Del Penetration Test a la Realidad

Transcripción

1 1

2 MSc. Julio C. Ardita de Mayo de 2004 VII Seminario Iberoamericano de Seguridad en Tecnologías de Información y Comunicaciones La Habana - CUBA 2

3 Temario - Qué es el Penetration Test? - Cuál es la realidad? - Vulnerabilidades de seguridad informática. - Problemas de metodología. - Qué pasa después del PT? - Problemáticas actuales. 3

4 Qué es el Penetration Test? Es un conjunto de metodologías y técnicas de intrusión que aplicadas sobre un sistema en un tiempo determinado cumple con el objetivo de conocer el nivel de seguridad informática real del mismo, detectando y explotando sus vulnerabilidades. Formalmente el Penetration Test es una parte del proceso de seguridad informática de una organización. 4

5 Historia del Penetration Test - Nacimiento del PT - Nueva rama dentro de la seguridad informática - Primeros PT - Apertura de redes - Internet - Posicionamiento de la seguridad informática - Evolución del PT: complejo y completo - Permanente actualización 5

6 Cuál es la realidad del PT? Alta desinformación en las organizaciones. Las organizaciones no están preparadas para recibir los resultados. La valoración del trabajo realizado es muy subjetiva. Las recomendaciones que surgen en los PT en muchos casos no son implementadas. 6

7 Cuál es la realidad del PT? Existe un desconocimiento general sobre la calidad de un PT. No hay estándares para medir un PT. Amplia oferta de servicios de diferentes niveles de calidad. 7

8 Qué incluye el PT? La mayoría de la documentación se centra en Internet. Arin Whois Ping Traceroute Nmap Nessus BID securityfocus Informe 8

9 Qué incluye el PT? PT Externos Módems. Centrales telefónicas. Accesos remotos. Internet. Conexión con sucursales. Otras conexiones externas. Redes wireless. 9

10 Qué incluye el PT? PT Internos Infraestructura de red. Servidores. Aplicaciones. Estaciones de trabajo. Conexión con sucursales. 10

11 Qué incluye el PT? PT más abarcativos: Aplicaciones Web, ERP, SAN, Cámaras, etc. Nuevas técnicas: cross-site-scripting sql-injection buffer-overflow format-strings técnicas anti-ids etc. 11

12 Vulnerabilidades de seguridad y PT Relación entre vulnerabilidades de seguridad informática y los PT. - PT exitosos - Cada cuánto se deben hacer? - Minimizar brecha de seguridad - Aporte de los PT CERT 12

13 Justificación del PT Por qué una organización decide realizar un PT? Conocer la situación real de un sistema y mejorarlo. Demostrar los riesgos existentes. Justificar la obtención de más recursos económicos. Verificar que los mecanismos de seguridad se encuentren funcionando correctamente. Por regulaciones y/o obligación. Como un seguro para poder cubrirse ante auditorías. Para poder dormir a la noche. 13

14 Qué es lo que la organización espera del PT? Formalmente la organización espera conocer los riesgos a los cuales se ven sometidos sus sistemas informáticos. Maduración en relación a la seguridad informática. Salvo algunos casos, las organizaciones esperan que los resultados del PT sean positivos para ellos. La mayoría de las veces las organizaciones no están preparadas para recibir malos resultados. 14

15 Cómo es visto el PT dentro de la organización? Diferentes visiones. Area que contrató el PT. Normalmente se genera una competencia entre la organización y la empresa que realiza el PT. Medición de conocimientos. La gran mayoría de las veces, el PT genera mucho nuevo trabajo. 15

16 Qué pasa luego del PT? Nueva problemática: la correcta aplicación de las recomendaciones emanadas de los informes. Del dicho al hecho hay un gran trecho. Redacción de recomendaciones fuera de contexto. Implementación área de Seg. Inf. implementa. área de Seg. Inf. controla al área técnica. Plan de implementación. 16

17 Qué pasa luego del PT? Meses despúes, se han aplicado las recomendaciones propuestas? Excusas reales: No hay recursos humanos suficientes. No se pueden probar los cambios en entorno de prueba (porque no existe). No se puede realizar un upgrade de versiones (el proveedor confirmó que la aplicación deja de funcionar). No hay recursos económicos. Etc. El resultado final es que sólo se aplican los cambios que implican un alto riesgo. 17

18 Qué pasa luego del PT? Clasificación de todos los problemas encontrados con dos variables: Nivel de riesgo Alto Medio Bajo Posibilidad de resolución Inmediata A corto plazo A mediano plazo A largo plazo Jugando con estas dos variables para cada problema detectado en el PT, se puede hacer una clasificación y un orden de implementación. 18

19 Cómo medir la calidad de un PT? Es muy difícil. No existen estándares ni organismos controlantes. Los factores principales que inciden en la calidad son: Conocimiento del equipo que realiza el PT. Experiencia en la realización del PT. Forma de redacción de los informes. Presentación e interacción con la organización. Problema para la organización que debe contratar un PT. 19

20 Empresa proveedora del PT Las organizaciones deben hacer PT continuos. Conviene entonces utilizar siempre la misma empresa para realizar los PT? Utilizar la misma empresa Ventaja: Confianza y conocimiento. Desventaja: Pérdida de objetividad. Utilizar diferentes empresas. Ventaja: Se comienza desde cero. Desventaja: Establecimiento de nuevas relaciones y desconfianza inicial. 20

21 Costo del PT Los PT cuestan dinero, es un hecho y hay que aceptarlo. Existen muchas diferencias de costos basadas en varios factores: Lugar. Recursos técnicos involucrados. Conocimiento y experiencia del equipo humano. Correcta definición del alcance. La suma de todos estos factores definirá el costo final del PT; igualmente el mercado mediante la ley de oferta/demanda también determina estos factores. 21

22 Cuál es el resultado ideal de un PT? Todo depende del punto de vista con el que se mire. El éxito desde la perspectiva del equipo que lleva adelante el PT puede no equivaler al éxito desde la perspectiva de la organización. Perspectiva de la empresa que realiza el PT. Perspectiva de la organización. Generalmente alguien no termina feliz. Estos casos se deben detectar y se debe trabajar en el proceso de sensibilización. 22

23 Metodología del PT Formalmente no existen metodologías; pero en la práctica, existen tantas metodologías como empresas de seguridad informática. Las metodologías abarcan desde la clásica tres fases: identificación, scanning y explotación, hasta las de múltiples fases. A nivel metodología no formal, existe el OSSTMM (Open Source Testing Methodology Manual) que describe metodologías, técnicas y herramientas a utilizar en las diversas fases de un PT. 23

24 Metodología del PT 1. Reconocimiento Obtención de información. Análisis y planificación. 2. Scanning Enumeración de vulnerabilidades. Detección de vulnerabilidades. 3. Penetración Explotación de vulnerabilidades. Escalada de privilegios. 4. Obtención de información 5. Informes Análisis de los resultados. Desarrollo de informes. Presentación. 6. Limpieza 24

25 Utilización de vulnerabilidades Las fases más críticas de un PT son la detección, verificación y explotación de posibles vulnerabilidades. Proceso de detección Confianza en los elementos utilizados. Conocimiento. Proceso de verificación Evitar falsos positivos. Forma de verificación: banner, fingerprint o suposición. 25

26 Utilización de vulnerabilidades Proceso de explotación Obtención de exploits: en bases de datos de exploits (Securityfocus BID, PacketStorm, etc), mailing lists (pen-test de Securityfocus), sites underground (Zer0 days xploits), chats, etc. Prueba y lanzamiento del exploit. Desarrollo de exploits. Investigación de nuevas vulnerabilidades. Qué pasa con los falsos negativos (vulnerabilidades que existen y no se detectaron) en un PT?. 26

27 PT, artesanal o automático? Automatización actual Detección de vulnerabilidades Verificación de vulnerabilidades Explotación de vulnerabilidades Alta Media Baja La realidad demuestra que por un largo tiempo seguirá siendo una práctica artesanal, aunque cada vez más se soportará en herramientas que automatizarán ciertos procesos. 27

28 Equipo que realiza el PT Una gran parte del éxito depende de la composición del equipo humano. Las claves de un buen equipo: Conocimiento multidisciplinario. Máximo cuatro personas. Experiencia de campo. Elevado nivel de conocimiento en redes, protocolos, sistemas operativos, aplicaciones, programación, etc. Perspectiva. Elevado interés y pasión por la investigación. Sentido ético y profesional. 28

29 Duración del PT Normalmente la duración de un PT se encuentra atada al alcance del mismo. El tiempo que consumirá se calcula en base a experiencias anteriores. En la realidad los PT suelen durar poco tiempo. Se habrán realizado todas las pruebas posibles? Se habrá llegado a ver todo? El equipo que realizó el PT trabajó? Si no se detectó nada crítico, con más tiempo podrían hacer más cosas? 29

30 Problemáticas del PT Existe un gran desconocimiento por parte de los clientes sobre qué se espera de un PT. Es muy difícil calcular los tiempos que puede insumir un PT. Se requiere formar un equipo que posea experiencia y profundos conocimientos. Existe una sobreabundancia de herramientas de seguridad que ayudan en algunas fases, pero también existe una falta de herramientas en otras fases críticas. 30

31 Problemáticas del PT La fase de explotación de vulnerabilidades no se encuentra madura. No existen estándares de nivel de riesgos sobre los problemas que se detectan en un PT. Varios elementos de bajo riesgo pueden implicar en su conjunto, un alto riesgo. 31

32 Conclusiones Hoy las organizaciones están utilizando los PT con variados objetivos y el propio mercado los está convirtiendo en una obligación. Existen estándares no formales, que seguramente en los próximos años desembocarán en estándares internacionales formalmente aceptados. Existe una superpoblación de empresas de seguridad que realizan PT con variados grados de calidad. El mercado es quien se encarga de manejar la balanza. El PT ha tenido un gran avance en los últimos años, pero todavía existen ciertas áreas y zonas grises donde poco se ha investigado y queda mucho por hacer. 32

33 Preguntas? 33

34 Muchas gracias por acompañarnos