuación se van a enumerar los diferentes puntos de esta fase:
Registros públicos de información
Google Hacking
Metadatos en ficheros públicos
Ingeniería Social
Redes Sociales
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 29
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
Registros públicos de información
– La búsqueda de información realizada en este test tiene como objetivo extraer
información útil asociada a los dominios públicos en Internet del objetivo.
– Como resultado, pueden extraerse posibles nombres de usuario, direcciones de red,
dominios de WEB, fecha de expiración de dominios y personas de interés entre otros
datos.
– Dicha información se obtiene a partir de las bases de datos de whois y su posterior
análisis.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 30
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
• Registros públicos de información
– Se pueden ver los dominios WEB que tiene asignados una determinada dirección
IP, por ejemplo la IP 207.46.197.32 perteneciente a microsoft.com:
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 31
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
• Registros públicos de información
– Otro ejemplo seria, poder obtener nombres de usuarios relacionados con la
empresa así como teléfonos y direcciones de correo electrónico.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 32
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
Google Hacking
Google Hacking consiste en explotar la gran capacidad de almacenamiento de
información de Google, buscando información específica que ha sido añadida a las
bases de datos del buscador.
Si las búsquedas las orientamos a ciertas palabras clave que nos ayuden a encontrar
información sensible, puntos de entrada sensibles a posibles ataques, o cualquier otro
tipo de información que tuviera carácter de sensibilidad, estaremos ejecutando un
Google hack.
Resumiendo: Google Hacking es buscar en Google información sensible,
generalmente, con fines maliciosos.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 33
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
Google Hacking
Consulta de palabras
Consulta de frases
Operadores booleanos:
» AND
» OR
» NOT
Caracteres especiales:
» +
» -
» .
» *
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 34
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
Google Hacking
Consultas Avanzadas
Intitle, Allintitle Link Daterange Define
Allintext Inanchor Info Phonebook
Inurl, Allinurl Cache Related Group
Site Numrange Stocks Msgid
Filetype Author Insubject
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 35
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
Google Hacking
– Mediante esta técnica, es posible encontrar información sobre:
» Productos vulnerables
» Mensajes de error
» Ficheros que contienen información sensible
» Ficheros que contienen claves
» Ficheros que contienen nombres de usuario
» Páginas con formularios de acceso
» Páginas que contienen datos relativos a vulnerabilidades
» Directorios sensibles
» Información sensible sobre comercio y banca electrónica
» Ficheros vulnerables
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 36
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
Google Hacking
– Consulta: intitle:index.of “parent directory”
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 37
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
Google Hacking
– También se podría especificar un directorio en particular, por ejemplo el directorio
admin:
– Consulta: intitle:index.of inurl:admin
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 38
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
Google Hacking
– Seguidamente se verá como buscar servidores web a través de Google:
» Servidores apache, consulta: intitle:index.of “Apache/*” “server at”
» Servidores IIS, consulta: intitle:index.of “Microsoft-IIS/* server at”
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 39
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
Google Hacking
– Otra utilidad de Google hacking, seria poder buscar información acerca de bases de
datos, por ejemplo búsqueda de contraseñas:
– Consulta: filetype:inc intext:mysql_connect
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 40
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
Google Hacking
– O también estructuras de las bases de datos:
– Consulta: filetype:sql “# dumping data for table”
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 41
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
Google Hacking
– Para encontrar usuarios y contraseñas mediante Google:
– Consulta: intitle:index.of passwd
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 42
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
Google Hacking
A través de Google también se podrían buscar subdominios de un dominio
especifico. Esto podría ser de utilidad a la hora de realizar el test de Intrusion, ya
que se podrían encontrar dominios mas vulnerables que el dominio principal:
Ejemplo: site:microsoft.com -site:www.microsoft.com
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 43
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
Google Hacking
– Todas estas consultas se podrían realizar automáticamente mediante herramientas
que se pueden obtener en internet, como por ejemplo SiteDigger:
» Creado por Foundstone www.foundstone.com
» Utiliza la Google API
» Exige la instalación de .NET Framework 1.1
» Utiliza la base de datos FSDB o GHDB
» Genera informes en HTML
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 44
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
Metadatos en ficheros públicos
Metadatos: datos que describen otros datos.
Los archivos contienen información «oculta» que los describe y los caracteriza.
Dicha información puede ser utilizada para obtener información sensible del archivo.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 45
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
Metadatos en ficheros públicos
Un ejemplo de metadatos en un libro serian los datos referentes a su fecha y lugar
de impresión, ISBN, etc.
En el mundo electrónico los metadatos son información incrustada, por ejemplo en
ficheros ofimáticos o imágenes, que aportan información acerca de los propios
ficheros.
Los metadatos pueden contener información como por ejemplo, usuarios del
sistema, rutas internas, software utilizado y su versión, entre otros.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 46
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
Metadatos en ficheros públicos
– Un programa que nos permite obtener archivos para
después extraer los metadatos de ellos seria FOCA:
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 47
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
Ingeniería Social
– Es la práctica de obtener información confidencial a través de la manipulación de
usuarios legítimos.
– Esta técnica la usan personas, como investigadores privados, criminales, o
delincuentes computacionales, para obtener información, acceso o privilegios en
sistemas de información que les permitan realizar algún acto que perjudique o
exponga la persona u organismo comprometido a riesgo o abusos.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 48
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
Ingeniería Social
Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick.
Según su opinión, la ingeniería social se basa en estos cuatro principios:
» Todos queremos ayudar.
» El primer movimiento es siempre de confianza hacia el otro.
» No nos gusta decir No.
» A todos nos gusta que nos alaben.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 49
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
Ingeniería Social
– Una ataque simple pero efectivo es engañar a un usuario llevándolo a pensar que un
administrador del sistema esta solicitando una contraseña para varios propósitos
legítimos. A este tipo de ataques se los llama phishing (pesca).
– Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos
adjuntos en e-mails, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona
famosa o algún programa "gratis" (a menudo aparentemente provenientes de alguna
persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina
de la víctima para enviar cantidades masivas de spam).
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 50
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Obtención de Información
Redes Sociales
Estas plataformas permiten interactuar mediante mensajes, compartir información,
imágenes o vídeos, de forma que estas publicaciones sean accesibles de forma
inmediata por todos los usuarios que formen su grupo de contactos.
Se puede conseguir información sensible tan solo visitando los perfiles personales
de la red social.
Políticas de privacidad insuficientes por defecto.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 51
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Escaneo de Redes y Sistemas
En la fase de escaneo de redes y sistemas se analizan la red y los sistemas con el
objetivo de obtener un mapa lo más detallado posible de la misma. Se identifican las
máquinas activas y sus interconexiones.
Como resultado se obtiene:
Nombres de servidores
Direcciones IP
Características de cada máquina
Información sobre el ISP
Mapa de la red
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 52
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Escaneo de Redes y Sistemas
• Ejemplo:
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 53
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Escaneo de Redes y Sistemas
• Ejemplo:
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 54
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Escaneo de Redes y Sistemas
Tipos de Escaneo:
Nmap es una herramienta que sirve para la verificación de puertos en un sistema,
aunque esta herramienta tiene muchas mas aplicaciones:
» Escaneos de redes: Este tipo de exploración nos va permitir conocer los
dispositivos conectados en la red a estudiar.
» Escaneos de puertos: Una vez identificadas las máquinas, nos va a permitir
descubrir puertos abiertos en las mismas. A partir de ese momento intentaremos
descubrir los servicios que se están ejecutando y obtener datos que nos ayudarán a
identificar el tipo de Sistema Operativo, las aplicaciones, versiones de las mismas,
etc.
» Escaneos de vulnerabilidades: Encontrar servicios vulnerables que sirvan como
punto de entrada en los sistemas.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 55
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Escaneo de Redes y Sistemas
Tipos de Escaneo:
Pasos en la metodología de escaneo:
» Búsqueda de sistemas vivos
» Test de puertos abiertos
» Obtención de banners
» Test de vulnerabilidades
» Realizar diagrama de red
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 56
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Escaneo de Redes y Sistemas
Tipos de Escaneo:
Búsqueda de sistemas vivos:
» Se realiza mediante un Ping Scan, enviando paquetes del tipo ICMP ECHO
request al host victima. Si el host esta vivo devuelve un paquete ICMP ECHO
reply.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 57
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Escaneo de Redes y Sistemas
Tipos de Escaneo:
Búsqueda de sistemas vivos:
» Salida del Nmap:
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 58
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Escaneo de Redes y Sistemas
Tipos de Escaneo:
TCP Connect – Full Open Scan:
» Se utiliza la técnica de «three-way handshake» para establecer una conexión
entre el cliente y servidor.
» Si responde con un SYN-ACK el puerto esta abierto y responde un ACK.
» Si responde con un RST el puerto esta cerrado.
» Nmap –sT 192.168.1.1
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 59
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Escaneo de Redes y Sistemas
Tipos de Escaneo:
Stealth Scan – Half Open Scan:
» Se utiliza la técnica de «three-way handshake» para empezar una conexión
entre el cliente y servidor.
» Si responde con un SYN-ACK el puerto esta abierto y el cliente envía un RST.
» Si responde con un RST el puerto esta cerrado.
» Nmap –sS 192.168.1.1
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 60
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Escaneo de Redes y Sistemas
Tipos de Escaneo:
XMAS Scan:
» XMAS scan sólo funciona en sistemas operativos TCP/IP basados de acuerdo
con RFC 793. Xmas Scan no funciona Microsoft Windows ya que se mostraran
todos los puertos cerrados.
» Nmap –sX 192.168.1.1
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 61
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Escaneo de Redes y Sistemas
Tipos de Escaneo:
FIN Scan:
» FIN scan sólo funciona en sistemas operativos TCP/IP basados de acuerdo
con RFC 793. FIN Scan no funciona Microsoft Windows ya que se mostraran
todos los puertos cerrados.
» nmap –sF 192.168.1.1
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 62
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Escaneo de Redes y Sistemas
Tipos de Escaneo:
NULL Scan:
» NULL scan sólo funciona en sistemas operativos TCP/IP basados de acuerdo
con RFC 793. NULL Scan no funciona Microsoft Windows ya que se
mostraran todos los puertos cerrados.
» Nmap –sN 192.168.1.1
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 63
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Escaneo de Redes y Sistemas
Tipos de Escaneo:
– IDLE Scan: Este tipo de escaneo se puede resumir en 3 pasos:
» Paso 1: Se elije un “Zombie” y averiguamos cual es su numero IPID (ejemplo:
31337)
» Paso 2: Enviamos paquetes falsificados del “Zombie” al “blanco”
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 64
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Escaneo de Redes y Sistemas
Tipos de Escaneo:
IDLE Scan:
» Paso 3:
- Si el IPID aumenta en 2 su valor inicial- Abierto (ejemplo: 31339)
- Si el IPID aumenta en 1 su valor inicial- Cerrado (ejemplo: 31338)
» Este tipo de escaneo tiene como principal ventaja que no revela la IP real , si
no la IP de un Zombie.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 65
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Escaneo de Redes y Sistemas
Tipos de Escaneo:
– UDP Scan:
» En el escaneo por el protocolo UDP activamos el modo para que solo escanee los
puertos UDP.
» Nmap –sU 192.168.1.1
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 66
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Escaneo de Redes y Sistemas
Detección de Vulnerabilidades
– El escaneo de vulnerabilidades identifica fallos o errores en los sistemas y en la red
para determinar como pueden ser explotados.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 67
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Escaneo de Redes y Sistemas
Detección de Vulnerabilidades
Esta fase tiene como objetivo detectar los potenciales riesgos a los que están expuestos
los equipos seleccionados.
Se utilizarán escáneres de vulnerabilidades como pueden ser Nessus, NeXpose o
Qualys entre otros.
Se buscaran vulnerabilidades en los servicios de los hosts detectados en las fases
anteriores.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 68
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Escaneo de Redes y Sistemas
Detección de Vulnerabilidades
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 69
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Escaneo de Redes y Sistemas
Detección de Vulnerabilidades
– Principales bases de datos de vulnerabilidades:
» http://www.cvedetails.com/
» http://nvd.nist.gov/
» http://cve.mitre.org/
» http://www.securityfocus.com/bid
» http://osvdb.org/
» http://secunia.com/advisories/product/
» http://www.vupen.com/english/
» http://securityvulns.com/
» http://www.exploit-db.com/
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 70
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Acceso a los Sistemas
Acceso autorizado: Resultado positivo de una autenticación.
Controlado por los administradores.
Acceso no autorizado: Producto de la explotación de una vulnerabilidad.
No controlado por los administradores del sistema.
El objetivo en esta fase como atacantes, es asegurarnos de tener acceso remoto al
sistema o al aplicativo siempre que se desee.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 71
Ethical Hacking – Hacking Etico
71
Fases de un Test de Intrusión
– Acceso a los Sistemas
Password cracking
Consiste en descifrar la contraseña de determinados aplicativos o sistemas elegidas
por el usuario.
El tiempo está estrechamente ligado a la entropía elegida para la clave.
Además, son dependientes completamente de los recursos hardware.
Amplia variedad de software especializado y técnicas disponibles.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 72
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Acceso a los Sistemas
Password cracking
Es aconsejable:
Uso de caracteres especiales.
Combinar mayúsculas y minúsculas.
Crear un acrónimo único.
Realizar sustituciones de caracteres comunes
No es aconsejable:
Reusar claves en múltiples servicios importantes.
Utilizar información personal como claves.
No usar acrónimos o palabras que puedan ser encontradas en diccionarios.
No utilizar “caracteres repetidos (aa11)
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 73
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Acceso a los Sistemas
Password cracking
Ejemplo de cracking
de una contraseña:
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 74
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Acceso a los Sistemas
Exploits
Pieza de software o secuencia de comandos que provoca errores/fallos en alguna
aplicación.
Violar medidas de seguridad para acceder de forma no autorizada a un equipo.
Frameworks de explotación específicamente diseñados para la tarea.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 75
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Acceso a los Sistemas
Exploits
Empresas de seguridad
» Zero Day Initiative
» Secunia
» iDefense
» SecuriTeam
» iSight
Mercado negro
» Opensc
» HackForums
» IframeShop
» Pawn-Shop
» Wasm
– Organismos gubernamentales
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 76
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Acceso a los Sistemas
Exploits
Metasploit Framework
» Varias versiones destinadas a distinto público.
» MsfCli
» MsfWeb
» MsfConsole
» Exploits
» Payloads
» Meterpreter
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 77
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Acceso a los Sistemas
Virus, Gusanos y Troyanos
Tienen como objetivo alterar el funcionamiento de un equipo sin el permiso del
usuario.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 78
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Acceso a los Sistemas
Virus, Gusanos y Troyanos
Métodos de protección:
Activos:
» Antivirus – Programas que tratan de descubrir las trazas que ha dejado un software
malicioso, para detectarlo y eliminarlo.
» Filtros de ficheros – Generar filtros de ficheros que puedan integrarse en el sistema
de correos o en las reglas del firewall.
Pasivos:
» Evitar introducir en el equipo medios de almacenamiento extraíbles.
» No instalar software “pirata” de dudosa procedencia.
» No abrir mensajes de direcciones de correo desconocidas.
» No visitar páginas desconocidas o de dudosa reputación
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 79
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Mantenimiento del acceso
• Cuando el atacante consigue acceso al sistema victima, el objetivo es mantener el acceso
en este.
• En esta fase el intruso quiere permanecer indetectable y para eso utiliza métodos, como
puertas traseras y rootkits, para tener acceso a cuentas privilegiadas como la cuenta de
Administrador o root.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 80
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Mantenimiento del acceso
Backdoors
Una puerta trasera (o en inglés backdoor), es una secuencia especial dentro del
código de programación, mediante la cual se pueden evitar los sistemas de seguridad
del algoritmo (autentificación) para acceder al sistema.
Los backdoor están preparados para recibir ciertas instrucciones particulares, y
dependiendo de ellas, ejecutar distintos tipos de acciones, por ejemplo:
» Ejecutar otras aplicaciones
» Enviar archivos al autor
» Modificar parámetros de configuración del sistema
» Instalar otras aplicaciones y/o malware
Los más conocidos para el sistema Microsoft Windows son BackOrifice, NetBus,
SubSeven, tres de los primeros backdoors que ya detectan la mayoría de los programas
antivirus.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 81
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Mantenimiento del acceso
Rootkits
Un rootkit es un programa que permite un acceso de privilegio continuo a una
computadora pero que mantiene su presencia activamente oculta al control de los
administradores al corromper el funcionamiento normal del sistema operativo o de otras
aplicaciones.
El término proviene de una concatenación de la palabra inglesa “root” que significa raíz
(nombre tradicional de la cuenta privilegiada en los sistemas operativos Unix) y de la
palabra inglesa “kit” que significa conjunto de herramientas
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 82
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Mantenimiento del acceso
Rootkits
Usualmente se lo asocia con malware, que se esconde a sí mismo y a otros programas,
procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso
mantener el acceso a una amplia variedad de sistemas operativos como pueden ser
GNU/Linux, Solaris o Microsoft Windows para remotamente comandar acciones o
extraer información sensible.
El un atacante instala un rootkit en una computadora después de primero haber
obtenido un acceso privilegiado, ya sea por haberse aprovechado de una vulnerabilidad
conocida o por haber obtenido una contraseña.
Como ejemplo de rootkits famosos tenemos: SuckIT, Adore, T0rn, Ambient's Rootkit
(ARK), etc.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 83
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Borrado de Huellas
Las acciones de escanear, enumerar, obtener acceso remoto, abrir una puerta trasera,
etc. tienen una implicación en el sistema víctima:
Se registra todo!
Es importante para un atacante eliminar toda esta información registrada antes de salir
del sistema penetrado.
Esto se puede realizar de varios modos:
Borrado seguro de datos
Zappers
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 84
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Borrado de Huellas
Borrado seguro de datos
El borrado seguro de datos es una forma de eliminar archivos de una maquina
comprometida, con el fin de que un análisis forense no de evidencias de las acciones que
hemos llevado a cabo.
Existen multitud de herramientas para el borrado seguro de huellas en sistemas
comprometidos, tanto en la plataforma Linux, como en Windows, por ejemplo:
» Wipe
» Eraser
» Shred
Estos programas utilizan técnicas de overwriting (sobrescribir varias veces encima del
archivo borrado con información aleatoria) con el fin de que sea imposible recuperar la
información original.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 85
Ethical Hacking – Hacking Etico
Fases de un Test de Intrusión
– Borrado de Huellas
Zappers
Los Zappers son otro tipo de programas (normalmente hechos en lenguaje batch o shell
Scripting) que sirven para eliminar archivos de una maquina comprometida.
Estos programas automatizan todo el proceso de borrado de huellas para hacer mas
sencilla esta tarea.
Muchos Zappers se ejecutan al inicio de una Intrusion para parar los sistemas de registro
de acciones en la maquina, evitando así que el ordenador victima registre información de
nuestra Intrusion.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 86
Ethical Hacking – Hacking Etico
Análisis y Evaluación del riesgo
• El análisis y evaluación del riesgo es un proceso que comprende la identificación de activos
informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como
su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles
adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
• El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce
como matriz de riesgo.
• En este documento se muestran los elementos identificados, la manera en que se relacionan
y los cálculos realizados
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 87
Ethical Hacking – Hacking Etico
Análisis y Evaluación del riesgo
Como se describe en el BS ISO / IEC 27001:2005, la evaluación del riesgo incluye las
siguientes acciones y actividades:
Identificación de los activos
Identificación de los requisitos legales y de negocios que son relevantes para la
identificación de los activos
Valoración de los activos identificados
Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una
pérdida de confidencialidad, integridad y disponibilidad.
Identificación de las amenazas y vulnerabilidades importantes para los activos
identificados.
Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
Cálculo del riesgo.
Evaluación de los riesgos frente a una escala de riesgo preestablecidos
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 88
Ethical Hacking – Hacking Etico
Análisis y Evaluación del riesgo
Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los
riesgos residuales que se identificaron. Las acciones pueden ser:
Controlar el riesgo: Fortalecer los controles existentes y/o agregar nuevos controles.
Eliminar el riesgo: Eliminar el activo relacionado y con ello se elimina el riesgo.
Compartir el riesgo: Mediante acuerdos contractuales parte del riesgo se traspasa a un
tercero.
Aceptar el riesgo: Se determina que el nivel de exposición es adecuado y por lo tanto
se acepta.
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 89
Ethical Hacking – Hacking Etico
Análisis y Evaluación del riesgo
– Métricas de evaluación de riesgo
Interpretación de vulnerabilidades
Para determinar la gravedad de cada una de las vulnerabilidades se ha usado la puntuación
base del estándar abierto CVSSv2 (CommonVulnerability Score System).
Dicha puntuación tiene en cuenta métricas características de la vulnerabilidad
independientemente del tiempo y el entorno en la que se encuentra.
Estas métricas están clasificadas en dos grupos:
Métricas de explotabilidad: definen las probabilidades que tiene una vulnerabilidad de
ser explotada:
» Vector de acceso
» Complejidad del acceso
» Nivel de autenticación
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 90
Ethical Hacking – Hacking Etico
Análisis y Evaluación del riesgo
Métricas de Impacto: definen las probabilidades que tiene una vulnerabilidad de ser
explotada:
» Impacto en la Confidencialidad
» Impacto en la Integridad
» Impacto en la Disponibilidad
Basando el cálculo en la puntuación base establecida por el estándar CVSSv2 se han
considerado en un 40% las métricas de explotabilidad y en un 60% las métricas de impacto.
Puntuación Base = (0.4 * Explotabilidad + 0.6 * Impacto – 1.5) * 1.176
Niveles de criticidad
0 Recomendación
De 1 a 3 Bajo
De 4 a 5 Medio
De 6 a 7 Alto
De 8 a 10 Muy Alto
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 91
Ethical Hacking – Hacking Etico
Análisis y Evaluación del riesgo
– Métricas de evaluación de riesgo
El objetivo aquí es estimar la probabilidad de que una vulnerabilidad particular pueda ser
descubierta y explotada.
Facilidad de descubrimiento
¿Qué probabilidad hay de que un atacante descubra esta vulnerabilidad?
Prácticamente imposible (1), difícil (3), fácil (7), herramientas automatizadas
disponibles (9)
Facilidad de explotación
¿Qué probabilidad hay de que un atacante explote esta vulnerabilidad realmente?
Teórica (1), difícil (3), fácil (5), las herramientas automatizadas disponibles (9)
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 92
Ethical Hacking – Hacking Etico
Análisis y Evaluación del riesgo
– Métricas de evaluación de riesgo
Conocimiento
¿Cuánto conocen los atacantes esta vulnerabilidad? Desconocido (1), oculto (4), obvio
(6), conocimiento público (9)
Detección de intrusiones
¿Cuánto de probable s que este ataque pueda ser detectado? Detección activa en la
aplicación (1), registrado y revisado (3), registrado sin revisión (8), no registrado (9)
Resultados:
Niveles de riesgo e Impacto
De 0 a 2 Bajo
De 3 a 5 Medio
De 6 a 9 Alto
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 93
Ethical Hacking – Hacking Etico
¿Preguntas?
© I n t e r n e t S e c u r i t y A u d i t o r s • Madrid/Barcelona • N O V I E M B R E - 2 0 1 2 • P. 94
Ethical Hacking – Hacking Etico
Su Seguridad es Nuestro Éxito
C. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-28043 Madrid (Spain)
Tel.: +34 91 763 40 47
Fax: +34 91 382 03 96
www.isecauditors.com
Su Seguridad es Nuestro Éxito
C. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-28043 Madrid (Spain)
Tel.: +34 91 763 40 47
Fax: +34 91 382 03 96
www.isecauditors.com