Técnicas de Hacking Ético en un Laboratorio de Pentesting Virtualizado

Transcripción

1 Técnicas de Hacking Ético en un Laboratorio de Pentesting Virtualizado Florentino Mendez Gijon Universidad de la Sierra Juárez Adrian Aquino Robles Universidad de la Sierra Juárez Armando Ronquillo Jorge Universidad de la Sierra Juárez José Guillermo Valdez Besares Universidad de la Sierra Juárez Resumen. Este trabajo muestra la implementación de un laboratorio de pentesting virtualizado con la utilización de Kali Linux y Virtual Box donde se instalaron varios sistemas operativos que sirvieron de soporte para instalar servicios de red que fueron los objetivos de ataques de intrusión, siguiendo una metodología ordenada, y utilizando técnicas y herramientas de hacking. Los ataques realizados resultaron exitosos y se pudo probar la efectividad de las herramientas y técnicas de hacking cuando existen vulnerabilidades y debilidades en la configuración de los servicios de red. Palabras clave: Pentesting, Ataques, Amenazas, Kali Linux, Vulnerabilidad, Hacking Ético. 1 Introducción El Hacking Ético es una disciplina que permite evaluar la seguridad de sistemas informáticos a través de la realización de pruebas de penetración y con autorización por parte de la organización propietaria de los sistemas a atacar [1]. Las técnicas de Hacking Ético pueden emplearse también en ambientes virtualizados, pues permiten realizar las pruebas de penetración bajo un ambiente controlado y conocido, además permiten aprender los métodos utilizados por los atacantes maliciosos a sistemas reales. En este trabajo se describe la implementación de un laboratorio de pentesting virtualizado montado en el sistema operativo Kali Linux, y la utilización del software adfa, p. 1, Springer-Verlag Berlin Heidelberg 2011

2 virtualizador Virtual Box, sobre el que se instalaron varios sistemas operativos Linux y Windows con servicios de red a los que se realizaron ataques exitosos, aprovechando vulnerabilidades inherentes y fallos de configuración. Esta implementación se realizó con el objetivo de evaluar la efectividad de ataques informáticos en un entorno virtualizado y evaluar una metodología de pentesting. 2 Marco teórico La seguridad informática se define como un proceso que busca garantizar tres principios en los sistemas informáticos: integridad, disponibilidad y confidencialidad, valiéndose de un conjunto de herramientas, políticas y procedimientos para garantizarlos [2]. Para que un sistema se considere seguro debe garantizar estos tres principios y una forma de conocer las vulnerabilidades susceptibles de ser explotadas por agentes de amenazas que pueden poner en riesgo cualquiera de estos principios, es realizar pruebas de penetración siguiendo un procedimiento ordenado que simule situaciones de ataques reales, a través de las herramientas y procedimientos de hacking, bajo un entorno controlado y con autorización (Hacking Ético). Las pruebas de penetración no se consideran ni auditorías informáticas, ni análisis de riesgos, pues no se evalúa la alineación de la seguridad a determinados estándares y tampoco se evalúa el nivel de impacto que ciertas amenazas pueden causar a los activos (datos) de una organización. Las pruebas de penetración emulan un ataque real a un sistema informático, estos ataques se realizan utilizando una serie de técnicas, herramientas y una metodología dividida en fases de: reconocimiento, escaneo, enumeración, acceso y la generación de reportes [3]. 3 Implementación y pruebas de pentesting 3.1 Entorno de pruebas Para el desarrollo de las pruebas se implementó un entorno virtualizado, con el sistema operativo Kali Linux como sistema base y como virtualizador se utilizó Virtual Box, sobre el que se instalaron diversos sistemas operativos con servicios de red, como HTTP, Samba y MySQL que fueron los objetivos de los ataques lanzados utilizando diversas herramientas contenidas en el sistema operativo base y siguiendo una metodología para hacer pruebas de pentesting; en la Fig. 1 se muestra el entorno de pruebas que se implementó y la configuración de red de cada sistema operativo. En los nodos identificados como Equipo 5 y Equipo 6 se les habilitó un firewall para todas las prueba de pentesting efectuadas, con la finalidad de incrementar la complejidad en la realización de escaneo y reconocimiento. Los sistemas operativos virtualizados instalados fueron varias distribuciones Linux y Windows, algunas de las cuales son distribuciones conocidas como metaesploitables, ya que incluyen vulnerabilidades conocidas para ser explotadas con la finalidad de aprender a través de la puesta en práctica de las diferentes fases de pruebas de pentesting. Las herramientas embebidas y utilizadas en este laboratorio fueron en

3 primer lugar Metasploit que es un framewok que incorpora un conjunto de elementos como exploits, scanners y payloads que permiten realizar una prueba de intrusión cubriendo cada una de las fases, desde la adquisición de información hasta la fase de post-explotación[3]. Se utilizaron también otras herramientas como: Hidra, Armitage, SQLmap, Jhonderiper, Slowris, para envenenamiento de redes y SQL Injection. Fig. 1. Entorno de pruebas 3.2 Pruebas realizadas. Se realizaron un total de siete tipos de ataques a diversas aplicaciones y servicios de red, que siguieron un orden establecido. La primera prueba de intrusión consistió en un ataque de fuerza bruta en la que se explotó un fallo de configuración en el servicio de MySQL al no contar con un mecanismo que evitara un máximo de intentos de login; para este ataque se utilizaron las herramientas Nmap para realizar el reconocimiento del servicio, posteriormente se seleccionó la herramienta Mysql_login del framework Metasploit, en el que se utilizó un script que hace uso de dos diccionarios para obtener las credenciales de acceso al servidor MySQL, en la Fig. 2 se observa el proceso del ataque y la obtención de las credenciales en el intento 1638.

4 Fig. 2. Ataque de fuerza bruta El segundo ataque realizado consistió en explotar una vulnerabilidad en un servidor Samba, utilizando las herramientas: Metasploit y Armitage, además del exploit Usermap_script que ataca una vulnerabilidad específica del servicio Samba y permite tomar el control del sistema mediante la ejecución de un payload para obtener una Shell inversa y realizar una escalada de privilegios hasta posicionarse como superusuario del sistema vulnerado. El proceso de la obtención de la Shell se observa en la Fig. 3. Fig. 3. Ataque a servidor Samba El tercer y cuarto ataque realizado consistió en explotar una vulnerabilidad Cross Site Scripting (XSS) en sus dos modalidades: reflejado y persistente. En este apartado se describe el ataque XSS persistente, para el que se utilizó la herramienta Burp Suite con un Tag Script que permitió alterar la página víctima al permitir la inserción de código malicioso en el formulario de la aplicación, usando los parámetros name y message que son vulnerables al XSS. El código insertado en este ataque permitió insertar una imagen. En la Fig. 4 se observa el proceso de inserción de código.

5 Fig. 4. Inserción de código en la página víctima El quinto ataque realizado consistió en realizar un ataque Man In The Middle (MITM) en una red Ethernet con direccionamiento IPv4, con la técnica ARP Spoofing y la herramienta Arpspoof, en un escenario donde el ruteador, la víctima y el atacante tienen las siguientes direcciones IP respectivamente: , y , a partir de esta información se realiza un envenenamiento de la tabla ARP del ruteador y el equipo víctima para permitir que todo el tráfico del equipo víctima hacia Internet pase primero por el atacante, permitiendo con esto capturar todo el tráfico y visualizar la información no cifrada. Este último proceso se logra con el uso de herramientas especializadas como Drifnet, URLSnarf, y Dssniff. En la Fig. 5 se puede apreciar que en los paquetes 56, 58 y 59, el tráfico de la víctima está circulando a través de la tarjeta de red del atacante. Fig. 5. Captura de tráfico con Wireshark

6 El sexto ataque consistió en un ataque SQL Injection a una página Web, con la herramienta SQLMap, que permitió en primer término, entrar a la base de datos y posteriormente realizar una escalada de privilegios para acceder como un usuario de sistema al equipo objetivo, utilizando el protocolo SSH. En la Fig. 6 se muestra el resultado que arroja la ejecución de la herramienta SQLMap, donde se pueden ver a los usuarios y contraseñas del sistema que fueron probados y permitieron hacer un login exitoso mediante SSH al servidor víctima. Fig. 6. Resultado de la ejecución SQLMap En el séptimo ataque se realizó una denegación de servicio dirigido al puerto 80 del servicio HTTP, en el que se hizo uso de un script denominado Slowris [5]. En la Fig. 7 se muestra la construcción de las peticiones a enviar hacia el servidor objetivo, que consiste en la creación y envío de grandes cantidades de paquetes que permitieron inundar al servidor objetivo para dejarlo fuera de servicio.

7 Fig. 7. Inundación de paquetes con Slowris 4 Resultados La elección de Kali Linux como sistema operativo base en el equipo atacante para la implementación del laboratorio de pentesting resultó adecuada, ya que permitió realizar cada uno de los ataques de manera exitosa utilizando técnicas de Hacking Ético mediante una metodología probada para realizar pruebas de pentesting. La ejecución de cada una de las herramientas utilizadas en las pruebas de intrusión se efectuaron en un equipo de cómputo de características comunes, donde una de las pruebas que demandó mayor uso de recursos fue el ataque de fuerza bruta. Ver Fig. 8. Fig. 8. Consumo de recursos en ataque de fuerza bruta Este laboratorio implementado es posible utilizarlo como plataforma de pruebas y aprendizaje de Hacking Ético sin infringir las normas que regulan la actividad informática, pues las pruebas se realizan en un ambiente controlado y sin afectar sistemas en producción. Las pruebas de concepto descritas en este documento muestran la posibilidad de probar vulnerabilidades reportadas por los organismos, como CVE

8 MITRE [6] y CERT [7] encargados de publicar los incidentes de seguridad más importantes. Para cada una de las pruebas fue necesario usar más de una herramienta, script, exploit y payload para cubrir cada una de las fases de la metodología probada, todos estos elementos usados están embebidos en el sistema operativo Kali Linux. 5 Conclusiones El Hacking Ético es una herramienta que permite probar las medidas de seguridad informática de una organización, mediante pruebas de intrusión a sistemas informáticos. Durante el desarrollo de este proyecto de laboratorio de pentesting se pudo constatar lo fácil que resulta obtener las herramientas para realizar ataques informáticos y si se sigue un orden ya escrito y probado, resulta factible introducirse a sistemas que no cuenten con las medidas de seguridad adecuadas, o que no han sido sometidos a pruebas de intrusión para detectar sus debilidades, lo que permite que usuarios maliciosos exploten las vulnerabilidades existentes y pongan en riesgo los activos (datos) de cualquier organización. Es por ello importante que los responsables de sistemas se entrenen realizando pruebas a los sistemas antes o después de ser implementados y una forma segura de entrenarse es en un entorno virtualizado como el mostrado en este trabajo. 6 Referencias 1. Benchimol, D., (2013) Hacking para principiantes. Primera Edición. Editorial Fox Andina. Buenos Aires, Argentina. 2. Bishop, M.,(2005) Introduction to computer security. First Edition. Addison-Wesley. United States of America. 3. Harris S., (2013) All in one CISSP. Sixth Edition. Mc Graw Hill. United States of America. 4. González, P., (2013) Metasploit para Pentesters. Segunda Edición. Editorial 0xword. Madrid España. 5. Slowloris HTTP DoS Rsnake. (2009) ha.ckers.org security lab [En línea] [Accedido el día 20 Junio del 2014]. 6. Mitre, Mitre. (2013) About CVE. CVE About CVE. [En línea]. U.S.A, disponible en: [Accedido el día 20 Junio del 2014]. 7. Cert, Cert. (2014) Welcome to CERT: About us. The CERT Program: Anticipating and Solving the Nation's Cybersecurity Challenges. [En línea]. [Accedido el día 15 de enero del 2014] 8. Owasp, Owasp.(2013) The Open Web Application Security Project [En línea]. [Accedido el día 15 de enero del 2014] 9. Kennedy, D., O'Gorman, J., Kearns, D., Aharoni, M. (2011) Metasploit: The Penetration Tester's Guide. San Francisco: No Starch Press. 10. Lee, A., (2012) Advanced Penetration Testing for Highly-Secured Environments, The Ulti-mate Security Guide (Primera edición). 35 Livery Street Birmingham B3 2PB, UK:Packt publishing.