Lic. Luis RamLic. Luis Ramíírezrezlramirez@cybsec.comlramirez@cybsec.com

18 de Noviembre de 200918 de Noviembre de 2009AsunciAsuncióón, Paraguayn, Paraguay

Penetration TestMetodologías

&Usos

2

Agenda

Metodología y Usos de los PenTest

• Introducción

• Seguridad Informática en los Sistemas

• Objetivos, Tipos y Alcances

• Etapas de un Proyecto

• Casos Reales

• Conclusiones

•33

Introducción

4

Introducción

Metodología y Usos de los PenTest

¿ Qué es un PenTest ?

Es un conjunto de metodologías y técnicas que permiten realizar una evaluación integral de las debilidades de los sistemas informáticos.

Consiste en un modelo que reproduce intentos de acceso de un potencial intruso desde los diferentes puntos de entrada que existan, tanto internos como remotos, a cualquier entorno Informático.

Permite detectar vulnerabilidades en los Sistemas Informáticos y corregirlas en forma rápida y eficaz.

A los PenTest también se los denomina Hacking Ético o Test de Intrusión.

•55

La Seguridad Informática en los

Sistemas

6

La Seguridad Informática en los Sistemas

Metodología y Usos de los PenTest

La Seguridad Informática es Dinámica.

Esto conlleva a la constante actualización de los sistemas y conocimientos necesarios para afrontar los nuevos riesgos que aparecen con las distintas vulnerabilidades.

7

La Seguridad Informática en los Sistemas

Metodología y Usos de los PenTest

CCóómo hacen los intrusos para ingresar en los mo hacen los intrusos para ingresar en los sistemas?sistemas?

Definitivamente, no como en las películas.

Los intrusos aprovechan vulnerabilidades de seguridad, descuidos, y configuraciones inseguras para ingresar en forma no autorizada.

“El nivel de seguridad informática global de toda una instalación es igual al componente de menor nivel de seguridad”.

8

La Seguridad Informática en los Sistemas

Metodología y Usos de los PenTest

Incidentes de Seguridad InformIncidentes de Seguridad Informáática en Paraguaytica en Paraguay

Ataques a páginas web de Paraguay, la mayoría de ellas de tipo “Defacements”.

http://www.zonehttp://www.zone--h.org/h.org/

99

Objetivos, Tipos & Alcances

10

Objetivos, Tipos & Alcances

Metodología y Usos de los PenTest

• Evaluar un proyecto o sistema

• Mejora continua de seguridad

• Conocer la situación real de la Organización

• Medir y obtener una calificación objetiva del nivel de seguridad

• Cumplir con regulaciones (MCIIEF, PCI, SOX, etc.) y auditorías

Objetivos de un PenTest:

11

Metodología y Usos de los PenTest

El PenTest permite demostrar los riesgos funcionales de las vulnerabilidades detectadas:

• “La versión de Apache utilizada es susceptible a problemas de Buffer Overflow. Esto permitió acceder con privilegios de administrador al servidor UNIX que sirve de soporte a SAP. Con este nivel de acceso, es posible ocasionar una Denegación de Servicio y hasta el fraude o pérdida deinformación crítica para la compañía.”

• “Se detectaron recursos compartidos en estaciones de trabajo con permisos de lectura para Everyone. En los mismos se hallaron planillas Excel con los usuarios y contraseñas de diversos sistemas, entre ellos las bases de datos de Pagos y Ventas On-Line”

Objetivos, Tipos & Alcances

12

Metodología y Usos de los PenTest

MetodologMetodologíía de una intrusia de una intrusióónn

Objetivos, Tipos & Alcances

Los ataques pueden ser perpetrados en forma Externa o Interna.

Los ataques externos son más fáciles de detectar y repeler que los ataques internos. El intruso interno ya tiene acceso a la red interna o incluso al mismo Server que quiere atacar.

Barreras deProtección

ServidoresInternos

13

Metodología y Usos de los PenTest

Objetivos, Tipos & Alcances

La composición del PenTest se define a través del alcance del mismo.

Éste debe concretarse en reuniones previas; puede tener un alcance amplio y cubrir toda la organización, o puede ser focalizado sobre un determinado sistema o equipo, por ejemplo un sistema de Home Banking conectado a Internet.

También se define en esta instancia el tiempo de ejecución. El PenTest debe ser una “foto” que refleje el estado de la seguridad informática de las instalaciones, por lo tanto, los proyectos de este tipo no suelen extenderse a más de 1 mes.

14

Metodología y Usos de los PenTest

Objetivos, Tipos & Alcances

En forma general, y de acuerdo al alcance, los proyectos de PenTest pueden categorizarse en:

Externos.

Internos.

Aplicación Web

Wireless

MetodologMetodologííasas• Black-Box• Grey-Box• White-Box

15

Metodología y Usos de los PenTest

PenTest ExternoPenTest Externo

Durante su ejecución se somete a los sistemas a pruebas de seguridad informática que simulan las que se producen durante la realización de un ataque y/o intento de intrusión desde afuera de la instalación. Algunas de las actividades principales pueden ser:

• Barrido de líneas telefónicas.• Análisis del sistema de acceso remoto.• Situación de la seguridad perimetral y en la conexión a Internet.• Seguridad en la conexión con otras redes.• Seguridad en aplicaciones Web.• Pruebas de ingeniería social.

Objetivos, Tipos & Alcances

16

Metodología y Usos de los PenTest

Objetivos, Tipos & Alcances

PenTest InternoPenTest Interno

Durante su ejecución se somete a los sistemas a pruebas de seguridad informática que simulan las que se producen durante la realización de un ataque y/o intento de intrusión desde dentro de la instalación. Algunas de las actividades principales pueden ser:

• Seguridad en los dispositivos de red Internos.• Seguridad de los principales servidores.• Seguridad general de las estaciones de trabajo. • Seguridad de las aplicaciones.• Seguridad en las Bases de Datos• Seguridad en redes inalámbricas.

•1717

Etapas de un Proyecto

18

Metodología y Usos de los PenTest

Etapas de un Proyecto

19

Metodología y Usos de los PenTest

Etapas de un Proyecto

¿¿CCóómo se realiza un PenTest?mo se realiza un PenTest?

Se utiliza una metodología de evaluación de seguridad informática que incluye cuatro grandes etapas:

1) Descubrimiento2) Exploración3) Evaluación4) Intrusión

Si bien el orden de las etapas no es arbitrario, en muchos casos se paralelizan o adelantan tareas dependiendo de las características de la plataforma evaluada.

20

Metodología y Usos de los PenTest

Etapas de un Proyecto

Etapa de DescubrimientoEtapa de Descubrimiento

Se centra en entender los riesgos del negocio asociado al uso de los activos informáticos involucrados.

Se realizan investigaciones tratando de recolectar información pública sobre la plataforma tecnológica del cliente.

Incluye todas las pruebas para detectar las conexiones de la Empresa a Internet, la evaluación de servicios de DNS externos, la determinación de rangos de direcciones IP, rangos telefónicos y sitios web, y la identificación de instalaciones físicas.

21

Metodología y Usos de los PenTest

Etapas de un Proyecto

Etapa de ExploraciEtapa de Exploracióónn

Se busca focalizar los objetivos para las posteriores etapas de Evaluación e Intrusión.

En esta etapa se aplican técnicas no intrusivas para identificar todos los potenciales blancos.

Incluye el análisis de protocolos, relevamiento de plataforma y barreras de protección, scanning telefónico, scanning de puertos TCP y UDP, detección remota de servicios y sistemas operativos, análisis de banners y búsqueda de aplicaciones web.

22

Metodología y Usos de los PenTest

Etapas de un Proyecto

Etapa de EvaluaciEtapa de Evaluacióónn

Se basa en el análisis de todos los datos encontrados para la detección y determinación de vulnerabilidades de seguridad informática que afectan a los sistemas evaluados.

Durante esta etapa se realizan las evaluaciones de seguridad en todos los posibles niveles.

Se pueden llegar a correlacionar vulnerabilidades, que de forma separada tienen un nivel de riesgo bajo.

23

Metodología y Usos de los PenTest

Etapas de un Proyecto

Etapa de IntrusiEtapa de Intrusióónn

Se focaliza en realizar pruebas de los controles de seguridad y ataques por medio de secuencias controladas a las vulnerabilidades propias de los sistemas identificados.

Aquí se utiliza el conocimiento adquirido en etapas previas para buscar alternativas que permitan acceder a los sistemas y obtener el control de los mismos.

Es en esta fase donde se prueba la eficiencia del equipo que lleva a cabo el PenTest.

24

Metodología y Usos de los PenTest

Etapas de un Proyecto

A nivel mundial existen estándares relacionados con PenTesting:

• BS 7799 e ISO 27001• Open Source Security Testing Methodology Manual (OSSTMM)• Open Web Application Security Project (OWASP)• Best Practices in Computer Security• Federal Information System Controls Audit Manual (FISCAM)

Regulaciones Locales que exigen Pentesting:

• Manual de Control Interno Informático para Entidades Financieras (MCIIEF) • Resolución BCP SB.SG. N° 00179/2005• PCI – Requiere PenTest Ext/Int, Scannings trimestrales y PenTest wireless.

•2525

Casos Reales

26

Casos Reales

Metodología y Usos de los PenTest

Empresa A - Paraguay

• En un Pentest Interno se tomó el control del servidor de CCTV pudiendo obtener control total de las camaras conectadas a ese servidor

Empresa B – Argentina

• Se logro capturar trafico de VoIP y escuchar las conversaciones telefónicas.

Empresa C – Paraguay

• Se explotó una vulnerabilidad en un software que almacena en forma protegida las contraseñas. Mediante esto se pudo tener acceso a todas las contraseñas de todos los equipos de la compañía.

27

Casos Reales

Metodología y Usos de los PenTest

Empresa D - Argentina

• En un Pentest Externo a una empresa farmacéutica, se logróexplotar una vulnerabilidad de “upload” de archivos para ejecutar código arbitrario en un servidor Web.• Luego, se utilizaron técnicas para elevar privilegios y tomar el control de ese servidor y se “crackearon” las contraseñas de los usuarios.• Desde allí y aprovechando una mala configuración del Firewall de la DMZ, se accedio a la LAN y se pudo acceder a otros servidores con las mismas contraseñas que el primer servidor.• En definitiva, desde Internet se logró acceso al disco local del Gerente General, en donde se encontró un archivo de backup de su Blackberry, que entre otras cosas tenía la clave de su

t b i !!!

28

Casos Reales

Metodología y Usos de los PenTest

Empresas en General

• Equipos con falta de parches de seguridad instalados.

• Equipos con usuarios y contraseñas triviales.

• Equipos con programas DEMO e instalaciones por defecto en

Sistemas en Producción.

29

Conclusiones

Conclusiones

Metodología y Usos de los PenTest

El PenTest nos permite conocer el nivel de seguridad informático de nuestra red, sistemas y personas, analizándolo desde los distintos ángulos de operación de un posible atacante.

Es conveniente realizar PenTests periódicos, llevados a cabo por profesionales altamente especializados.

Los sistemas críticos (ERP’s, CRM’s, etc) deben ser evaluados, ya que un ataque a los mismos puede resultar altamente perjudicial para la organización.

La capacitación del personal no técnico es clave para la protección frente a los nuevos ataques.

Preguntas

Gracias porGracias poracompaacompaññarnos.arnos.

Lic. Luis RamLic. Luis Ramíírezrezlramirez@cybsec.comlramirez@cybsec.com