Herramientas para Hacking Ético Trabajo Terminal 2010-0014 Carlos Venegas Tamayo Marco Gómez Santiago Vicente Yáñez Hernández 10 de Noviembre, 2010 Contenido I. Conceptos básicos. II. El proyecto. III. Trabajo futuro. IV. Conclusiones. 2 1
Conceptos Básicos 3 Definición de Hacking. Obtener una solución inteligente, denominada hack, MIT (1950). Hacker: experto en una o varias ramas de las TIC s. 4 2
Aplicación de técnicas de hacking con fines defensivos. Hacking Ético. Hacking Ético: una metodología. Hacker Ético: profesional de la seguridad informática. 5 Ataque estructurado y controlado a una infraestructura de información. Simulación de Intrusión. Detectar, analizar y priorizar vulnerabilidades. Herramienta del Hacker Ético para evaluar la seguridad. 6 3
Metodología propuesta por The PenTest Framework: Simulación de Intrusión. I. Planeación. II. Evaluación. III. Reporte. 1. Reconocimiento. 2. Escaneo. 3. Ataque Puro. 4. Mantenimiento de acceso. 5. Borrado de Huellas. 7 El Proyecto 8 4
Problemática Identificación del problema. Herramientas de hacking carecen de confiabilidad. Aumento en accesos no autorizados a información sensible. Desconocimiento de posibles vulnerabilidades de un sistema. 9 Problemática Alternativas de Solución. NetscanTools Nmap Metasploit Framework Essential Nettools Nessus Paquete de herramientas de Internet Exploración de red y auditoría de seguridad Información y herramientas para pruebas de penetración Herramientas de escaneo, seguridad y monitorización Escáner de vulnerabilidades y auditor de información sensible Herramientas existentes (Descripción) 10 5
Problemática Herramienta $ Netscan Tools $24900 Nmap Metasploit framework Essential Nettools $39 00 Nessus Tabla comparativa de las herramientas existentes (Sistemas Operativos soportados) 11 Problemática Un mecanismo que ofrezca soporte en simulaciones de intrusión. Solución propuesta. Un conjunto de herramientas integradas y fiables. 12 6
Problemática Creciente uso de simulaciones de intrusión como medida preventiva. Justificación. Aplicación de proyecto en el campo empresarial. 13 Objetivo Diseñar y desarrollar un conjunto de herramientas de hacking ético que asistan en la evaluación la seguridad de los sistemas. 14 7
Análisis Ping PathPing Traceroute Whois Reconocimiento Sniffer Escaner TCP/UDP Man in the middle DNS Poisoning Escaneo Denegación de Servicios Exploiting ARP/IP Spoofing Wireless hacking Ataque puro SQL Injection Backdoor Rootkit Mantenimiento del acceso Borrado de huellas Definición del Sistema 15 Análisis Entorno Tecnológico. 16 8
Análisis Subsistemas de Información 17 Análisis Arquitectura de entorno (Prueba de BlackBox) 18 9
Análisis Arquitectura de entorno (Pruebas de GrayBox y WhiteBox) 19 Diseño Arquitectura del Sistema. Arquitectura de 3 capas: 1. Presentación: wxwidgets 2. Lógica de Negocios: C++ 3. Acceso a datos: MySQL 20 10
Diseño Arquitectura del Sistema. Arquitectura del Sistema 21 Diseño Diagrama de Clases 22 11
Diseño Interfaz Gráfica. Pantalla principal del Sistema 23 Diseño Interfaz Gráfica. Pantalla de selección de interfaz 24 12
Diseño Interfaz Gráfica. Pantalla captura de tráfico 25 Trabajo Futuro Construcción del sistema. Pruebas aisladas y conjuntas de herramientas. Integración de herramientas finales. Documentación final. 26 13
Conclusiones Demostración de viabilidad y factibilidad del sistema. Delimitación funcional del sistema. Definición de minucias de diseño. 27 Fin Dudas, comentarios y aclaraciones: hacking.eticott@gmail.com 28 14
Anexos 29 Estudio de Viabilidad del Sistema (EVS) Herramienta R E Ap Ma Bh $ SO Total NetscanTools 4.5 7.5 4.5 3.0 9.0-6.0 2.5 25.0 Nmap 2.0 0.0 0.0 1.0 0.0 0.0 7.5 10.5 Metasploit framework Essential Nettools 0.0 0.0 3.0 0.0 0.0 0.0 5.0 8.0 1.0 1.0 3.0 4.0 0.0-0.7 2.5 11.2 Nessus 0.0 1.5 6.0 2.0 4.5 0.0 10.0 24.0 Tabla comparativa de las herramientas existentes (Ponderación de características) 30 15
Estudio de Viabilidad del Sistema (EVS) Esfuerzo: E = 2.4(8.5) 1.05 E = 22.7 persona/mes Tiempo: T = 22.7/3 T = 7.5 meses Costo: C = 22.7 *6895.2 C = $156,521 04 Estimación de Esfuerzo, Tiempo y Costo COCOMO 1 (Básico) 31 Estudio de Viabilidad del Sistema (EVS) MODO a b c d Orgánico 2.40 1.05 2.50 0.38 Semilibre 3.00 1.12 2.50 0.35 Rígido 3.60 1.20 2.50 0.32 Valores fijos de COCOMO 1 (Básico) Área geográfica Salario Mínimo A $57.46 B $55.84 C $54.47 Salarios mínimos por área geográfica. SAT (Enero 1, 2010) 32 16
Estudio de Viabilidad del Sistema (EVS) Tabla de ingresos mensuales (INEGI) 33 Estudio de Viabilidad del Sistema (EVS) Concepto Geográfico Desarrollo Tecnológico Operativo Descripción El conjunto de herramientas será utilizado en organizaciones mexicanas. La solución debe dar soporte a la metodología de Hacking Ético estudiada. Los mecanismos que pudieran conformar la solución deberán operar tanto individualmente como entre sí según lo determine el analista. La solución deberá adaptarse a las tecnologías Ethernet de acuerdo a la pila de protocolos TCP/IP. El mecanismo resultante deberá funcionar, al menos, con plataformas Windows y distribuciones Linux. El resultado del proyecto deberá presentar un grado de confiabilidad mayor al que pudiera encontrarse en las herramientas existentes. El resultado del proyecto deberá permitir al analista garantizar la seguridad de su uso a sus clientes. Catálogo de requisitos 34 17
Análisis del Sistema de Información (ASI) Diagrama de Casos de Uso 35 18