Hacking Ético y Frameworks Opensource

Transcripción

1 Hacking Ético y Frameworks Opensource Mariano Nuñez Di Croce mnunez@cybsec.com Febrero 11-13, 13, 2009 IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información La Habana,, Cuba Copyright 2009 CYBSEC. Todos los derechos reservados

2 Quien es Cybsec? Quién soy yo? Quién n es CYBSEC? Empresa fundada en 1996, dedicada integralmente a Seguridad de la Información. Más de 320 clientes. Oficinas en AR, PY, EC, PA y ES. Servicios y productos para proteger el negocio de las empresas. Quién n soy yo? Senior Security Researcher en CYBSEC. Ingeniero en Sistemas de UTN. Formado en Penetration Testing e Investigación de Vulnerabilidades. He descubierto vulnerabilidades en productos Microsoft, Oracle, SAP, Actualmente especializado en Seguridad en SAP. Desarrollador del framework sapyto. 2

3 Agenda Introducción al Hacking Ético La necesidad de Automatización Nuevos Frameworks OpenSource w3af Netifera sapyto Conclusiones 3

4 Introducción al Hacking Ético 4

5 Introducción al Hacking Ético Qué es el Hacking Ético? Se refiere generalmente a los Tests de Intrusión en los cuales el objetivo es obtener trofeos en la red dentro del tiempo predeterminado de duración del proyecto. Qué es el Test de Intrusión n? Se refiere en general a los proyectos orientados a objetivos en los cuales dicho objetivo es obtener un trofeo, que incluye ganar acceso privilegiado con medios pre-condicionales (Fuente: OSSTM - 5

6 Introducción al Hacking Ético Traduciendo... El "Hacking Ético" es el arte de simular el comportamiento de un potencial atacante informático, con el objetivo de detectar (y explotar) las vulnerabilidades existentes en la plataforma tecnológica de una Organización. El objetivo final es elevar el nivel de seguridad de la plataforma. Hacking Ético = Test de Intrusión + Marketing 6

7 Introducción al Hacking Ético Un Poco de Historia... Años 70: Primeros casos de phreaking. Años 80: Ataques a sistemas de defensa y comerciales. Años 90: Comienza a nacer el Test de Intrusión. Años 00: Estandarización Proceso formal OSSTM - Open-Source Security Testing Methodology Manual ISSAF Information Systems Security Assessment Framework OWASP Open Web Application Security Project 7

8 Introducción al Hacking Ético Tipos de Test de Intrusión/ n/hacking Ético Modelo: Externos vs. Internos. Alcance: Caja negra / Caja gris / Caja blanca. Objetivo: Infraestructura Aplicaciones Web Wireless Sistemas Criticos (SCADA, SAP) Factor Humano Ingeniería Social 8

9 La Necesidad de Automatización 9

10 La Necesidad de Automatización Algunas Actividades y Tareas Involucradas: OpenSource Intelligence Análisis de rangos IP Scanning de puertos TCP Análisis de código HTML Scanning de puertos UDP Fingerprinting de servicios y SOs Bruteforcing Enumeración de usuarios Explotación de vulnerabilidades Cracking de WEP/WPA Detección de sistemas activos Wardialing Ingeniería Social Bypass de IDSs/IPSs Análisis de reglas de Firewalls Explotación de SQL Injection Detección de enlaces Wireless Descubrimiento de directorios 10

11 La Necesidad de Automatización Automatización Ventajas y Desventajas La Necesidad de Automatización es concreta. Muchas de las actividades pueden (y deben) automatizarse. Existe una GRAN variedad de herramientas y utilidades para actividades puntuales del proceso Integración de Resultados y Redundancia Necesidad de Actualización Ej: Para un Test de Intrusión Web, el consultor utiliza más de 10 herramientas distintas para tareas puntuales. 11

12 La Necesidad de Automatización Del Script al Framework Es necesario desarrollar las soluciones en forma de Frameworks: Plataforma única. Actualización centralizada. Extensibilidad (!!!) Inteligencia Base de conocimiento compartida. Integración de Resultados. Combinación y comportamiento Experto. 12

13 Nuevos Frameworks OpenSource 13

14 Nuevos Frameworks OpenSource ATENCION Al presenciar las siguientes diapositivas y demostraciones usted declara que comprende que ningún Framework puede reemplazar la inteligencia y criterio de un especialista humano =) 14

15 Nuevos Frameworks OpenSource + Auditor sin experiencia Herramienta Automatizada de Hacking Ético 15

16 Nuevos Frameworks OpenSource + Auditor sin experiencia Herramienta Automatizada de Hacking Ético 16

17 17

18 Nuevos Frameworks OpenSource w3af w3af Web Application Attack and Audit Framework Creado por Andres Riancho. Auspiciado por CYBSEC. Objetivo: Detectar y Explotar vulnerabilidades en Aplicaciones Web. Licencia GPLv2. Desarrollado en Python. 18

19 Nuevos Frameworks OpenSource w3af Arquitectura de Plugins Discovery: Descubren la superficie de análisis de la aplicación objetivo. Audit: Intentan detectar una vulnerabilidad específica en el sitio Web. Bruteforce: Realizan ataques de fuerza bruta contra módulos de autenticación. Grep: Buscan información en el contenido de las páginas del sitio. Evasion: Modifican las peticiones para evadir filtros de seguridad. Output: Definen el formato de salida de la información generada. Mangle: Permiten que el usuario modifique secciones de las peticiones realizadas. 19

20 Nuevos Frameworks OpenSource w3af Funcionalidades Principales Scannings Automáticos Envío de Peticiones HTTP artesanales Codificador / Decodificador Comparador Proxy Local 20

21 21

22 Nuevos Frameworks OpenSource Netifera Netifera Creado por Netifera. Objetivo: Analizar la Seguridad de redes informáticas. Desarrollado en JAVA. 22

23 Nuevos Frameworks OpenSource Netifera Funcionalidades Principales Scannings de puertos Identificación de servicios activos Consultas DNS Terminales Análisis de Aplicaciones Web Captura de tráfico Probes 23

24 24

25 Nuevos Frameworks OpenSource sapyto sapyto Creado por CYBSEC - Mariano Nuñez Di Croce. Objetivo: Plataforma de Penetration Test a sistemas SAP. Licencia GPLv2. Desarrollado en Python/C. Primera versión publicada en Blackhat EU

26 Nuevos Frameworks OpenSource sapyto Arquitectura de Targets/Conectores SAPRFC: Permite conectarse utilizando el protocolo RFC con un Servidor de Aplicación SAP. SAPRFC_EXT: Establece la comunicación con servidores RFC externos. SAPGATEWAY: Conexión con el servicio SAP Gateway de los Servidores de Aplicación SAP. SAPROUTER: Permite establecer conexiones con dispositivos SAProuters que restringuen el acceso a la plataforma SAP objetivo. 26

27 Nuevos Frameworks OpenSource sapyto Arquitectura de Plugins Discovery: Intentan descubrir nuevos targets a partir de los targets configurados inicialmente. Audit: Chequean si el servidor SAP remoto es suceptible de poseer vulnerabilidades específicas. Exploit: Aprovechan una vulnerabilidad detectada para intentar obtener algún grado de acceso sobre los sistemas o información remota. Output: Definen el formato de salida de la información generada. 27

28 Nuevos Frameworks OpenSource sapyto Funcionalidades Principales Obtención de información remota Análisis de Vulnerabilidades de interfaz RFC De-ofuscación de tráfico Enumeración de mandantes Bruteforce de usuarios Explotación Generación de SHELLs remotas Explotación Arquitectura de Agentes 28

29 Conclusiones 29

30 Conclusiones Conclusiones El Hacking Ético permite analizar el nivel de Seguridad de una Organización o plataforma informática y debe convertirse en una práctica regular. El objetivo final es proteger la información. La metodología involucra actividades en las que ciertas tareas pueden ser automatizadas para mejorar la eficiencia del proceso. Las herramientas a utilizar deben proveer un Entorno o Framework, introduciendo extensibilidad, robustez e inteligencia. De nada sirve una herramienta automatizada sin un auditor que pueda analizar la información contextual asociada. El criterio es irremplazable. Recuerde que los Frameworks Opensource evolucionan gracias a las contribuciones de la comunidad! No hay nada mas peligroso que un chimpancé con un arma! =P 30

31 Hacking Etico y Frameworks Opensource Preguntas? 31

32 Nuevos Frameworks OpenSource Referencias w3af Netifera sapyto 32

33 Muchas Gracias!