Adelantándose a los Hackers

Transcripción

1 1

2 Adelantándose a los Hackers Herramientas y técnicas de testing de vulnerabilidades Lic. Julio C. Ardita [email protected] 5 de Julio de 2001 Buenos Aires - ARGENTINA 2

3 Adelantándose a los Hackers Temario - Vulnerabilidades de Seguridad Informática. - Cómo ingresan los intrusos a los sistemas?. - Fuentes de información y herramientas de seguridad. - Penetration Tests. - Testing de seguridad de un Firewall. - Testing de seguridad de un Web Server. 3

4 Vulnerabilidades de Seguridad Informática WEB SERVER Firewall Internet Router Firewall Sistema de Detección de Intrusos Server de Base de Datos es seguro?... 4

5 Vulnerabilidades de Seguridad Informática La seguridad informática es dinámica. 5

6 Vulnerabilidades de Seguridad Informática Evolución de las vulnerabilidades de seguridad informática Las vulnerabilidades de seguridad informática han existido desde siempre. Hasta 1990 la gran mayoría de los intrusos ingresaba a los sistemas informáticos utilizando técnicas de scanning, ataques de fuerza bruta, probando usuarios y diferentes passwords, ingeniería social, etc. A partir de 1992 los intrusos comenzaron a ingresar a los sistemas informáticos a través de la explotación de vulnerabilidades que eran conocidas primariamente dentro de los ambientes underground. En 1995 y con el gran avance de Internet como medio de comunicación masivo salen a la luz los primeros Web Sites de vulnerabilidades. 6

7 Vulnerabilidades de Seguridad Informática Evolución de las vulnerabilidades de seguridad informática Internet creó una nueva ola de intrusos que se dedicaban a ingresar a sistemas aprovechando vulnerabilidades conocidas. Hacia 1998 los grupos de hackers blancos comenzaron a publicar herramientas muy potentes de seguridad. Se comenzaron a publicar una gran cantidad de Web Sites que contenian bases de datos de vulnerabilidades, exploits y soluciones, con el objetivo de ayudar a los administradores. Llegamos al 2001, donde podemos visualizar a Internet como una gran red de información donde existe mucha más cantidad de información sobre como ingresar a sistemas que sobre como protegerlos. 7

8 Vulnerabilidades de Seguridad Informática Cantidad de vulnerabilidades informáticas por Sistema Operativo Windows NT/ SUN Solaris Linux Red Hat AIX Novell Netware Fuente: 8

9 Cómo ingresan los intrusos a los sistemas? Cómo hacen los intrusos para ingresar a los Sistemas? Los intrusos aprovechan vulnerabilidades de seguridad, descuidos, configuraciones inseguras para ingresar en forma no autorizada. El nivel de seguridad informática global de toda una instalación es igual al componente de menor nivel de seguridad. 9

10 Cómo ingresan los intrusos a los sistemas? Metodología de una intrusión Los ataques pueden ser Externo o Internos. Los ataques externos son más fáciles de detectar y repeler que los ataques internos. El intruso interno ya tiene acceso a la red interna o incluso al mismo Server que quiere atacar. Intruso Externo Server Interno Intruso Interno Barreras 10

11 Cómo ingresan los intrusos a los sistemas? Origen de los ataques externos - Redes de proveedores y clientes (7%). - Redes alquiladas (3%). - Internet (80%). - Módems (10%). Empresa Redes Alq. Internet Acceso Remoto Proveedores y Clientes 11

12 Fuentes de información y herramientas de seguridad La clave de la seguridad informática en el año 2001 y de ahora en más, pasa por los recursos humanos capacitados para entender que es lo que esta pasando y poder actuar. Para poder defender nuestra red informática debemos armar un equipo de profesionales de seguridad informática con elevados conocimientos. 12

13 Fuentes de información y herramientas de seguridad Internet es la fuente de información primaria de seguridad informática. Para conocer sobre nuevas vulnerabilidades, leer artículos de seguridad, analizar BUGTRAQ y estar informado:

14 Fuentes de información y herramientas de seguridad Para conocer sobre las viejas y nuevas herramientas de seguridad, de todos los sistemas operativos: packetstorm.securify.com 14

15 Penetration Tests Qué es un Penetration Test? Se trata de emular y simular comportamientos y técnicas que pueden ser utilizadas por los intrusos con el objetivo de analizar el nivel de seguridad y la exposición de los sistemas ante posibles ataques. Permite detectar vulnerabilidades en el Sistema Informático y corregirlas en forma muy rápida y eficaz. 15

16 Penetration Tests Cómo se realiza un Penetration Test? Se utiliza una metodología de evaluación de seguridad informática que incluye tres grandes etapas: Horas, Días, Meses. 1) Descubrimiento 2) Exploración 3) Intrusión 16

17 Penetration Tests La etapa 1, descubrimiento, se encuentra focalizada en entender los riesgos del negocio asociado al uso de los activos informáticos involucrados. Se realizan investigaciones tratando de recolectar información sobre los blancos potenciales. Incluye todas las pruebas para detectar las conexiones de la Empresa a Internet; la evaluación de servicios de DNS externos; la determinación de rangos de direcciones IP, rangos telefónicos y la detección de medidas de protección. 17

18 Penetration Tests 1) Descubrimiento En esta fase, se trata de recolectar la mayor cantidad de evidencia sobre la Empresa donde se van a realizar las pruebas. - Direcciones IP de Internet (utilizando ping, traceroute). - Dirección física (Guía telefónica). - Números telefónicos (Guía telefónica). - Nombres de personas y cuentas de correo electrónico (NIC). - Rango de direcciones IP del lugar ( - Información de prensa sobre el lugar (Medios locales). - Análisis de la página WEB (Browser). 18

19 Penetration Tests La etapa 2, exploración, se centra en investigar los riesgos de seguridad relevantes para la organización. En esta etapa se aplican técnicas no intrusivas para identificar vulnerabilidades dentro del perímetro de la organización. Incluye el análisis de protocolos; evaluación de la seguridad de los componentes; scanning de puertos TCP y UDP; detección remota de servicios; análisis de banners y evaluación de la seguridad de las aplicaciones detectadas. 19

20 Penetration Tests 2) Exploración Se exploran todas las posibles puertas de entrada a los Sistemas y descubre que servicios se encuentran activos. - Scanning telefónico (Toneloc). - Scanning de rangos de direcciones IP (Ping Scan). - Transferencias de dominios (nslookup). - Scanning de puertos en el rango de direcciones IP (nmap). - Análisis de la configuración de cada Servicio ( - Análisis de toda la información (Detección de OS, Servicios, etc). 20

21 Penetration Tests La etapa 3, intrusión, se focaliza en realizar pruebas de los controles de seguridad y ataques por medio de secuencias controladas a las vulnerabilidades propias de los sistemas identificados. Incluye la revisión de la seguridad de todos los equipos detectados y servicios habilitados. Es en esta fase donde se prueba la eficiencia del equipo que lleva a cabo el Penetration Test, donde se incluye las técnicas de hacking a aplicar. 21

22 Penetration Tests 3) Intrusión Se tratan de detectar vulnerabilidades en los Sistemas y realizar pruebas en un entorno controlado para intentar acceder al Sistema. - Detección de vulnerabilidades (Nessus, twwwscan, Retina, CIS). - Intento de acceso vía módems. - Intento de explotar las vulnerabilidades detectadas ( - Utilización de ingeniería social para obtención de usuarios y claves. - Ingreso al Sistema. 22

23 Penetration Tests Aplicación de la soluciones Una vez finalizado el Penetration Test, se genera un informe con todas las vulnerabilidades de seguridad informática detectadas, sus riesgos asociados y los pasos a seguir para proteger los equipos afectados. Se realiza un proceso de corrección de los diferentes problemas de seguridad detectados, logrando obtener en poco tiempo un sistema informático con un nivel de seguridad elevado. 23

24 Testing de seguridad de un Firewall Hoy en día, la primer barrera de seguridad que coloca una Empresa para protegerse de redes inseguras (Internet, proveedores, clientes, conexiones punto a punto, etc) es el Firewall. Redes Inseguras Test de Seguridad Firewall Server Interno 24

25 Testing de seguridad de un Firewall Las actividades a realizar para realizar un testing del Firewall son: 1. Detección remota del tipo de Firewall y versión. 2. Detección remota del sistema operativo base utilizado. 3. Detección de las direcciones IP internas. 4. Análisis de vulnerabilidades conocidas ( 5. Evaluación de los puertos TCP y UDP abiertos. 6. Envío de paquetes TCP/IP malformados para evaluar la respuesta del Firewall. 7. Lanzamiento de ataques de spoofing sobre el Firewall. 8. Intento de explotación de vulnerabilidades conocidas sobre el Firewall en un entorno controlado. 25

26 Testing de seguridad de un Web Server El Web Server es el equipo que se encuentra conectado al segmento de red público de la Empresa. Es un Server que debe ser público y es por eso que es el primer blanco de los intentos de ataque. Test de Seguridad Web Server 26

27 Testing de seguridad de un Web Server Las actividades a realizar para realizar un testing del Web Server son: 1. Detección remota del Web Server utilizado y versión. 2. Detección remota del sistema operativo base del Web Server utilizado. 3. Análisis de vulnerabilidades conocidas ( 4. Análisis de aplicaciones demo instaladas. 5. Análisis de instalaciones defaults. 6. Intento de explotación de vulnerabilidades sobre el Web Server en un entorno controlado. 7. Evaluación y análisis de las páginas Web. 8. Análisis de aplicaciones utilizadas. 9. Evaluación de buffer-overflows sobre variables y parámetros. 27

28 Conclusiones - Los intrusos existen y el nivel de peligrosidad de los mismos aumenta cada vez más. - Los sistemas informáticos poseen vulnerabilidades de seguridad y estas van en constante crecimiento, es muy importante capacitarse para poder prevenir y mantener el nivel de seguridad de una Empresa. - La única forma de mantener una Empresa segura es estar un paso adelante de los hackers, conociendo sus herramientas, estudiando sus técnicas para poder anticiparse. 28

29 Muchas gracias por acompañarnos