1. Tests de Intrusin. Anlise da seguridade enentornos GNU/Linux

2. Indice

Tests de intrusin

Qu son? Para qu sirven?

3. Tipologa de los test de intrusin 4. Metodologas y buenas prcticas 5. Fases y tareas tpicas Distribuciones GNU/linux parapen testing

Backtrack4

6. Tests de intrusin (I) Qu son?

• Mecanismo deevaluacinde las medidas de proteccin de una organizacin y de los servicios expuestos a Internet.

• Analizan la efectividad de loscontroles de seguridadimplantados en una organizacin relizando una bateria deacciones planificadasque simulan el comportamiento de un atacante.

7. Otros nombres: tests de penetracin ( pen testing ), hacking tico ( ethical hacking)

Objetivo:vulnerar la seguridad de los mecanismos implantados para conseguir accesos no autorizados a la organizacin, obtener informacin sensible, interrumpir un servicio,

Depender delalcanceconcreto del test realizado

8. Test de penetracin != anlisis de vulnerabilidades

Las vulnerabilidades detectadas se explotan

9. Tests de intrusin (II) Para qu sirven?

• Conforman un conjunto de actividades destinadas a estimar el estado real de la seguridad de un sistema.

• Son uno de los posibles mtodos y tcnicas a usar en las auditorias de seguridad

10. Finalizan con un informe tcnico (identificacin del riesgo, probabilidad de ocurrencia, impacto en la organizacin,estimacin de su gravedad, recomendaciones)

Beneficios

Encuentran brechas de seguridad no vistas

11. Documentan e informan a la direccin de problemas/amenazas 12. Verificacin de configuraciones seguras (en redes y software) 13. Verificacin real del cumplimiento de las polticas y medidas de seguridad establecidas 14. Tests de intrusin (III) Conceptos (ISO-27001)

• Activo:Cualquier valor cuantificable de naturaleza material o inmaterial de una organizacin

15. Amenaza:Factor de riesgo externo representado por un peligro latente asociado a un fenmeno natural, tecnolgico o humano, pudiendo manifestarse en un sitio especfico por un tiempo determinado, produciendo efectos adversos a personas o bienes

16. Vulnerabilidad:Factor de riesgo interno de un sistema expuesto a una amenaza, y se corresponde con su predisposicin intrnseca a ser afectado o susceptible de dao 17. Riesgo:Probabilidad de que una amenaza explote una vulnerabilidad 18. Impacto:Cuantificacin del dao ocasionado una vez materializada la amenaza 19. Test de intrusin (III) Colecciones y catlogos devulnerabilidades

CWE ( Common Weakness Enumeration )

Cataloga ms de 600 entradas dividas en: vulnerabilidades de configuracin, de cdigo y de entorno.

20. Es la clasificacin usada por CVE ( Common Vulnerabilities and Exposures ). NVD ( National Vulnerability Database )

Desarrollada por el Instituto Nacional de Estndares y Tecnologa Norteamericano (NIST)

21. Define 23 tipos de vulnerabilidades. OWASP ( Open Web Application Security Project )

Coleccin de 24 tipos vulnerabilidades centrada exclusivamente en la seguridad de aplicaciones web.

SAMATE (Software Assurance Metrics and Tool Evaluation)

Desarrollada y mantenida por el NIST

22. Centrada en los errores de codificacin de aplicaticiones (buffer overflow, etc) 23. Tipos de tests de intrusin (I) White box pentest

• Se posee un amplio conocimiento de la organizacin(estructura, departamentos, responsabilidades)y de la red(topologa, dispositivos, SS.OO., bases de datos, IDS, firewalls, ...)

24. Se cuenta con colaboracin del personal y con acceso a los recursos de la empresa.

25. Simula un atacante con conocimiento exhaustivo del sistema 26. Anlisis interno

Desde el punto de vista de un administrador o usuario que cuentan con acceso (privilegiado o no) al sistema

27. Puede ser muy extenso (alcance muy amplio) y minucioso (se dispone de un conocimiento completo) 28. Tipos de tests de intrusin (II) Black box pentest

• No hay conocimiento previo de la organizacin o la red

• Slo se dispone de informacin pblicamente accesible

Pocas personas de la organizacin saben que esta ser atacada. 29. Simulacin ms realista de un ataque autntico 30. Puede ser muy costoso(tiempo[recopilacin info.] + personal entrenado) Grey box pentest(c ombina los anteriores)

• Usa tcnicas de un atacante real (black box) con conocimiento del sistema analizado (white box)

Tests de intrusin especficos

• Servicios/aplicaciones web, bases de datos, wireless, ...

31. Las tareas y pasos concretos a seguir varan ligeramente en cada tipo

32. Tipos de tests de intrusin (III) Otra visin:

• Conocimiento del atacantevsconocimiento del atacado

33.

Metodologas de Pen Test (I)

Test de penetracin supone definir y ejecutar multitud de tareas muy complejas y variadas => necesidad de guias

• Metodologas que definan y organicen los procedimientos a ejecutar para mantener la coherencia en las acciones a realizar

Open Source Security Testing Methodology Manual (OSSTMM)

• Metodologa del ISECOM para la realizacin de evaluaciones de seguridad, incluidos test de penetracin

34. Metodologa Open Source, disponible enhttp://www.osstmm.org

35. Define, organiza y secuencia las tareas y comprobaciones a realizar para analizar 3 aspectos (alcance) de la seguridad:

COMMSEC ( communication security ): redes y transferencia de datos

36. PHYSEC ( physical security ): personal y equipos fsicos 37. SPECSEC ( spectrum security ): comunicaciones wireless Entre esos pasos/tareas/comprobaciones se incluye un marco para la realizacin de tests de penetracin 38.

Metodologas de Pen Test (II)

ISSAF( Information Systems Security Assessment Framework )

Framework del OISSG ( Open Information Systems Security Group ) que define procediemientos de aseguramiento y comprobacin de la seguridad incluidopen testing

39. Web:http://www.oissg.org/ OWASP Testing Guide de OWASP

Framework del proyectoOpen Web Application Security Project (OWASP)exclusivamente dedicado a seguridad de aplicaciones web.

40. Web:http://www.owasp.org/ 41. Productos:

Guia de desarrollo y testing de aplicaciones webhttp://www.owasp.org/index.php/OWASP_Guide_Project

Define listas de comprobaciones en un test de intrusin web

Top 10 de amenazas webhttp://www.owasp.org/index.php/OWASP_Top_Ten_Project 42. Fases y tareas tpicas

Recopilacin de informacin

• Etapa 1: Rastreo

43. Etapa 2: Exploracin

Informe final del test

Informe tcnico.

Resumen del proceso realizado

44. Clasificacin de las vulnerabilidades encontradas y su nivel (alto, medio, bajo) 45. Propuesta de correcciones y sugerencia de buenas prcticasInforme ejecutivo.

Anlisis de datos

• Etapa 3: Enumeracin

Explotacin

• Etapa 4: Acceso

46. Etapa 5: Escalada de privilegios

47. Etapa 6: Dao 48. Etapa 7: Borrado de huellas 49. Fases y tareas tpicas (I) Etapa 1: Rastreo

Obtener informacin del sistema/organizacin/red/mquina bajo anlisis

Nombres de dominio, direcciones IP, nombres de usuarios, responsables,

50. Bases de datos pblicas:whois, RIPE, DNS, 51. Buscadores

Genricos:Google hacking, bing hacking, ...

52. Especficos:Goolag( http://www.goolag.org ),KartOO( http://kartoo.org ) Herramientas genricas de gestin de red:dig, nslookup,... 53. Herramientas especficas:FOCA (anlisis metadatos) ,Maltego 54. Fases y tareas tpicas (II) Etapa 2: Exploracin

Analizar el sistema objetivo para identificar servicios activos, mquinas disponibles, recursos/dispositivos de red (routers, firewalls, ...), sistema operativo, ...

Herramientas genricas de gestin de red:ping, traceroute,...

55. Herramientas especficas

escneres de puertos:nmap, hping3, xprobe, ...

56. Fases y tareas tpicas (III) Etapa 3: Enumeracin

Pruebas y tests para identificar recursos especficos y sus caractersticas concretas

Identificar SS.OO., sus versiones y parches de seguridad (service packs, etc)

57. Versiones concretas de servicios/aplicaciones 58. Cuentas de usuario vlidas 59. Herramientas especficas

Escneres puertos e identificadores de servicios:nmap, xprobe...

60. Escneres de vulnerabilidades:nessus, openvas, 61. Escneres de vuknerabilidades especficos:w3af(escaner de wulnerabilidades web) 62. Fases y tareas tpicas (IV) Etapa 4: Acceso Obtener un acceso no autorizado o no previsto a alguno/s de los recursos o servicios identificados en el sistema objetivo.

Rotura de contraseas

Por fuerza bruta, ataques de diccionario (Rainbow tables), prueba de contraseas por defecto o contrseas dbiles

63. Herramientas:THC hydra, John the Ripper, Abel and Cain,... Sniffing/escucha de contraseas o datos sensibles:wireshark, tcpdump, ettercap, ... 64. Inyeccin de trfico: ettercap, dnsniff, sslsniff, ... 65. Explotacin de vulnerabilidades especficas de las versiones concretas de los servicios/recursos identificados.

Exploits especficos:http://milw0rm.com

66. Herramientas automatizacin exploits: Metasploit, CORE Impact, SAINTexploit 67. Uso de valores de entrada no previstos

fuzzers : exploraciones exhaustiva automatizada de los posibles datos de entrada, buscando (a ciegas) situaciones no previstas

68. Fases y tareas tpicas (V) Etapa 5: Escalada de privilegios Obtener control completo del sistema, adquiriendo (y manteniendo) permisos, credenciales y privilegios propios de los administradores.

• Objetivo:Validar si para el supuesto atacante sera posible adquirir privilegios que le permitieran ejecutar acciones maliciosas o acceder a datos restringidos.

69. Suele requerir incluir cdigo especfico en el sistema objetivo ( payload ) que permitan realizar determinadas acciones:

Normalmente ofrecen algn tipo de acceso remoto al mismo (habilitanpuertas traseras ):

abrir shells del sistema con privilegios (bash), habilitar conexiones de escritorio remoto (VNC),...

Explotacin de vulnerabilidades especficas de las versiones concretas de los servicios/recursos identificados.

Exploits especficos:http://milw0rm.com

70. Herramientas automatizacin exploits:Metasploit, Core Impact 71. Puertas traseras:BackOrifice,LCP 5.0 72. Fases y tareas tpicas (VI) Etapa 6: Dao

Valorar y evaluar la capacidad del atacante que ha escalado privilegios derealizar acciones maliciosas que causen dao:

Daos posibles:

Acceso a datos confidenciales

Robo de informacin

73. Alteracin de informacin: datos protegidos, pginas web, ... Denegacin de servicio (DoS)

Imposibilitar el acceso o uso de determinados componentes del sistema a sus usuarios legtimos.

Extensin del ataque

Evaluar la posibilidad de usar el sistema controlado como punto de partida para iniciar ataques a otras parte del propio sistema objetivo o a sistemas ajenos

74. Fases y tareas tpicas (VII) Etapa 7: Borrado de huellas

Verificar hasta que punto el potencial atacante tendra capacidad de eliminar el rastro de sus acciones maliciosas y mantener su control del sistema de forma permanente sin ser detectado.

Objetivo:Eliminacin de los registros y logs que contengan informacin que releve la existencia del ataque y que pudiera ser de utilidad en un anlisis forense o una auditora de seguridad.

75. Distribuciones GNU/Linux parapen testing BackTrack 4

Live-cd con multitud de herramientas de anlisis de seguridad preconfiguradas.

76. Orientado principalmente a tests de intrusin. 77. Herramientas organizadas en 11 categorias que se corresponden con las fases tpicas de una intrusin. 78. Web:http://www.backtrack-linux.org/ Otras distribuciones:

Pentoo[web:http://www.pentoo.ch/ ]

79. DVL ( damm vulnerable linux )[web: http://www.damnvulnerablelinux.org/ ]

ejercicios de intrusin, sistemas vulnerables para pruebas,...

Digital Forensics Reverse Engineering Voice Over IP Information Gathering Network Mapping Vulnerability Identification Web Application Analysis Radio Network Analysis (802.11,Bluetooth,Rfid) Penetration (Exploit & Social Engineering Toolkit) Privilege Escalation Maintaining Access