Penetration Testing / Ethical Hacking

SENCICO 2005

Penetration Testing / Ethical Hacking

Alonso Eduardo Caballero Quezada

http://[email protected]

Octubre 5, 2005Trujillo - Perú

Alonso Eduardo Caballero Quezada / Penetration Testing

SENCICO 2005

El “hacking” en la Actualidad

* No se tiene un cabal conocimiento de la amenaza

* Dos grandes problemas:

- Las amenazas en seguridad de computadoras no es un riesgo suficiente para justificar fondos de medidas proactivas.

- Inadecuado conocimiento de la complejidad de lo que seguridad de computadoras realmente es y cuales son los recursos adecuados para defenderse.

http://www.zone-h.org - http://www.sans.org/top20/


SENCICO 2005


Datos de CERT: http://www.cert.org - Reporte Anual 2003

542754 mensajes y más de 934 llamadas reportando incidentes de seguridad o solicitando información.

3784 Reportes de vulnerabilidades y manejado 137529 incidentes en seguridad de computadoras.

http://www.cert.org/stats/


SENCICO 2005


Datos de CSI: http://www.gocsi.com/ -CSI/FBI Survey

Computer Security Institute

http://www.gocsi.com/forms/fbi/csi_fbi_survey.jhtml - FBI2004.pdf


SENCICO 2005

Conociendo al “Hacker”

* No se debe de guiar por estereotipos.

* La sociedad da al “Hacker” una connotación negativa.

* Categorizar a los “hackers” de la tecnología es complicado, dadas sus refinadas especializaciones;

- S.Os particulares GNU/Linux, Windows, etc..

- Aplicaciones individuales; servidores web, firewalls, etc..

- Tipos particulares de ataques; DoS, Web Hacks

* Pocos se especializan en mas de un tópico, pero solo un selecto grupo se especializa en todos.


SENCICO 2005

Conociendo al “Hacker”

* “Hackers” de Primer Grado; Habilidad para encontrar vulnerabildiades y crear código para explotarlas, Amplios conocimientos del modelo OSI, pila TCP, Programar es una pasión. Trabajan independientemente o una red de grupos de “hack”.

* “Hackers” de Segundo Grado; Nivel equivalente a un administrador de sistemas, Experimentación de S.Os, entendimiento de TCP/IP, La mayoría de consultores cae en éste rango.

* “Hackers” de Tercer Grado; Denominados scriptkiddies, “hackean” por hobby, y buscan notoriedad, Son fáciles de identificar y atrapar, No necesariamente se relacionan con la informática.


SENCICO 2005

Conociendo al Consultor en Seguridad

* Penetration testing;

- Pueden tener serias consecuencias si no son realizadas adecuadamente.

- Potenciales problemas legales. Se debe llegar a un acuerdo antes de que los “tests” se inicien.

- El “tester” debe tener un “salvoconducto” y un acuerdo firmado con la empresa, autorizandolo para “ingresar” a la organización.

- Fase inicial involucra identificación de software y hardware, si se “tercerizan” servicios, obtener los permisos pertinentes.


SENCICO 2005


* Consultor “FreeLance”

- Habilidades; Mayores a un Administrador de Sistemas

- Conocimientos; Familiaridad Tecnológica, Funcionamiento, S.Os, TCP/IP Networking. Programación.

- Herramientas; & scripts para trabajar sobre diferentes S.Os

- Hardware; Maquina Potente, LapTop, Maquina Virtual.

- Historial; Documentar procedimientos del PT. Información del cliente es confidencial.

- Etica; El cliente debe sentir seguridad y confiabilidad. La verdad debe ser protegida.


SENCICO 2005


* ¿Anunciado o No Anunciado?

- Anunciado; Cooperación y conocimiento del staff IT.

No Anunciado; Infraestructura de Seguridad y responsables.

- Pros; (AT) permiten comprobar los controles de seguridad. Apoyo del IT permite Concentrarse en los puntos mas criticos. (UT) requiere acercamiento más sutil, identificar y comprometer, bajo vigilancia. “test” más valioso.

Contras; (AT) permite cerrar “agujeros” rapidamente, cambios temporales, añadir más seguridad. falsa sensación de seguridad. (UT) desconocimiento bloquea el “test”, reportar autoridades. “upgrades”, tiempo offline.

- Documentar el “compromiso”.


SENCICO 2005

¿Donde se localizan los “agujeros”?

* Errores de configuración o “pobre” programación.* Deben ser identificados; - Cerrar los “agujeros” y aprender a mitigiar el riesgo. - Algunos “agujeros” son faciles de identificar y explotar.* Irrumpir en los sistemas es relativamente facil.* “Ventana de oportunidad” / Publicación del “Parche”.* Errores de configuración crean un riesgo. Servicios innecesarios.* Mantener un sistema actualizado significa un 80% a 90% de “agujeros” cerrados.* Las vulnerabilidades permiten un ataque directo, u obtener información para el ataque.


SENCICO 2005


The Twenty Most Critical Internet Security Vulnerabilities http://www.sans.org/top20/ - Version 5.0 October 8, 2004

Vulnerabilidades para Sistemas Windows (Top 10)

* Web Servers & services* Workstations services* Windows Remote Access Services* Microsoft SQL Server (MsSQL)* Windows Authentification* Web Browsers* File Sharing Applications* LSAS Exposures* Mail client* Instant Messaging


SENCICO 2005


The Twenty Most Critical Internet Security Vulnerabilities http://www.sans.org/top20/ - Version 5.0 October 8, 2004

Vulnerabilidades para Sistemas UNIX (Top 10)

* BIND Domain Name System* Web Server* Authentication* Version Control Systems* Mail Transport Service* Simple Network Management Protocol (SNMP)* Open Source Socket Layer (SLL)* Misconfiguration of Enterprise Services NIS/NFS* DataBases* Kernel


SENCICO 2005

“Penetration” desde internet

* Enumeración de la Red; Descubrir tanto como sea posible del objetivo.

Internic - http://www.internic.net/whois.htmlNIC Perú - http://www.nic.pe/registros-existentes.htm


SENCICO 2005


- Transferencia de Zona;

- CentralOps.net; http://centralops.net/co/

- Comandos; nslookup, dig, host.


SENCICO 2005


- Barridos de PING

- El host puede estar apagado - El Tráfico ICMP esta siendo filtrado. - O la petición de PING no alcanza su objetivo.

- TracerRoute

- Trazar ruta hacia los hosts objetivos - Identificación de gateways, routers, firewalls, dispositivos de balanceo de carga.

Domain Dossier - http://tatumweb.com/iptools.htm


SENCICO 2005


* Analisis de Vulnerabilidades;

- Identificación del S.O: RFC respuestas de la Pila TCP, predecir detección mediante servicios disponibles. El posible manipular la “firma” del SO.

Request For Comments -http://www.rfc-editor.org/ namp - http://www.insecure.org/nmap/

- “Escaneo” de Puertos: Diferentes tipos de “scan”; herramienta nmap por excelencia; Hay que tener cuidado para evitar la detección del proceso. Puertos TCP, UDP, etc. SYN stealth, connect, Null scan, etc.

xprobe2 - http://www.sys-security.com/


SENCICO 2005


- Enumeración de Aplicaciones; resultado del “escaneo” tenemos una lista de puertos en las maquinas objetivo. Es necesario conocer que aplicaciones están a la escucha en dichos puertos.

RCF 1700 – Assigned Numbers http://www.faqs.org/rfcs/rfc1700.html

- nmap Parámetro “sV” - THC-AMAPhttp://thc.org/thc-amap/

- Investigación en internet; consultar Bds de vulnerabilidades, documentar y proceder a “explotarlas”.


SENCICO 2005

“Penetration” desde dentro.

* Las organizaciones se concentran en las amenazas externas, o no ponen énfasis en las amenazas internas.

* Las estadísticas muestran que una gran cantidad de ataques provienen del interior.

* Los usuarios han pasado los controles físicos.

* “Penetration Testing” interno, ayuda a identificar los recursos que son internamente vulnerables, y asiste al Administrador para solucionarlos.

* PT interno es similar al externo, con ligeras variaciones en la metodología.


SENCICO 2005

“Penetration” desde dentro.

* Escenarios: Auditor Maligno, Empleado descontento, deshonesto

* Descubrir la Red: Mapeo, identificación, exploits.

* Sistemas Windows: Dominios, servidores, recursos de Red.

* Sistemas *NIX: Servicios, versiones, BOF.

* Buscando exploits: Fiabilidad de exploits.

* Sniffing: Capturar tráfico que viaja en nuestro segmento de red.

* Instalando un “toolkit” de “hackers”: Escalar privilegios.

* “Escaneo” de Vulnerabilidades: Internamente.


SENCICO 2005

Ingeniería Social

* Permite “pasar” los mecanismos de seguridad de la red, sin necesidad de un script o herramienta de “hack”.

- El teléfono; Comúnmente, fingir como un miembro de soporte técnico, o un usuario contrario solicitando cambio de contraseña.

- Información de escritorio; Notas pegadas en el monitor, sin protector de pantalla & clave.

- Contra medidas; Identificación Plena, no revelación de información sensible por medios inseguros, destrucción adecuada de la “basura.”

The Art of Deception - Kevin Mitnick


SENCICO 2005

Métodos para *NIX

* Servicios; Estrategia es explotar los

servicios disponibles, servicios inetd,

servicios remotos, RPC.

* Buffer overflow; Remotos o Locales.

Cambian el flujo de la ejecución y

ejecutar código del atacante

* Permisos de Archivos; SUID / SGID, Muchos exploits son escritos para tomar ventaja de ellos.

Security.Nnov - http://www.security.nnov.ru/


SENCICO 2005

Métodos para *NIX

* Aplicaciones; Servidores de Correo,

Servidores Web, Xwindow,

Servidores DNS

* Desconfiguraciones; servicios innecesarios activados, archivos CoreDump, archivos de logs. SUID/SGID, permisos erroneos.

* Herramientas *nix; redireccionadores TCP, fpipe, tcpr, tcpredirector (gui), Mapeo de Red, CHEOPS, etherape; Acceso a recursos SMB smbclient.

cheops - http://www.marko.net/cheops/

etherape - http://etherape.sourceforge.net/


SENCICO 2005

El Kit de herramientas

* Hardware; - Maquina de escritorio o Laptop. - No indicado para almacenar datos críticos. - Alto requerimientos de Procesamiento y Memoria.

* Software; - Distribución GNU/Linux y algún Windows. - El S.O tiene que ser configurable, flexible y permitir el uso de las herramientas requeridas.- La mayoria de herramientas de la comunidad “blackhat” son desarrolladas para GNU/Linux.

* Maquinas virtuales;


SENCICO 2005

“scanners” de Vulnerabilidades

* “scanners” Basados en Red y en “Host”. - “NBS”, Intentan hallar las vulnerabilidades desde fuera. - “HBS”, Intentan hallar las vulnerabilidades desde dentro. - Son complementarios, es efecto su utilización cuando se “testean” sistemas críticos.

* Herramientas; - ¿Cual es el mejor “escaner”? - Depende del S.O - Su Velocidad. - Depende de la utilización, y de las características que se necesitan.


SENCICO 2005


* “scanners” Basados en Red.

- Metasploit - http://www.metasploit.com

Plataforma OpenSource para desarrollar, “testear” y usar código de “exploit”.

- Nessus - http://www.nessus.org/

Proporciona un “scanner” Remoto de Vulnerabilidades, libre, poderoso, actualizable y fácil de utilizar.

- Core Impact - http://www.coresecurity.com

Primer Producto automatizado de “penetration testing”, para determinar las amenezas específicas en una organización.


SENCICO 2005


* “scanners” Basados en Red. - Immnutity CANVAS - http://www.immunitysec.com/

Software que permite probar a la organización, permitiendo descubrir cuan vulnerable se esta realmente.

* “scanners” Basados en Host. - System Scanner - http://www.iss.net Manejador de Vulnerabilidades Basado en Host. Determinando la seguridad, monitoreando, detectando y reportando la actividad.

- Bastille - http://www.bastille-linux.org/

Permite Fortalecer los sistemas como una parte vital de seguridad.


SENCICO 2005

Herramientas de “Hallazgo”

* Network Management Software - http://www.solarwinds.net/ ToolSets; Análisis / Diagnóstico.* SamsSpade - http://www.samspade.org/ssw/ consultas abus.net / “Listas Negras” / Analisis de Cabeceras, etc.* HPING2 - http://www.hping.org/

PING con esteroides. Crear paquetes IP conteniendo TCP, UDP o ICMP, modificación y control de cabeceras.* VisualRoute - http://www.visualroute.com/

Permite determinar problemas de conectividad debido al ISP, internet, resaltando puntos de red donde el problema reside.* nmap - http://www.insecure.org/nmap/

Mapeador de Redes OpenSource, permite explorar la red o auditar la seguridad.


ISENCICO 2005

“scanners” de Puertos

* nmap - http://www.insecure.org/nmap/ El mas avanzado scanner de puertos de la industria. Funciona bajo GNU/Linux y es Portable. Soporta docenas de ténicas avanzadas, Puede “escanear” cientos/miles de maquinas, Fácil de usar, “Scans” ocultos, especificar puertos origen. Sus reportes son confiables, buena documentación de uso.Y es “libre”

* SuperScan - http://www.foundstone.com/

Windows 9X/2000. Rápido y configurable, pero no realiza “scans” ocultos, o algun tipo de “scaneo” más avanzado.


SENCICO 2005

Sniffers

* dsniff - http://www.monkey.org/~dugsong/dsniff/ Excelente para “interceptar” claves en una red, e-mails y tráfico HTTP.

* ethereal - http://www.ethereal.com/ Un analizador de tráfico de red. Utilizado por profesionales para localizar averias, analisis, y desarrollo de software y protocolos. Anilisis Multiplataforma.

* Iris Network Traffic - http://www.eeye.com/html/products/iris/index.html Integra capacidades de filtrado, decodificación y reconstrucción de datos a su formato origen.


SENCICO 2005

“Romper” Contraseñas

* John The Ripper - http://www.openwall.com/john/

DES, MD5, Blowfish, Kerberos /AFS, hash ML (basado DES)Adicionalmente, NTLM (basado MD4), hashes MySQL, Netscape LDAP, eggdrop, etc.

* LC - http://www.atstake.com/products/lc/

Utiliza “Tabla de contraseñas Pre-Computadas”, reduciendo el tiempo de recuperación de contraseñas. Indicado para entornos WIndows.

* Password Recovery Software - http://www.elcomsoft.com/prs.html

MS Office; Archivos comprimidos, zip, rar, etc; WordPerfect, Clientes de correo, The Bat, Eudora, etc; messenger, ICQ, etc...


SENCICO 2005

Herramientas para Windows.

* net; utiliza NetBIOS para mapear y establecer conecciones a recursos compartidos.

* nbtstat; Obtiene la tabla de nombre del servidor objetivo.

* NT Resource Kit Utilities; Conjunto de herramientas de software para administradores, desarrolladores, y usuarios que permite manejar, Active Directory, Politicas de Grupo, Redes TCP/IP, Registro, Seguridad, etc.

* NetBIOS Audit Tool; Herramienta automatizada para ataque por fuerza bruta.

* netcat, fpipe, fport, etc. Free Tools - http://www.foundstone.com/


SENCICO 2005

Herramientas para “Web-testing”

* Nikto - http://www.cirt.net/code/nikto.shtml

“scanner” de servidores web, Open Source realiza completos “test” en servidores web, buscando masde 3200 vulnerabilidades.

* WebInspect - http://www.spidynamics.com/

Identifica vulnerabilidades conocidas y desconocidas dentro de la capa de aplicación web.

* N-Stealth Security Scanner - http://www.nstalker.com/

Incluye una base de Datos de 30000 vulnerabilidades y exploits.

* THC-hydra - http://thc.org/thc-hydra/

Obtener “logins” validos, HTTP Auth, POP3, FTP, etc.


SENCICO 2005

Control Remoto

* RealVNC - http://www.realvnc.com

Virtual Network Computing; Software de Control

Remoto que permite ver e interactuar con una computadora “Servidor” utilizando un simple programa “Cliente” en otra computadora.

* BO2K - http://www.bo2k.com/

Poderosa herramienta de administración de redes disponible para entornos Microsoft. Algunas características, atrapador de teclado, edición de registro, transferencia de archivos, redirección de conecciones TCP/IP, acceso a programas de consola, reboot remoto, etc..


SENCICO 2005

IDS - Intrusion Detection Systems

* Un IDS se desarrolla con sensores dispersos en la red, los cuales reportan alertas a un control central.

* Vigila el tráfico de red en busca de “firmas” o “patrones”, cuando son localizadas, alertas son notificadas, e-mail, sms, etc.

* Basado en “Host” y Basado en Red;

- NBIDS; vigila el tráfico de la red, DoS, “escaneo” de Puertos,etc.

- HIDS; Vigila y protege un solo “host”, busca evidencia de actividad inusual sobre o contra el “host”. Intentos de “login”, acceso a archivos, etc.


SENCICO 2005


* Evadir el IDS;

- Sea Paciente; Periodos de tiempo.

- Este Quieto; Limitar el tráfico contra el objetivo.

- Hagalo manualmente;

- Usar Direcciones IP múltiples o no rastreables.

- Usar Fragmentación IP. Firmas son rotas en múltiples paquetes.

+ “Escaneo” de Puerto Oculto.

+ Técnicas Agresivas;


SENCICO 2005


* SNORT - http://www.snort.org/

Reconocido como el estándar de facto para detección de intrusiones y prevención. Poder, precisión y fiabilidad aunado a un robusto lenguaje de reglas permite una cobertura mas amplia a las amenazas en organizaciones.

* RealSecurre Network - http://www.iss.net/

Capacidades de Respuesta, vigila segmentos de redes 10/100 Mbps con un “framework” centralizado de operaciones y mantenimiento.


SENCICO 2005

Firewalls - Cortafuegos

* Monitorea el trafico de la red y permite o impide el tráfico basado en un conjunto de reglas.

* Se ubican generalmente en el perímetro de la organización, protegiendola de la internet, o segmentos de red menos seguras.

* Errado concepto de que es la única solución para proteger las redes.

* Deben ser configurados adecuadamente y con un conjunto de reglas constantemente actualizado ante nuevas vulnerabilidades, y detectar actividad sospechosa.

* El “monitoreo” puede ser activo o pasivo. (similiar a los IDS)


SENCICO 2005


* El firewall debe ser el sistema de identificación temprana.

* Debe ser configurado para “registrar” toda la actividad y proporcionar alertas, vía e-mail, sms, etc..

* Bloquear todo, y permitir lo necesario. Política por defecto.

* Tipos:

- Filtrado de Paquetes; Direcciones IP, Puertos O/D, ACL.

- Inspección de Estado; “busca” dentro del paquete. + Seguridad

- Basados en Proxy; + Seguro, pero no ofrece la misma performance; no hay conección directa, el proxy la realiza.


SENCICO 2005


* IPTables - http://www.netfilter.org/

FrameWork que permite filtrado de paquetes, NAT, etc. Tabla estructurada para la definición de conjuntos de reglas.

* Firewall-1 - http://www.checkpoint.com/

Integra tecnología inteligente de inspección, para protección de red y capa de aplicación.

* Firewalls “Físicos”

Juniper Networks Firewall / Cisco PIX Security Appliance Series


SENCICO 2005

DoS - Ataques “Denial of Service”

* Resource Exhaustion Attacks; ocupar tanto como sea posible los recursos disponibles de un servicio, aplicación o S.O. Para que no este disponible y pueda procesar mas datos.

* Port Flooding; Agotar disponibilidad del objetivo para establecer conecciones en un puerto.

* SYN Flooding; Envío de múltiples mensajes TCP SYN sin intención de responder con un ACK.

* IP Fragmention Attacks; Creación de paquete de gran tamaño y enviarlo en fragmentos que al ser “ensamblados” es muy grande para manejarlo (servidor o aplicación), causando una “caida”.

* DDoS.

Alonso Eduardo Caballero Quezada / Seguridad & Penetration Testing

SENCICO 2005

Tendencias a Futuro (Presente)

* Pishing; Envío de mensajes electrónicas fraudulentos.

* SPAM; Correo electrónico NO Solicitado.

* DDoS; Ataque a una computadora o Redes, perdiendo conectividad de red y servicios.

* Buffer OverFlow;

* Spyware; Software Malicioso, que intercepta o toma control parcial sin el consentimiento del usuario; Kazaa, Gator, flashget, etc..

* Worms / virus; Sasser, MyDoom, Blaster, etc..

* etc., etc., etc..


SENCICO 2005

Estandares

* ISO 17799 - http://www.iso17799software.com

Sistema de Controles que abarca las mejores Prácticas de Seguridad de La Información. Incluye Un código de Práctica la ISO17799 y una especificación para un sistema de manejo de seguridad de la información. BS7799[2]

* OSSTMM - Open Source Security Testing Methodology Manual - http://www.isecom.org/osstmm/

Metodología para realizar “pruebas” y métricas de Seguridad, dividido en cinco secciones. Se enfoca en los detalles técnicos de cuales “items” que necesitan ser probados, que hacer, antes, durante y después del “test” de seguridad, y como medir los resultados.

Muchas Gracias...

Alonso Eduardo Caballero Quezada

http://[email protected]

Octubre 5, 2005Trujillo - Perú


SENCICO 2005

Technology

Penetration Testing / Ethical Hacking