IDENTIFICACIÓN DE VULNERABILIDADES Y PRUEBAS DE PENETRACIÓN EN REDES Alejandro Hernández H. (nitrøus), CISSP, GPEN http://twitter.com/nitr0usmx http://chatsubo-labs.blogspot.com http://www.brainoverflow.org
AGENDA Introducción Administración de Riesgos Amenazas Vulnerabilidades Pruebas de Penetración Contramedidas
INTRODUCCIÓN Seguridad Informática: Protección de la infraestructura tecnológica y la información contenida (Activos) Estándares, leyes, metodologías, mejores prácticas, herramientas, etc. ISO/IEC 27001:2005 ISO/IEC 27002:2005 NIST SP 800 (Special Publications 800 series) DoD 5200.28-STD TCSEC (Orange Book) PCI DSS CobiT ITIL Sarbanes-Oxley Act of 2002 (SoX) OWASP Etc. Etc. Etc. Análisis de riesgos Activo (El más importante: INFORMACIÓN) Impacto Probabilidad Amenaza Controles
INTRODUCCIÓN
ADMINISTRACIÓN DE RIESGOS The CISA Review Manual provides the following definition of risk management: "Risk management is the process of identifying vulnerabilities and threats to the information resources used by an organization in achieving business objectives, and deciding what countermeasures, if any, to take in reducing risk to an acceptable level, based on the value of the information resource to the organization." Riesgos Operacionales Reputacionales Internos / Externos Naturales Amenazas Vulnerabilidades Probabilidad Impacto Contramedidas (Controles)
ADMINISTRACIÓN DE RIESGOS Existen muchas metodologías de análisis de riesgos. Un ejemplo del cálculo del riesgo es mediante la siguiente fórmula: R = Valor del Activo x Amenaza x Vulnerabilidad
Malware Script-kiddies Spam Botnets Phishing Ciber-crimen Ciber-terrorismo Espionaje corporativo Servicios de Inteligencia AMENAZAS Es un evento que puede causar un incidente de seguridad en una empresa u organización produciendo pérdidas o daños potenciales en sus activos. Y la lista sigue.. Sigue y.. Sigue!!!
VULNERABILIDADES Es una debilidad que puede ser explotada con la materialización de una o varias amenazas a un activo. Fallos en software Parches no aplicados a Sistemas Operativos y/o Aplicaciones Malas configuraciones Falta de políticas y procedimientos documentados Problemas administrativos Contraseñas débiles Edificio incapaz de resistir terremotos Falta de mantenimiento a extintores Y más ejemplos
PRUEBAS DE PENETRACIÓN Las Pruebas de Penetración permiten evaluar la seguridad de sistemas de información, computadoras o redes de computadoras, por medio de ataques simulados, con el fin de determinar el nivel de seguridad en cierto momento de una infraestructura tecnológica. Enfoques Black-box testing (sin conocimiento de la infraestructura a ser evaluada) Grey-box testing (conocimiento parcial de la infraestructura a ser evaluada) White-box testing (conocimiento total de la infraestructura a ser evaluada)
PRUEBAS DE PENETRACIÓN Existen diversas metodologías para realizar dichas pruebas, por ejemplo: OSSTMM http://www.isecom.org/research/osstmm.html PTF http://www.vulnerabilityassessment.co.uk/penetration%20test.html OWASP (Orientado a Web) https://www.owasp.org https://www.owasp.org/index.php/owasp_testing_project
Guía OWASP: PRUEBAS DE PENETRACIÓN
Metodología genérica: PRUEBAS DE PENETRACIÓN
PRUEBAS DE PENETRACIÓN Planeación y preparación En esta fase se llevan a cabo los acuerdos legales, se define el alcance, se presenta el equipo de trabajo, el plan de trabajo, fechas y tiempos límite, entre otras cosas. Pruebas de Penetración En esta fase se ejecutan todas las pruebas de penetración con el fin de identificar vulnerabilidades y simular ataques reales contra estas. Generación de reportes En esta fase se documentan las vulnerabilidades detectadas durante las pruebas, y a su vez, se emiten recomendaciones para mitigar o minimizar el riesgo asociado a cada una de ellas.
PRUEBAS DE PENETRACIÓN DEMOSTRACIONES Planeación: Checklists de pruebas Pruebas de Red Pruebas a aplicaciones Web 1.- Reconocimiento y obtención de información The Harvester - http://www.edge-security.com/theharvester.php Foca - http://www.informatica64.com/foca.aspx NMAP - http://nmap.org 2.- Identificación de vulnerabilidades Nessus http://www.nessus.org 3.- Ataque y penetración ExploitDB http://www.exploit-db.com Metasploit Framework http://www.metasploit.com Hydra - http://www.thc.org/thc-hydra/ 4.- Obtención local de información Sniffing - http://www.tcpdump.org 5.- Escalamiento de privilegios y mantenimiento de acceso Mala configuración en sudo Linux Kernel sock_sendpage() Local root exploit http://www.exploit-db.com 6.- Limpieza
CONTRAMEDIDAS ISO 27001 / 27002 PCI DSS - https://www.pcisecuritystandards.org/security_standards/ Sarbanes Oxley (SoX) CobiT - http://www.isaca.org/cobit/pages/default.aspx ITIL NIST-SP-800 - http://csrc.nist.gov/publications/pubssps.html Etc.
CONTRAMEDIDAS
CONTRAMEDIDAS
CONTRAMEDIDAS DEFENSA EN PROFUNDIDAD Principio / Estrategia Origen militar En vez de una sola línea de defensa, varias líneas consecutivas
GRACIAS! Alejandro Hernández H. (nitrøus), CISSP, GPEN http://twitter.com/nitr0usmx http://chatsubo-labs.blogspot.com http://www.brainoverflow.org