Penetration Test

Transcripción

Penetration Test

Penetration Test
Metodologías
&
Usos
Lic. Luis Ramírez
[email protected]
18 de Noviembre de 2009
Asunción, Paraguay
Metodología y Usos de los PenTest
Agenda
• Introducción
• Seguridad Informática en los Sistemas
• Objetivos, Tipos y Alcances
• Etapas de un Proyecto
• Casos Reales
• Conclusiones
2
Introducción
•3
3
Introducción
¿ Qué es un PenTest ?
Es un conjunto de metodologías y técnicas que permiten
realizar una evaluación integral de las debilidades de los
sistemas informáticos.
Consiste en un modelo que reproduce intentos de acceso de un
potencial intruso desde los diferentes puntos de entrada que
existan, tanto internos como remotos, a cualquier entorno
Informático.
Permite
detectar
vulnerabilidades
en
los
Sistemas
Informáticos y corregirlas en forma rápida y eficaz.
A los PenTest también se los denomina Hacking Ético o Test
de Intrusión.
4
La Seguridad
Informática en los
Sistemas
•5
5
La Seguridad Informática en los Sistemas
La Seguridad Informática es Dinámica.
Esto conlleva a la constante actualización de los sistemas y
conocimientos necesarios para afrontar los nuevos riesgos
que aparecen con las distintas vulnerabilidades.
6
Cómo hacen los intrusos para ingresar en los
sistemas?
Definitivamente, no como en las películas.
Los intrusos aprovechan vulnerabilidades
de seguridad, descuidos, y configuraciones
inseguras para ingresar en forma no
autorizada.
“El nivel de seguridad informática global de toda una instalación
es igual al componente de menor nivel de seguridad”.
7
Incidentes de Seguridad Informática en Paraguay
Ataques a páginas
web de Paraguay, la
mayoría de ellas de
tipo “Defacements”.
http://www.zone-h.org/
8
Objetivos, Tipos
& Alcances
9
Objetivos, Tipos & Alcances
Objetivos de un PenTest:
• Evaluar un proyecto o sistema
• Mejora continua de seguridad
• Conocer la situación real de la Organización
• Medir y obtener una calificación objetiva del nivel de
seguridad
• Cumplir con regulaciones (MCIIEF, PCI, SOX, etc.) y
auditorías
10
El PenTest permite demostrar los riesgos funcionales de las
vulnerabilidades detectadas:
•
“La versión de Apache utilizada es susceptible a problemas de
Buffer Overflow.
Esto permitió acceder con privilegios de
administrador al servidor UNIX que sirve de soporte a SAP.
Con este nivel de acceso, es posible ocasionar una
Denegación de Servicio y hasta el fraude o pérdida de
información crítica para la compañía.”
•
“Se detectaron recursos compartidos en estaciones de trabajo
con permisos de lectura para Everyone. En los mismos se
hallaron planillas Excel con los usuarios y contraseñas de
diversos sistemas, entre ellos las bases de datos de Pagos y
Ventas On-Line”
11
Metodología de una intrusión
Los ataques pueden ser perpetrados
en forma Externa o Interna.
Los ataques externos son más
fáciles de detectar y repeler que
los ataques internos. El intruso
interno ya tiene acceso a la red
interna o incluso al mismo
Server que quiere atacar.
Servidores
Internos
Barreras de
Protección
12
La composición del PenTest se define a través del alcance del
mismo.
Éste debe concretarse en reuniones previas; puede tener un
alcance amplio y cubrir toda la organización, o puede ser
focalizado sobre un determinado sistema o equipo, por ejemplo
un sistema de Home Banking conectado a Internet.
También se define en esta instancia el tiempo de ejecución. El
PenTest debe ser una “foto” que refleje el estado de la
seguridad informática de las instalaciones, por lo tanto, los
proyectos de este tipo no suelen extenderse a más de 1 mes.
13
En forma general, y de acuerdo al alcance, los proyectos de
PenTest pueden categorizarse en:
Externos.
Internos.
Aplicación Web
Wireless
Metodologías
• Black-Box
• Grey-Box
• White-Box
14
PenTest Externo
Durante su ejecución se somete a los sistemas a pruebas de
seguridad informática que simulan las que se producen
durante la realización de un ataque y/o intento de intrusión
desde afuera de la instalación. Algunas de las actividades
principales pueden ser:
• Barrido de líneas telefónicas.
• Análisis del sistema de acceso remoto.
• Situación de la seguridad perimetral y en la conexión a
Internet.
• Seguridad en la conexión con otras redes.
• Seguridad en aplicaciones Web.
• Pruebas de ingeniería social.
15
PenTest Interno
Durante su ejecución se somete a los sistemas a pruebas de
seguridad informática que simulan las que se producen
durante la realización de un ataque y/o intento de intrusión
desde dentro de la instalación. Algunas de las actividades
principales pueden ser:
•
•
•
•
•
•
Seguridad
Seguridad
Seguridad
Seguridad
Seguridad
Seguridad
en los dispositivos de red Internos.
de los principales servidores.
general de las estaciones de trabajo.
de las aplicaciones.
en las Bases de Datos
en redes inalámbricas.
16
Etapas de un
Proyecto
•17
17
Etapas de un Proyecto
18
¿Cómo se realiza un PenTest?
Se utiliza una metodología de evaluación
informática que incluye cuatro grandes etapas:
1)
2)
3)
4)
de
seguridad
Descubrimiento
Exploración
Evaluación
Intrusión
Si bien el orden de las etapas no es arbitrario, en muchos
casos se paralelizan o adelantan tareas dependiendo de las
características de la plataforma evaluada.
19
Etapa de Descubrimiento
Se centra en entender los riesgos del negocio asociado al uso
de los activos informáticos involucrados.
Se realizan investigaciones tratando de recolectar información
pública sobre la plataforma tecnológica del cliente.
Incluye todas las pruebas para detectar las conexiones de la
Empresa a Internet, la evaluación de servicios de DNS
externos, la determinación de rangos de direcciones IP, rangos
telefónicos y sitios web, y la identificación de instalaciones
físicas.
20
Etapa de Exploración
Se busca focalizar los objetivos para las posteriores etapas
de Evaluación e Intrusión.
En esta etapa se aplican técnicas no
identificar todos los potenciales blancos.
intrusivas
para
Incluye el análisis de protocolos, relevamiento de plataforma y
barreras de protección, scanning telefónico, scanning de
puertos TCP y UDP, detección remota de servicios y sistemas
operativos, análisis de banners y búsqueda de aplicaciones
web.
21
Etapa de Evaluación
Se basa en el análisis de todos los datos encontrados para la
detección y determinación de vulnerabilidades de seguridad
informática que afectan a los sistemas evaluados.
Durante esta etapa se realizan las evaluaciones de seguridad
en todos los posibles niveles.
Se pueden llegar a correlacionar vulnerabilidades, que de
forma separada tienen un nivel de riesgo bajo.
22
Etapa de Intrusión
Se focaliza en realizar pruebas de los controles de seguridad y
ataques por medio de secuencias controladas a las
vulnerabilidades propias de los sistemas identificados.
Aquí se utiliza el conocimiento adquirido en etapas previas
para buscar alternativas que permitan acceder a los sistemas
y obtener el control de los mismos.
Es en esta fase donde se prueba la eficiencia del equipo que
lleva a cabo el PenTest.
23
A nivel mundial
PenTesting:
existen
estándares
relacionados
con
• BS 7799 e ISO 27001
• Open Source Security Testing Methodology Manual (OSSTMM)
•
•
•
Open Web Application Security Project (OWASP)
Best Practices in Computer Security
Federal Information System Controls Audit Manual (FISCAM)
Regulaciones Locales que exigen Pentesting:
• Manual de Control Interno Informático para Entidades Financieras
(MCIIEF)
• Resolución BCP SB.SG. N° 00179/2005
• PCI – Requiere PenTest Ext/Int, Scannings trimestrales y PenTest
wireless.
24
Casos Reales
•25
25
Casos Reales
Empresa A - Paraguay
• En un Pentest Interno se tomó el control del servidor de
CCTV pudiendo obtener control total de las camaras
conectadas a ese servidor
Empresa B – Argentina
• Se logro capturar trafico
conversaciones telefónicas.
de
VoIP
y
escuchar
las
Empresa C – Paraguay
• Se explotó una vulnerabilidad en un software que almacena
en forma protegida las contraseñas. Mediante esto se pudo
tener acceso a todas las contraseñas de todos los equipos de
la compañía.
26
Casos Reales
Empresa D - Argentina
• En un Pentest Externo a una empresa farmacéutica, se logró
explotar una vulnerabilidad de “upload” de archivos para
ejecutar código arbitrario en un servidor Web.
• Luego, se utilizaron técnicas para elevar privilegios y tomar
el control de ese servidor y se “crackearon” las contraseñas de
los usuarios.
• Desde allí y aprovechando una mala configuración del
Firewall de la DMZ, se accedio a la LAN y se pudo acceder a
otros servidores con las mismas contraseñas que el primer
servidor.
• En definitiva, desde Internet se logró acceso al disco local del
Gerente General, en donde se encontró un archivo de backup de
su Blackberry, que entre otras cosas tenía la clave de su
t b
i !!!
27
Casos Reales
Empresas en General
• Equipos con falta de parches de seguridad instalados.
• Equipos con usuarios y contraseñas triviales.
• Equipos con programas DEMO e instalaciones por defecto en
Sistemas en Producción.
28
Conclusiones
Conclusiones
El PenTest nos permite conocer el nivel de seguridad
informático de nuestra red, sistemas y personas, analizándolo
desde los distintos ángulos de operación de un posible atacante.
Es conveniente realizar PenTests periódicos, llevados a cabo
por profesionales altamente especializados.
Los sistemas críticos (ERP’s, CRM’s, etc) deben ser evaluados,
ya que un ataque a los mismos puede resultar altamente
perjudicial para la organización.
La capacitación del personal no técnico es clave para la
protección frente a los nuevos ataques.
29
Preguntas
Gracias por
acompañarnos.
Lic. Luis Ramírez
[email protected]

Penetration Test

Transcripción

Documentos relacionados

Test de intrusión - IES Gonzalo Nazareno

Catálogo en Pdf

Ethical Hacking Seminar