Penetration Test Metodologías & Usos

Transcripción

1 Penetration Test Metodologías & Usos Lic. Luis Ramírez 18 de Noviembre de 2009 Asunción, n, Paraguay

2 Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances Etapas de un Proyecto Casos Reales Conclusiones 2

3 Introducción 3

4 Introducción Qué es un PenTest? Es un conjunto de metodologías y técnicas que permiten realizar una evaluación integral de las debilidades de los sistemas informáticos. Consiste en un modelo que reproduce intentos de acceso de un potencial intruso desde los diferentes puntos de entrada que existan, tanto internos como remotos, a cualquier entorno Informático. Permite detectar vulnerabilidades en los Sistemas Informáticos y corregirlas en forma rápida y eficaz. A los PenTest también se los denomina Hacking Ético o Test de Intrusión. 4

5 La Seguridad Informática en los Sistemas 5

6 La Seguridad Informática en los Sistemas La Seguridad Informática es Dinámica. Esto conlleva a la constante actualización de los sistemas y conocimientos necesarios para afrontar los nuevos riesgos que aparecen con las distintas vulnerabilidades. 6

7 La Seguridad Informática en los Sistemas Cómo hacen los intrusos para ingresar en los sistemas? Definitivamente, no como en las películas. Los intrusos aprovechan vulnerabilidades de seguridad, descuidos, y configuraciones inseguras para ingresar en forma no autorizada. El nivel de seguridad informática global de toda una instalación es igual al componente de menor nivel de seguridad. 7

8 La Seguridad Informática en los Sistemas Incidentes de Seguridad Informática en Paraguay Ataques a páginas web de Paraguay, la mayoría de ellas de tipo Defacements. h.org/ 8

9 Objetivos, Tipos & Alcances 9

10 Objetivos, Tipos & Alcances Objetivos de un PenTest: Evaluar un proyecto o sistema Mejora continua de seguridad Conocer la situación real de la Organización Medir y obtener una calificación objetiva del nivel de seguridad Cumplir con regulaciones (MCIIEF, PCI, SOX, etc.) y auditorías 10

11 Objetivos, Tipos & Alcances El PenTest permite demostrar los riesgos funcionales de las vulnerabilidades detectadas: La versión de Apache utilizada es susceptible a problemas de Buffer Overflow. Esto permitió acceder con privilegios de administrador al servidor UNIX que sirve de soporte a SAP. Con este nivel de acceso, es posible ocasionar una Denegación de Servicio y hasta el fraude o pérdida de información crítica para la compañía. Se detectaron recursos compartidos en estaciones de trabajo con permisos de lectura para Everyone. En los mismos se hallaron planillas Excel con los usuarios y contraseñas de diversos sistemas, entre ellos las bases de datos de Pagos y Ventas On-Line 11

12 Objetivos, Tipos & Alcances Metodología a de una intrusión Los ataques pueden ser perpetrados en forma Externa o Interna. Los ataques externos son más fáciles de detectar y repeler que los ataques internos. El intruso interno ya tiene acceso a la red interna o incluso al mismo Server que quiere atacar. Barreras de Protección Servidores Internos 12

13 Objetivos, Tipos & Alcances La composición del PenTest se define a través del alcance del mismo. Éste debe concretarse en reuniones previas; puede tener un alcance amplio y cubrir toda la organización, o puede ser focalizado sobre un determinado sistema o equipo, por ejemplo un sistema de Home Banking conectado a Internet. También se define en esta instancia el tiempo de ejecución. El PenTest debe ser una foto que refleje el estado de la seguridad informática de las instalaciones, por lo tanto, los proyectos de este tipo no suelen extenderse a más de 1 mes. 13

14 Objetivos, Tipos & Alcances En forma general, y de acuerdo al alcance, los proyectos de PenTest pueden categorizarse en: Externos. Internos. Metodologías Black-Box Grey-Box White-Box Aplicación Web Wireless 14

15 Objetivos, Tipos & Alcances PenTest Externo Durante su ejecución se somete a los sistemas a pruebas de seguridad informática que simulan las que se producen durante la realización de un ataque y/o intento de intrusión desde afuera de la instalación. Algunas de las actividades principales pueden ser: Barrido de líneas telefónicas. Análisis del sistema de acceso remoto. Situación de la seguridad perimetral y en la conexión a Internet. Seguridad en la conexión con otras redes. Seguridad en aplicaciones Web. Pruebas de ingeniería social. 15

16 Objetivos, Tipos & Alcances PenTest Interno Durante su ejecución se somete a los sistemas a pruebas de seguridad informática que simulan las que se producen durante la realización de un ataque y/o intento de intrusión desde dentro de la instalación. Algunas de las actividades principales pueden ser: Seguridad en los dispositivos de red Internos. Seguridad de los principales servidores. Seguridad general de las estaciones de trabajo. Seguridad de las aplicaciones. Seguridad en las Bases de Datos Seguridad en redes inalámbricas. 16

17 Etapas de un Proyecto 17

18 Etapas de un Proyecto 18

19 Etapas de un Proyecto Cómo se realiza un PenTest? Se utiliza una metodología de evaluación de seguridad informática que incluye cuatro grandes etapas: 1) Descubrimiento 2) Exploración 3) Evaluación 4) Intrusión Si bien el orden de las etapas no es arbitrario, en muchos casos se paralelizan o adelantan tareas dependiendo de las características de la plataforma evaluada. 19

20 Etapas de un Proyecto Etapa de Descubrimiento Se centra en entender los riesgos del negocio asociado al uso de los activos informáticos involucrados. Se realizan investigaciones tratando de recolectar información pública sobre la plataforma tecnológica del cliente. Incluye todas las pruebas para detectar las conexiones de la Empresa a Internet, la evaluación de servicios de DNS externos, la determinación de rangos de direcciones IP, rangos telefónicos y sitios web, y la identificación de instalaciones físicas. 20

21 Etapas de un Proyecto Etapa de Exploración Se busca focalizar los objetivos para las posteriores etapas de Evaluación e Intrusión. En esta etapa se aplican técnicas no intrusivas para identificar todos los potenciales blancos. Incluye el análisis de protocolos, relevamiento de plataforma y barreras de protección, scanning telefónico, scanning de puertos TCP y UDP, detección remota de servicios y sistemas operativos, análisis de banners y búsqueda de aplicaciones web. 21

22 Etapas de un Proyecto Etapa de Evaluación Se basa en el análisis de todos los datos encontrados para la detección y determinación de vulnerabilidades de seguridad informática que afectan a los sistemas evaluados. Durante esta etapa se realizan las evaluaciones de seguridad en todos los posibles niveles. Se pueden llegar a correlacionar vulnerabilidades, que de forma separada tienen un nivel de riesgo bajo. 22

23 Etapas de un Proyecto Etapa de Intrusión Se focaliza en realizar pruebas de los controles de seguridad y ataques por medio de secuencias controladas a las vulnerabilidades propias de los sistemas identificados. Aquí se utiliza el conocimiento adquirido en etapas previas para buscar alternativas que permitan acceder a los sistemas y obtener el control de los mismos. Es en esta fase donde se prueba la eficiencia del equipo que lleva a cabo el PenTest. 23

24 Etapas de un Proyecto A nivel mundial existen estándares relacionados con PenTesting: BS 7799 e ISO Open Source Security Testing Methodology Manual (OSSTMM) Open Web Application Security Project (OWASP) Best Practices in Computer Security Federal Information System Controls Audit Manual (FISCAM) Regulaciones Locales que exigen Pentesting: Manual de Control Interno Informático para Entidades Financieras (MCIIEF) Resolución BCP SB.SG. N 00179/2005 PCI Requiere PenTest Ext/Int, Scannings trimestrales y PenTest wireless. 24

25 Casos Reales 25

26 Casos Reales Empresa A - Paraguay En un Pentest Interno se tomó el control del servidor de CCTV pudiendo obtener control total de las camaras conectadas a ese servidor Empresa B Argentina Se logro capturar trafico de VoIP y escuchar las conversaciones telefónicas. Empresa C Paraguay Se explotó una vulnerabilidad en un software que almacena en forma protegida las contraseñas. Mediante esto se pudo tener acceso a todas las contraseñas de todos los equipos de la compañía. 26

27 Casos Reales Empresa D - Argentina En un Pentest Externo a una empresa farmacéutica, se logró explotar una vulnerabilidad de upload de archivos para ejecutar código arbitrario en un servidor Web. Luego, se utilizaron técnicas para elevar privilegios y tomar el control de ese servidor y se crackearon las contraseñas de los usuarios. Desde allí y aprovechando una mala configuración del Firewall de la DMZ, se accedio a la LAN y se pudo acceder a otros servidores con las mismas contraseñas que el primer servidor. En definitiva, desde Internet se logró acceso al disco local del Gerente General, en donde se encontró un archivo de backup de su Blackberry, que entre otras cosas tenía la clave de su t b i!!! 27

28 Casos Reales Empresas en General Equipos con falta de parches de seguridad instalados. Equipos con usuarios y contraseñas triviales. Equipos con programas DEMO e instalaciones por defecto en Sistemas en Producción. 28

29 Conclusiones Conclusiones El PenTest nos permite conocer el nivel de seguridad informático de nuestra red, sistemas y personas, analizándolo desde los distintos ángulos de operación de un posible atacante. Es conveniente realizar PenTests periódicos, llevados a cabo por profesionales altamente especializados. Los sistemas críticos (ERP s, CRM s, etc) deben ser evaluados, ya que un ataque a los mismos puede resultar altamente perjudicial para la organización. La capacitación del personal no técnico es clave para la protección frente a los nuevos ataques. 29

30 Preguntas

31 Gracias por acompañarnos. arnos. Lic. Luis Ramírez