perimetro: la realidad supera a la ficción

Transcripción

1 Disección de un ciberataque al perimetro: la realidad supera a la ficción Armando Enrique Carvajal Rodríguez Gerente Arquitecto de Seguridad de la información Globaltek Security S. A. Master en seguridad informática Universidad Oberta de Catalunya Especialista en construcción de software para redes Uniandes Ing. Sistemas Universidad Incca de Colombia

2 Tipo de charla: Operativo Resúmen: Generar conciencia de prevención en los asistentes, mostrando pruebas de penetración básicas mediante exploits de Windows y fuerza bruta SSH sobre una arquitectura de red en internet basados en la estrategia de caja negra para la IP del dominio lacositarica.dyndns work.com, finalmente se hará remediación a los servidores críticos para que fallen las pruebas de penetración y no se pueda concretar el ciberataque

3

4 Objetivos de la charla Diferenciar los conceptos ciberespacio, ciberataque, ciberguerra, cibercrimen, ciberdefensa y ciberterror Diferenciar un APT de las herramientas de penetración de fallas Diferenciar i el análisis i de vulnerabilidades d del hacking ético Entender como se hace una prueba de penetración al perímetro para evitar ciberataques Penetrar un servidor de aplicaciones Linux y extraer el código fuente de las aplicaciones PHP Penetrar un servidor Windows y extraerle información sensible Endurecimiento con un HIDS como OSSEC

5 Ciberespacio: Quinto dominio de guerra Ciberespacio: Ámbito artificial creado por medios informáticos (Real academia Española) La palabra proviene del griego cibernético (κσβερνήτης) piloto o timón usado por el matemático Norbert Wiener para describir la tecnología de sistemas de control El Pentagono crea este concepto como el quinto dominio de guerra despues de tierra, mar, aire y espacio

6 Ciberataque, ciberguerra Ciberataque: No esta definido en RAE, son las iniciativas que toma un cibercriminal para vencer al adversario Ciberguerra: No esta definido en RAE, se entiende como el conjunto de ciberataques lanzados por los cibercriminales patrocinados por gobiernos enemigos en el ciberespacio

7 cibercrimen y ciberdefensa Cibercrimen: No esta definido en RAE, describe las actividades en donde computadores y redes son parte de actos criminales Ciberdefensa: No esta definido en RAE, son las medidas proactivas (SGSI) )y reactivas (CSIRT) de diferentes tipos como las políticas (Conpes), legales (Ley 1273), administrativas (gobierno en línea) y técnicas (SFC) que toman los gobiernos para proteger los sistemas de información y la infraestructura nacional de comunicaciones contra ciberataques

8 Ciberterror Es la convergencia entre el terrorismo y el ciberespacio Son las amenazas y ataques contra la infraestructura informática y la información de un gobierno o empresa Causan daño a sistemas críticos para buscar el pánico financiero y detrás de este la desestabilización de un gobierno No lo queremos sentir pero el ciberespacio esta bajo constante ataque en todo momento Por el momento el carro bomba representa una mayor amenaza que la bomba b lógica. DorothyE. Denning

10 Que es una APT? Theactions of an organized group thatt has unauthorized Access toand manipulates information systems and communications to steal valuable information for a multiple of purposes [3] Tomado de: Hacking Exposed 7, Stuart McClure, Mc Graw Gill, 2012, ISBN: , página 315 Las APT no son un único malware, no es una única actividad específica Representan campañas de actividades coordinadas y destinadas a alcanzar un objetivo que cumple un propósito, ya sea competitiva, financiera o de daño ala reputación de una organización Es una forma de espionaje que facilita el acceso no autorizado a los activos digitales de una organización

11 Término APT: APT: El término fue inventado por los analistas de la fuerza aerea de los EEUU en 2006 (hace casi 7 años ) Advanced: El atacante conoce métodos de ciberataque, es capaz de crear exploits y usa herramientas personalizadas por el mismo Persistent: El atacante tiene objetivos a largo plazo y trabaja para alcanzar sus objetivos sin ser detectado Threat: El atacante es organizado, está financiado y tiene alto grado de motivación aunado a la oportunidad de ser omnipresente Usan intensivamente los correos spear phishing phishing

12 Evolución de los ciberataques Tomado de: [1] IX CICLO DE CONFERENCIAS UPM TASSI, CIBERDEFENSA, Juan Carlos BATANERO, 6 Marzo 2013, Madrid, España

13 Fases de un ataque APT [1]

14 Protección tradicional contra las APT La Línea Maginot (en francés: Ligne Maginot) fue una línea de fortificación y defensa construida por Francia a lo largo de su frontera con Alemania e Italia, después del fin de la Primera Guerra Mundial. El término Línea Maginot se usa indistintamente para referirse al sistema completo de fortificaciones, o exclusivamente para referirse a lasdefensas contra Alemania, en cuyo caso las defensas contra Italia suelen llamarse Línea Alpina. Frente a ella se hallaba la línea fortificada alemana conocida como Línea Sigfrido (Tomado de : Wikipedia)

16 Es lo mismo el análisis de vulnerabilidades (AV) que el hacking ético (HE)? En el mercado Colombiano alguien puede cobrar COL$2M por un hacking ético a una IP/URL Pero entrega un reporte de análisis de vulnerabilidades de COL$50 mil por IP/URL se ve confusion con esos términos El AV es parte del hacking etico, en el HE se penetran o se aprovechan las vulnerabilidades/fallas y las demuestra con evidencias escritas El HE puede hacer denegación del servicio El HE va más allá del AV pues evalúa vulnerabilidades por ingeniería social, acceso físico, redes wireless, etc

17 Hacking Ético: Pruebas básicas Penetración o explotación de las vulnerabilidades de red y aplicaciones hasta donde se pueda de las fallas identificadas y analizadas mediante estrategias de Caja Negra, Caja Gris o Caja blanca Evaluación de la fortaleza de las claves de los diferentes access points/routers de las redes inalámbricas Captura en algunos segmentos de la red de las claves en texto en claro de los usuarios y sus servicios mediante un sniffer

18 Hacking Ético: Pruebas básicas Captura de transacciones de algunos PC de la red mediante key logger en hardware y software Evaluación de la fortaleza de las claves que usan los usuarios en los diferentes servidores windows Evaluación de la fortaleza de las claves que usan los usuarios en los diferentes servidores Linux La superfinanciera pide análisis de vulnerabilidades y pruebas de penetración por lo menos dos veces al año Eso es hacking ético básico y fundamental

19 Hacking Ético: Ingeniería Social Generación de un portal clon de la organización para capturar claves y usuarios del portal en mención Envío de malware mediante invitación de un URL en correos electrónicos a algunos usuarios de la red y generación de estadísticas de cuantos se contaminaron por no cumplir las políticas de antimalware Entrega de memorias USB o CD(s) con software malicioso a los usuarios para medir cuantos violan las políticas de antimalware de la organización al no pasarla por un sistema antimaware Divulgación de información confidencial por medio de llamadas telefónicas, web 2.0 y correos electrónicos Suplantación de personal de la empresa (técnico, auditor, etc.) Recolección de información de impresoras y escritorios limpios

20 Hacking Ético: Seguridad Física Evalúa ingreso físico no autorizado Estudio de inteligencia para entrar a la construcción por parqueaderos, casas vecinas o construcciones aledañas Cámaras de vigilancia y revisión de su eficacia Concreto: No puede valer lo mismo un análisis de vulnerabilidades que un hacking ético Se deben crear unos RFP o términos de referencia si quiero Hacking Etico

22 Pruebas de penetración a una arquitectura de red basada en la estrategia de caja negra para la IP Pública del dominio lacositarica.dyndns-work.com [4] Importante ley 1273 de 2009: La IP lacositarica.dyndns work.com está autorizada explícitamente por el autor de este texto para QUE CUALQUIER PERSONA pueda hacer estas pruebas de carácter académico que buscan demostrar pruebas de conceptos (PoC) que detectan vulnerabilidades y factibilidad de penetración Esto es el resultado académico de pruebas en la universidad id dupb

23 Paso 1: Reconocimiento de la victima Inicialmente se debe realizar un ping a la IP de la víctima para verificar que este se encuentra supuestamente disponible, esto también permite intuir si existe un mecanismo de protección perimetral adicional como un firewall que pueda impedir la respuesta del ping y hacer que el atacante crea que este servidor está apagado o no existe en la red: # ping lacositarica.dyndns work.com Un servidor Windows configurado como firewall generalmente no responderá a la herramienta ping, un firewall de perímetro podría estar delante del servidor víctima y podría impedir la respuesta del firewall al ping del atacante

24 # ping lacositarica.dyndns-work.com a) Qué respuesta obtiene de la herramienta ping de esta práctica? Respuesta del investigador/auditor: Andress-MacBook-Pro:~ andres$ ping lacositarica.dyndns-work.com PING lacositarica.dyndns-work.com ( ): 56 data bytes Request timeout for icmp_ seq 0 Request timeout for icmp_seq 1 Request timeout for icmp_seq 2 Request timeout for icmp_seq 3 Request timeout for icmp_seq 4 Request timeout for icmp_seq 5 Request timeout for icmp_seq 6 ^C --- lacositarica.dyndns-work.com ping statistics packets transmitted, 0 packets received, 100.0% packet loss

25 b) Explique cómo funciona en TCP/IP el requerimiento ICMP-Request que utiliza la herramienta ping? Respuesta del investigador/auditor: ICMP (Protocolo de mensajes de control de Internet) es un protocolo que permite administrar información relacionada con errores de los equipos en red. Si se tienen en cuenta los escasos controles que lleva a cabo el protocolo IP, ICMP no permite corregir los errores sino que los notifica a los protocolos de capas cercanas.

26 c) Quién es el proveedor de este IP público, tiene un nombre DNS registrado, que herramienta uso para buscar esta información?

27 d) Esta IP está en listas negras de spammers, en que portales buscó esta información?

28 Paso 2: Enumeración de servicios de la víctima Una herramienta útil es nmap pero existen muchas utilidades para hacer exploración de puertos, la idea es enumerar los servicios que la víctima está prestando. La información suministrada puede ayudar a confirmar la supuesta presencia de diferentes servicios en la víctima: # nmap sx O A P0 p lacositarica.dyndns work.com

29 a) Qué servicios está prestando la víctima? Respuesta del investigador/auditor:

30 b) Qué sistema operativo usa el primer servidor víctima según la herramienta nmap, cual es la opción en nmap que averigua el sistema operativo de la victima? Rta: -O A: Linux 2.6.X 3.X

31 Paso 3: Análisis de vulnerabilidades de la víctima Herramienta útiles de licencia libre que usan los auditores e instrusos para buscar fallas son OpenVAS y NexPose, Pero existen otras herramientas comerciales como Saint de saintcorporation, Tenable Nessus, Acunetix, TrsutWave y McaFee entre muchas que permiten hacer un inventario de fallas de la víctima, Muestran su nomenclatura estándar según CVE/Mitre, Muestran el impacto que tendría la explotación de esa falla, Recomiendan como solucionar la vulnerabilidad o falla y mucha mas información valiosa para el atacante o auditor

32 a) Qué fallas externas presenta la víctima? No hay errores o vulnerabilidades graves aprovechables mediante exploits en el portal web lacositarica.dyndns work.com com Los de tipo medio se deben a que el certificado digital del portal es autogenerado y no se le compro a una CA abierta

33 b) Qué herramientas utilizó para buscar las fallasenlavíctima? la Respuesta del investigador/auditor: OpenVAS/NESSUS: SAINT/scan interno: ACUNETIX/interno:

34 Paso 4: Penetración mediante exploits de fallas y claves débiles de administradores Una herramienta útil de licencia libre para hacer exploits es metaesploit, Pero existen muchas herramientas comerciales como saint de rapid7 y la versión comercial de mestasploit, expl0its que automatizan estatarea: tarea:

35 a) A qué fallas logró penetrar en la víctima? A ninguna pues el servidor web no muestra fallas o vulnerabilidades en el perímetro para hacer exploits Pero ssh esta publicado en el puerto 2222 y la clave existe en el diccionario del atacante Respuesta del investigador/auditor: # hydra -e nsr -t 8 -f -l root -P./password.lst lacositarica.dyndns-work.com ssh El diccionario de datos fue extraída de la información suministrada del profesor Armando Carvajal También se probó para el usuario acarvaja

37 Código fuente de programas en el portal: Luego de romper la clave de root (Websense1) por ataque de diccionario Se revisa la carpeta /usr/local/apache2/htdocs Se encuentran todos los programas fuentes en PHP sin cifrar

38 Archivo de datos: Conexión a bases de datos Luego de romper la clave de root por ataque de diccionario Se revisa la carpeta /usr/local/apache2/htdocs Se encuentra el archivo conf/conexión.txt con el usuario administrador d iit d y la clave sistemas para acceder a la base de datos Esto debería estar cifrado!!

39 d) Cuál es la IP real, Mac Address, Mascara de red, Gateway, servidores DNS y nombre del primer servidor penetrado? Respuesta del investigador/auditor:

40 e) Por qué la IP pública lacositarica.dyndns-work.com no es igual a la IP del primer servidor penetrado? Respuesta del investigador/auditor: Porque la interfaz del servidor Linux no está de cara a internet Se debe estar realizando un port forwading de la IP pública hacia la ip puerto 2222 (servicio ssh)

41 g) Qué significa CVE/Mitre en análisis de vulnerabilidades? Respuesta del investigador/auditor: CVE es un diccionario que pone en conocimiento público y en forma ordenada las vulnerabilidades de seguridad de información Identificadores comunes de CVE permiten el intercambio de datos entre los productos de seguridad y proporcionan un punto de referencia para la evaluación de la cobertura de los servicios y herramientas de búsqueda de vulnerabilidades Se desea que al tabular una falla todos los proveedores de herramientas hablen el mismo idioma y código de falla

42 h) Cual es el password del usuario acarvaja del primer servidor hackeado, cuan fuertes son las claves de los usuarios en ese servidor? Respuesta del investigador/auditor: La herramienta "john the ripper" primero usa un ataque de diccionario, si falla, avanza con un ataque por fuerza bruta:./john /etc/shadow Es muy fuerte, pero la clave ya existía en un listado de passwordssuministrado i d para el Si esta clave no está en el diccionario ni siquiera 3 meses después podrá encontrar la clave, a menos que use aceleradores en hardware de 4x4x4 = 64 procesadores

43 Paso 5: Mapa de red de la víctima La información clasificada o confidencial puede estar en cualquier elemento activo de red, en especial computadores personales y hasta en servidores de red Para esta práctica debe hacer un mapa de red de la víctima e identificar el elemento activo de red donde resida un archivo/fichero llamado "porfin.txt", esta pista es crítica para finalizar la práctica Busque un segmento de red donde haya un servidor Microsoft Windows 2003 que comparta archivos e impresoras (puerto 445)... Esto es muy lógico en el mundo real y es lo primero que buscan los ciberdelincuentes

44 a) Cuál es el mapa de red con sus puertos abiertos para las interfaces de red?

45 # nmap -sx -P0 -v -p 80 lacositarica.dyndns- work.com Nmap solo envía al servidor tres paquetes que son: FIN+URG y PUSH, Si el servidor le responde a nmap con un reset o RST entonces el puerto será marcado por el cibertacante como cerrado o no disponible Si nmap no recibe respuesta del servidor (timeout) se asume que esta abierto (El servidor no sabe responder a este error intencional de nmap) OJO: Siempre elsistemaoperativo cierra la conexión si elserviciono esta activo (Es decir envía un RST)

46 Mapa de red de la victima:

48 Análisis de vulnerabilidades del segundo servidor :

49 c) Herramienta que utilizó para hacer el exploit al segundo servidor?

50 e) Qué decía el archivo/fichero de tipo confidencial que reside en el directorio raíz "porfin.txt" del segundo servidor penetrado? Respuesta del investigador/auditor: C:\>type PorFin.txt type PorFin.txt Este es el archivo porfin.txt --- Este es un archivo super confidencial: Tarjeta de credito VISA Vence: 02/16 Banco: Citibank Clave: 9876 Aca termina la prctica con una ultima tarea: Debe cambiar la pagina web de la intranet de esta maquina. Es decir se debe hacer un webdefacement, en particular se debe redireccionar la pgina web local hacia del archivo c:\inetpub\wwwroot Importante: La documentacion paso a paso se debe enviar al correo --- Armando Carvajal <html> <head> <meta http-equiv="refresh" content="8;url=http://www.google.com"> </head> <body> <p><a href="http://www.sophossolutions.com">aquí</a></p> </body> </html>

52 Paso 7: Aseguramiento de los servidores Muestre paso a paso qué software de aseguramiento utilizó (por ejemplo pruebe ossec), como lo instaló, como lo configuró, si se hace un ataque con hydra puede detener el ataque para evitar el acceso remoto por el puerto ssh?

53 Paso 8: Aseguramiento de Aplicaciones web Muestre especificamente que herranienta uso para encontrar fallas en el portal web puerto 80 o si tienen seguridad el 443, por ejemplo nikto, nexpose, acunetix, nessus(pluginweb, paros, etc)?./nikto.pl Tuning x ssl h lacositarica.dyndnswork.com/singlesignon/sso g 2>&1 > nikto lacositarica.txt

54 b) Muestre específicamente en detalle como solucionó las vulnerabilidades de Open Ldap, Apache, PHP y Open SSL halladas?

55 Factor de autenticación adicional: Muestre el resultado de la investigación de cómo incluirle a la aplicación ió web métodos de autenticación ti ió por certificado digital, it huella dactilar, matriz con números, mensajes SMS, tokens de números OTP Descargamos el paquete otp (One Time Password) y lo compilamos para agregarlo como un módulo en el servidor web Apache https://code.google.com/p/mod com/p/mod authn otp/ otp/

56 Factor de autenticación adicional:

57 Factor de autenticación adicional:

58 Se activa en el Smart Phone:

59 Recomendaciones y/o Contramedidas: Seguir Gobierno en línea SGSI[2] Amenazas Aprovechan Vulnerabilidades Protegen de Aumentan Aumentan Exponen Controles Disminuyeni Riesgos Activos Imponen Marcan Impactan si se materializan Aumenta Tienen Requerimientos de seguridad Valor de los Activos

60 Recomendaciones [2]

61 Recomendaciones Configure un HIDS en cada PC y servidor de la red que además integre un detector de rootkits, el antimalware y el agente que chequea la integridad de archivos Configure un Sistema de correlación de eventos SIEM que se hable con el HIDS El SGSI debe estar alineado al negocio mediante el seguimiento de métricas que alimenten un cuadro de mandos No abrir correos spear phishing No abrir documentos y enlaces dentro de estos sin saber a donde me llevan Remueva la captura de datos sensibles que no usará en sus portales

62 Recomendaciones Separación de cargas y roles No olvidar la base fundamental de la AAA: Autenticación, Autorización y Auditoría Controles compensatorios/defensa en profundidad/layering d/l i Adopte mejoras/adaptive enhancement: Si encuentra un error en el portal web active el WAF mientras se remueve la falla, use mas factores de autenticación Administre y anticipe los riesgos (y por lo tanto las fallas) Evolucione las políticas de seguridad No certifique su SGSI si no esta alineado al negocio

63 Recomendaciones Cifre el código fuente de los programas que contienen cadenas de conexión a las bases de datos No es necesario cifrar/ofuscar todo el código fuente, esto si teme que al cifrar se impacte el tiempo de respuesta

64 Donde encuentro más información en profundidad? Windows Forensics Analysis Toolkit, Harlan Carvey, Syngress, 2012, ISBN: Malware Forensics Field Huide for Windows System, Cameron H. Malin, Syngress, 2012, ISBN:

65 Bibliografía [1] IX CICLO DE CONFERENCIAS UPM TASSI, CIBERDEFENSA, Juan Carlos BATANERO, 6 Marzo 2013, Madrid, España [2] METODOLOGÍADE DE CLASIFICACIÓN DE ACTIVOS : MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA, Dic 2010, [3] Hacking Exposed7, Stuart MCl McClure, Mc Graw Gill, 2012, ISBN: [4] UPB, Especialización en seguridad informática, Bucaramanga