Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Introduccin Seguridad Informtica en los Sistemas Objetivos, Tipos y Alcances Etapas de un Proyecto Casos Reales Conclusiones
Introduccin
3 3
Qu es un PenTest ?
Es un conjunto de metodologas y tcnicas que permiten realizar una evaluacin integral de las debilidades de los sistemas informticos. Consiste en un modelo que reproduce intentos de acceso de un potencial intruso desde los diferentes puntos de entrada que existan, tanto internos como remotos, a cualquier entorno Informtico. Permite detectar vulnerabilidades en los Sistemas Informticos y corregirlas en forma rpida y eficaz. A los PenTest tambin se los denomina Hacking tico o Test de Intrusin.
4
5 5
Esto conlleva a la constante actualizacin de los sistemas y conocimientos necesarios para afrontar los nuevos riesgos que aparecen con las distintas vulnerabilidades.
http://www.zone-h.org/ 8
Objetivos de un PenTest:
Evaluar un proyecto o sistema Mejora continua de seguridad Conocer la situacin real de la Organizacin Medir y obtener una calificacin objetiva del nivel de seguridad Cumplir con regulaciones (MCIIEF, PCI, SOX, etc.) y auditoras
10
11
Los ataques externos son ms fciles de detectar y repeler que los ataques internos. El intruso interno ya tiene acceso a la red interna o incluso al mismo Server que quiere atacar.
Barreras de Proteccin
12
La composicin del PenTest se define a travs del alcance del mismo. ste debe concretarse en reuniones previas; puede tener un alcance amplio y cubrir toda la organizacin, o puede ser focalizado sobre un determinado sistema o equipo, por ejemplo un sistema de Home Banking conectado a Internet. Tambin se define en esta instancia el tiempo de ejecucin. El PenTest debe ser una foto que refleje el estado de la seguridad informtica de las instalaciones, por lo tanto, los proyectos de este tipo no suelen extenderse a ms de 1 mes.
13
En forma general, y de acuerdo al alcance, los proyectos de PenTest pueden categorizarse en: Externos. Internos. Aplicacin Web Wireless Black-Box Grey-Box White-Box
Metodologas
14
PenTest Externo
Durante su ejecucin se somete a los sistemas a pruebas de seguridad informtica que simulan las que se producen durante la realizacin de un ataque y/o intento de intrusin desde afuera de la instalacin. Algunas de las actividades principales pueden ser: Barrido de lneas telefnicas. Anlisis del sistema de acceso remoto. Situacin de la seguridad perimetral y en la conexin a Internet. Seguridad en la conexin con otras redes. Seguridad en aplicaciones Web. Pruebas de ingeniera social.
15
PenTest Interno
Durante su ejecucin se somete a los sistemas a pruebas de seguridad informtica que simulan las que se producen durante la realizacin de un ataque y/o intento de intrusin desde dentro de la instalacin. Algunas de las actividades principales pueden ser: Seguridad Seguridad Seguridad Seguridad Seguridad Seguridad en los dispositivos de red Internos. de los principales servidores. general de las estaciones de trabajo. de las aplicaciones. en las Bases de Datos en redes inalmbricas.
16
Etapas de un Proyecto
17 17
18
Si bien el orden de las etapas no es arbitrario, en muchos casos se paralelizan o adelantan tareas dependiendo de las caractersticas de la plataforma evaluada.
19
Etapa de Descubrimiento
Se centra en entender los riesgos del negocio asociado al uso de los activos informticos involucrados. Se realizan investigaciones tratando de recolectar informacin pblica sobre la plataforma tecnolgica del cliente. Incluye todas las pruebas para detectar las conexiones de la Empresa a Internet, la evaluacin de servicios de DNS externos, la determinacin de rangos de direcciones IP, rangos telefnicos y sitios web, y la identificacin de instalaciones fsicas.
20
Etapa de Exploracin
Se busca focalizar los objetivos para las posteriores etapas de Evaluacin e Intrusin. En esta etapa se aplican tcnicas no identificar todos los potenciales blancos. intrusivas para
Incluye el anlisis de protocolos, relevamiento de plataforma y barreras de proteccin, scanning telefnico, scanning de puertos TCP y UDP, deteccin remota de servicios y sistemas operativos, anlisis de banners y bsqueda de aplicaciones web.
21
Etapa de Evaluacin
Se basa en el anlisis de todos los datos encontrados para la deteccin y determinacin de vulnerabilidades de seguridad informtica que afectan a los sistemas evaluados. Durante esta etapa se realizan las evaluaciones de seguridad en todos los posibles niveles. Se pueden llegar a correlacionar vulnerabilidades, que de forma separada tienen un nivel de riesgo bajo.
22
Etapa de Intrusin
Se focaliza en realizar pruebas de los controles de seguridad y ataques por medio de secuencias controladas a las vulnerabilidades propias de los sistemas identificados. Aqu se utiliza el conocimiento adquirido en etapas previas para buscar alternativas que permitan acceder a los sistemas y obtener el control de los mismos. Es en esta fase donde se prueba la eficiencia del equipo que lleva a cabo el PenTest.
23
existen
estndares
relacionados
con
BS 7799 e ISO 27001 Open Source Security Testing Methodology Manual (OSSTMM)
Open Web Application Security Project (OWASP) Best Practices in Computer Security Federal Information System Controls Audit Manual (FISCAM)
Regulaciones Locales que exigen Pentesting: Manual de Control Interno Informtico para Entidades Financieras
(MCIIEF) Resolucin BCP SB.SG. N 00179/2005 PCI Requiere PenTest Ext/Int, Scannings trimestrales y PenTest wireless.
24
Casos Reales
25 25
Empresa A - Paraguay
En un Pentest Interno se tom el control del servidor de CCTV pudiendo obtener control total de las camaras conectadas a ese servidor
Empresa B Argentina
Se logro capturar trafico conversaciones telefnicas. de VoIP y escuchar las
Empresa C Paraguay
Se explot una vulnerabilidad en un software que almacena en forma protegida las contraseas. Mediante esto se pudo tener acceso a todas las contraseas de todos los equipos de la compaa.
26
Empresa D - Argentina
En un Pentest Externo a una empresa farmacutica, se logr explotar una vulnerabilidad de upload de archivos para ejecutar cdigo arbitrario en un servidor Web. Luego, se utilizaron tcnicas para elevar privilegios y tomar el control de ese servidor y se crackearon las contraseas de los usuarios. Desde all y aprovechando una mala configuracin del Firewall de la DMZ, se accedio a la LAN y se pudo acceder a otros servidores con las mismas contraseas que el primer servidor. En definitiva, desde Internet se logr acceso al disco local del Gerente General, en donde se encontr un archivo de backup de su Blackberry, que entre otras cosas tena la clave de su t b i !!!
27
Empresas en General
Equipos con falta de parches de seguridad instalados. Equipos con usuarios y contraseas triviales. Equipos con programas DEMO e instalaciones por defecto en Sistemas en Produccin.
28
Conclusiones
El PenTest nos permite conocer el nivel de seguridad informtico de nuestra red, sistemas y personas, analizndolo desde los distintos ngulos de operacin de un posible atacante. Es conveniente realizar PenTests peridicos, llevados a cabo por profesionales altamente especializados. Los sistemas crticos (ERPs, CRMs, etc) deben ser evaluados, ya que un ataque a los mismos puede resultar altamente perjudicial para la organizacin. La capacitacin del personal no tcnico es clave para la proteccin frente a los nuevos ataques.
29
Preguntas