Scribd Logo
Carica

Benvenuto in Scribd!

  • Pen Testing

    Caricato da

    Gina Quelal
    151 visualizzazioni31 pagine

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formati disponibili

    PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Scarica in formato PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    151 visualizzazioni31 pagine

    Pen Testing

    Caricato da

    Gina Quelal

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Scarica in formato PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 31

    Penetration Test

    Metodologas & Usos


    Lic. Luis Ramrez lramirez@cybsec.com 18 de Noviembre de 2009 Asuncin, Paraguay

    Metodologa y Usos de los PenTest


    Agenda

    Introduccin Seguridad Informtica en los Sistemas Objetivos, Tipos y Alcances Etapas de un Proyecto Casos Reales Conclusiones

    Introduccin

    3 3

    Metodologa y Usos de los PenTest


    Introduccin

    Qu es un PenTest ?
    Es un conjunto de metodologas y tcnicas que permiten realizar una evaluacin integral de las debilidades de los sistemas informticos. Consiste en un modelo que reproduce intentos de acceso de un potencial intruso desde los diferentes puntos de entrada que existan, tanto internos como remotos, a cualquier entorno Informtico. Permite detectar vulnerabilidades en los Sistemas Informticos y corregirlas en forma rpida y eficaz. A los PenTest tambin se los denomina Hacking tico o Test de Intrusin.
    4

    La Seguridad Informtica en los Sistemas

    5 5

    Metodologa y Usos de los PenTest


    La Seguridad Informtica en los Sistemas

    La Seguridad Informtica es Dinmica.

    Esto conlleva a la constante actualizacin de los sistemas y conocimientos necesarios para afrontar los nuevos riesgos que aparecen con las distintas vulnerabilidades.

    Metodologa y Usos de los PenTest


    La Seguridad Informtica en los Sistemas

    Cmo hacen los intrusos para ingresar en los sistemas?


    Definitivamente, no como en las pelculas. Los intrusos aprovechan vulnerabilidades de seguridad, descuidos, y configuraciones inseguras para ingresar en forma no autorizada. El nivel de seguridad informtica global de toda una instalacin es igual al componente de menor nivel de seguridad.

    Metodologa y Usos de los PenTest


    La Seguridad Informtica en los Sistemas

    Incidentes de Seguridad Informtica en Paraguay

    Ataques a pginas web de Paraguay, la mayora de ellas de tipo Defacements.

    http://www.zone-h.org/ 8

    Objetivos, Tipos & Alcances

    Metodologa y Usos de los PenTest


    Objetivos, Tipos & Alcances

    Objetivos de un PenTest:
    Evaluar un proyecto o sistema Mejora continua de seguridad Conocer la situacin real de la Organizacin Medir y obtener una calificacin objetiva del nivel de seguridad Cumplir con regulaciones (MCIIEF, PCI, SOX, etc.) y auditoras

    10

    Metodologa y Usos de los PenTest


    Objetivos, Tipos & Alcances

    El PenTest permite demostrar los riesgos funcionales de las vulnerabilidades detectadas:


    La versin de Apache utilizada es susceptible a problemas de Buffer Overflow. Esto permiti acceder con privilegios de administrador al servidor UNIX que sirve de soporte a SAP. Con este nivel de acceso, es posible ocasionar una Denegacin de Servicio y hasta el fraude o prdida de informacin crtica para la compaa. Se detectaron recursos compartidos en estaciones de trabajo con permisos de lectura para Everyone. En los mismos se hallaron planillas Excel con los usuarios y contraseas de diversos sistemas, entre ellos las bases de datos de Pagos y Ventas On-Line

    11

    Metodologa y Usos de los PenTest


    Objetivos, Tipos & Alcances

    Metodologa de una intrusin


    Los ataques pueden ser perpetrados en forma Externa o Interna.
    Servidores Internos

    Los ataques externos son ms fciles de detectar y repeler que los ataques internos. El intruso interno ya tiene acceso a la red interna o incluso al mismo Server que quiere atacar.

    Barreras de Proteccin

    12

    Metodologa y Usos de los PenTest


    Objetivos, Tipos & Alcances

    La composicin del PenTest se define a travs del alcance del mismo. ste debe concretarse en reuniones previas; puede tener un alcance amplio y cubrir toda la organizacin, o puede ser focalizado sobre un determinado sistema o equipo, por ejemplo un sistema de Home Banking conectado a Internet. Tambin se define en esta instancia el tiempo de ejecucin. El PenTest debe ser una foto que refleje el estado de la seguridad informtica de las instalaciones, por lo tanto, los proyectos de este tipo no suelen extenderse a ms de 1 mes.
    13

    Metodologa y Usos de los PenTest


    Objetivos, Tipos & Alcances

    En forma general, y de acuerdo al alcance, los proyectos de PenTest pueden categorizarse en: Externos. Internos. Aplicacin Web Wireless Black-Box Grey-Box White-Box

    Metodologas

    14

    Metodologa y Usos de los PenTest


    Objetivos, Tipos & Alcances

    PenTest Externo
    Durante su ejecucin se somete a los sistemas a pruebas de seguridad informtica que simulan las que se producen durante la realizacin de un ataque y/o intento de intrusin desde afuera de la instalacin. Algunas de las actividades principales pueden ser: Barrido de lneas telefnicas. Anlisis del sistema de acceso remoto. Situacin de la seguridad perimetral y en la conexin a Internet. Seguridad en la conexin con otras redes. Seguridad en aplicaciones Web. Pruebas de ingeniera social.
    15

    Metodologa y Usos de los PenTest


    Objetivos, Tipos & Alcances

    PenTest Interno
    Durante su ejecucin se somete a los sistemas a pruebas de seguridad informtica que simulan las que se producen durante la realizacin de un ataque y/o intento de intrusin desde dentro de la instalacin. Algunas de las actividades principales pueden ser: Seguridad Seguridad Seguridad Seguridad Seguridad Seguridad en los dispositivos de red Internos. de los principales servidores. general de las estaciones de trabajo. de las aplicaciones. en las Bases de Datos en redes inalmbricas.

    16

    Etapas de un Proyecto

    17 17

    Metodologa y Usos de los PenTest


    Etapas de un Proyecto

    18

    Metodologa y Usos de los PenTest


    Etapas de un Proyecto

    Cmo se realiza un PenTest?


    Se utiliza una metodologa de evaluacin informtica que incluye cuatro grandes etapas: 1) 2) 3) 4) Descubrimiento Exploracin Evaluacin Intrusin de seguridad

    Si bien el orden de las etapas no es arbitrario, en muchos casos se paralelizan o adelantan tareas dependiendo de las caractersticas de la plataforma evaluada.

    19

    Metodologa y Usos de los PenTest


    Etapas de un Proyecto

    Etapa de Descubrimiento
    Se centra en entender los riesgos del negocio asociado al uso de los activos informticos involucrados. Se realizan investigaciones tratando de recolectar informacin pblica sobre la plataforma tecnolgica del cliente. Incluye todas las pruebas para detectar las conexiones de la Empresa a Internet, la evaluacin de servicios de DNS externos, la determinacin de rangos de direcciones IP, rangos telefnicos y sitios web, y la identificacin de instalaciones fsicas.

    20

    Metodologa y Usos de los PenTest


    Etapas de un Proyecto

    Etapa de Exploracin
    Se busca focalizar los objetivos para las posteriores etapas de Evaluacin e Intrusin. En esta etapa se aplican tcnicas no identificar todos los potenciales blancos. intrusivas para

    Incluye el anlisis de protocolos, relevamiento de plataforma y barreras de proteccin, scanning telefnico, scanning de puertos TCP y UDP, deteccin remota de servicios y sistemas operativos, anlisis de banners y bsqueda de aplicaciones web.

    21

    Metodologa y Usos de los PenTest


    Etapas de un Proyecto

    Etapa de Evaluacin
    Se basa en el anlisis de todos los datos encontrados para la deteccin y determinacin de vulnerabilidades de seguridad informtica que afectan a los sistemas evaluados. Durante esta etapa se realizan las evaluaciones de seguridad en todos los posibles niveles. Se pueden llegar a correlacionar vulnerabilidades, que de forma separada tienen un nivel de riesgo bajo.

    22

    Metodologa y Usos de los PenTest


    Etapas de un Proyecto

    Etapa de Intrusin
    Se focaliza en realizar pruebas de los controles de seguridad y ataques por medio de secuencias controladas a las vulnerabilidades propias de los sistemas identificados. Aqu se utiliza el conocimiento adquirido en etapas previas para buscar alternativas que permitan acceder a los sistemas y obtener el control de los mismos. Es en esta fase donde se prueba la eficiencia del equipo que lleva a cabo el PenTest.

    23

    Metodologa y Usos de los PenTest


    Etapas de un Proyecto

    A nivel mundial PenTesting:

    existen

    estndares

    relacionados

    con

    BS 7799 e ISO 27001 Open Source Security Testing Methodology Manual (OSSTMM)
    Open Web Application Security Project (OWASP) Best Practices in Computer Security Federal Information System Controls Audit Manual (FISCAM)

    Regulaciones Locales que exigen Pentesting: Manual de Control Interno Informtico para Entidades Financieras
    (MCIIEF) Resolucin BCP SB.SG. N 00179/2005 PCI Requiere PenTest Ext/Int, Scannings trimestrales y PenTest wireless.
    24

    Casos Reales

    25 25

    Metodologa y Usos de los PenTest


    Casos Reales

    Empresa A - Paraguay
    En un Pentest Interno se tom el control del servidor de CCTV pudiendo obtener control total de las camaras conectadas a ese servidor

    Empresa B Argentina
    Se logro capturar trafico conversaciones telefnicas. de VoIP y escuchar las

    Empresa C Paraguay
    Se explot una vulnerabilidad en un software que almacena en forma protegida las contraseas. Mediante esto se pudo tener acceso a todas las contraseas de todos los equipos de la compaa.
    26

    Metodologa y Usos de los PenTest


    Casos Reales

    Empresa D - Argentina
    En un Pentest Externo a una empresa farmacutica, se logr explotar una vulnerabilidad de upload de archivos para ejecutar cdigo arbitrario en un servidor Web. Luego, se utilizaron tcnicas para elevar privilegios y tomar el control de ese servidor y se crackearon las contraseas de los usuarios. Desde all y aprovechando una mala configuracin del Firewall de la DMZ, se accedio a la LAN y se pudo acceder a otros servidores con las mismas contraseas que el primer servidor. En definitiva, desde Internet se logr acceso al disco local del Gerente General, en donde se encontr un archivo de backup de su Blackberry, que entre otras cosas tena la clave de su t b i !!!

    27

    Metodologa y Usos de los PenTest


    Casos Reales

    Empresas en General
    Equipos con falta de parches de seguridad instalados. Equipos con usuarios y contraseas triviales. Equipos con programas DEMO e instalaciones por defecto en Sistemas en Produccin.

    28

    Metodologa y Usos de los PenTest


    Conclusiones

    Conclusiones
    El PenTest nos permite conocer el nivel de seguridad informtico de nuestra red, sistemas y personas, analizndolo desde los distintos ngulos de operacin de un posible atacante. Es conveniente realizar PenTests peridicos, llevados a cabo por profesionales altamente especializados. Los sistemas crticos (ERPs, CRMs, etc) deben ser evaluados, ya que un ataque a los mismos puede resultar altamente perjudicial para la organizacin. La capacitacin del personal no tcnico es clave para la proteccin frente a los nuevos ataques.

    29

    Preguntas

    Gracias por acompaarnos.


    Lic. Luis Ramrez lramirez@cybsec.com

    Potrebbero piacerti anche