Ethical hacking: Test de intrusión. Principales metodologías (página 2)

Tests de intrusión ciega: se utiliza
únicamente la información pública disponible sobre
la empresa.
Esta prueba de penetración trata de simular los ataques de
un ente externo a la empresa.

• Tests de intrusión informada: se
  utiliza información privada, otorgada por la empresa,
  sobre sus sistemas informáticos. Esta prueba de
  penetración trata de simular ataques hechos por un
  ente interno a la empresa y con cierto grado de
  información privilegiada.

• Tests de intrusión externa: se realiza
  de manera externa a las instalaciones de la empresa. La
  motivación de esta prueba es evaluar los mecanismos
  perimetrales de seguridad informática de la
  empresa.

• Tests de intrusión interna: es
  realizada dentro de las instalaciones de la empresa con el
  motivo de probar las políticas y los mecanismos
  internos de seguridad de la empresa.

El resultado de este servicio le
brinda al cliente un
documento con una lista detallada de las vulnerabilidades
encontradas y certificadas (eliminación de falsos
positivos). Adicionalmente el documento provee una lista de
recomendaciones a aplicar, sobre la cual los responsables de
seguridad de
la
organización pueden apoyar su programa de
control.

2.2 ¿A quién va dirigido
este servicio?

A empresas con
infraestructura de red propia con servicios
accesibles desde el exterior, como por ejemplo, Internet
(compañías que alojen su propia página
web, Proveedores de
Servicios de
Internet (ISP), empresas que permitan el acceso remoto a sus
trabajadores (VPN, RAS),
etc.).

2.3 ¿Por qué es importante
realizar pruebas de
penetración periódicas?

La seguridad de una organización es un aspecto cambiante.
Una empresa
puede alcanzar un nivel de protección óptimo en un
momento determinado y ser totalmente sensible poco
después, tras cambios en la configuración de un
servidor o
tras la instalación de nuevos dispositivos de red. Al
mismo tiempo,
continuamente aparecen nuevos fallos de seguridad en softwares
existentes, que previamente se creían seguros.

Una política de
realización de pruebas de penetración
periódicas mitiga, en gran medida, el riesgo asociado a
un entorno en constante cambio, tal
como lo representan los sistemas
informáticos de cualquier
compañía.

2.4 Descripción del servicio

Las empresas dedicadas a realizar pruebas de
penetración, generalmente, al comenzar realizan un
reconocimiento de la visibilidad de los sistemas desde el
exterior. Comenzando por recopilar información sobre el
cliente (la organización a testear) y sobre los sistemas
informáticos de los que este dispone. Para ello se emplean
técnicas no intrusivas. Este análisis permite conocer qué tipo de
información muestra la
organización al exterior y puede ser accesible por
cualquiera.

A continuación se detalla que sistemas
entrarán dentro del alcance del test y se procede
a iniciar el ataque. En este ataque se respetan los siguientes
puntos, sujetos a cambios en función de
las necesidades del cliente:

• Se realiza desde una máquina remota, cuya
  dirección IP pública se pondrá en
  conocimiento del cliente antes de iniciar la
  intrusión.

• Se tienen en cuenta las metodologías OSSTMM,
  ISSAF y OWASP durante todo el proceso, aunque el equipo
  auditor podrá hacer chequeos adicionales no
  contemplados en estas metodologías fruto de
  experiencias previas.

• Durante el test no se realizarán pruebas de
  Denegación de Servicio o Ingeniería Social si
  no es solicitado expresamente por parte del
  cliente.

La realización del test está regida por
las siguientes fases. Cada una brinda información
útil para proteger en el futuro los sistemas del cliente y
para continuar analizando la red en fases posteriores:

1. Recopilación de información

2. Enumeración de la red

3. Exploración de los sistemas

4. Extracción de información

5. Acceso no autorizado a información
sensible

6. Auditoría de las aplicaciones
web

7. Elaboración de informes

8. Comprobación del proceso de
parcheado de los sistemas

9. Informe
final

2.5 Beneficios de un test de
intrusión

• 1. Proporciona un conocimiento del grado de
  vulnerabilidad de los sistemas de información,
  imprescindible para aplicar medidas correctivas.

• 2. Descubre fallas de seguridad tras cambios de
  configuración.

• 3. Determina sistemas en peligros debido a su
  desactualización.

• 4. Identifica configuraciones erróneas
  que pudieran desembocar en fallos de seguridad en
  dispositivos de red (switches, routers, firewalls,
  etc.).

• 5. Reduce la probabilidad de
  materialización de aquellos riesgos que pueden
  representar grandes pérdidas de capital debido
  a:

• facturación fallida

• reposición de los daños
  causados

• pérdida de oportunidad de negocio

• reclamación de clientes

• restitución de la imagen
  corporativa

• sanciones legales

• 6. Se ahorra tiempo y dinero al afrontar y
  corregir situaciones negativas antes de que
  sucedan.

3. Metodologías existentes para
realizar test de intrusión.

3.1 OSSTMM

Representa un estándar de referencia
imprescindible, para todo aquel que quiera llevar a cabo un
testeo de seguridad en forma ordenada y con calidad
profesional.

A fin de organizar su contenido, la metodología se encuentra dividida en varias
secciones. Del mismo modo, es posible identificar en ella, una
serie de módulos de testeo específicos, a
través de los cuales se observan cada una de las
dimensiones de seguridad, integradas con las tareas a llevar a
cabo en los diferentes puntos de revisión (Seguridad de la
Información, Seguridad de los Procesos,
Seguridad en las Tecnologías de Internet, Seguridad en las
Comunicaciones, Seguridad Inalámbrica y
Seguridad Física).

OSSTMM no solo alcanza los ámbitos
técnicos y de operación de seguridad tradicionales,
sino que, se encarga de normar aspectos tales como: las
credenciales del profesional a cargo del test, la forma en la que
el test debe ser comercializado, la forma en la que los
resultados del mismo deben ser presentados, las normas
éticas y legales que deben ser tenidas en cuenta al
momento de concretar el test, los tiempos que deberían ser
tenidos en cuenta para cada una de las tareas, y por sobre todas
las cosas, incorpora el concepto de RAVs
(Valores de
Evaluación de Riesgo) y con ellos la
frecuencia con la cual la prueba debe ser ejecutada a fin de
proveer más que una instantánea en el momento de su
ejecución.

3.2 ISSAF

Constituye un framework detallado respecto de las
prácticas y conceptos relacionados con todas y cada una de
las tareas a realizar al conducir un testeo de seguridad. La
información contenida dentro de ISSAF, se encuentra
organizada alrededor de lo que se ha dado en llamar "Criterios de
Evaluación", cada uno de los cuales ha sido escrito y/o
revisado por expertos en cada una de las áreas de
aplicación. Estos criterios de evaluación a su vez,
se componen de los siguientes elementos:

• Una descripción del criterio de
  evaluación

• Puntos y Objetivos a cubrir

• Los pre-requisitos para conducir la
  evaluación

• El proceso mismo de evaluación

• El informe de los resultados esperados

• Las contramedidas y recomendaciones

• Referencias y Documentación
  Externa.

Por su parte y a fin de establecer un orden preciso y
predecible, dichos "Criterios de Evaluación", se
encuentran contenidos dentro de diferentes dominios entre los que
es posible encontrar, desde los aspectos más generales,
como ser los conceptos básicos de la "Administración
de Proyectos de Testeo de Seguridad", hasta técnicas
tan puntuales como la ejecución de pruebas de
Inyección de Código
SQL (SQL
Injection) o como las "Estrategias del
Cracking de Contraseñas.

A diferencia de lo que sucede con metodologías
"más generales", si el framework no se mantiene
actualizado, muchas de sus partes pueden volverse obsoletas
rápidamente (específicamente aquellas que
involucran técnicas directas de testeo sobre determinado
producto o
tecnología). Sin embargo esto no
debería ser visto como una desventaja, sino como un punto
a tener en cuenta a la hora de su utilización.

3.3 OTP (OWASP Testitng
Project)

OTP promete convertirse en uno de los proyectos
más destacados en lo que al testeo de aplicaciones
web se
refiere. La metodología consta de 2 partes, en la primera
se abarcan los siguientes puntos:

• Principios del testeo

• Explicación de las técnicas de
  testeo.

• Explicación general acerca del framework de
  testeo de OWASP.

Y en la segunda parte, se planifican todas las
técnicas necesarias para testear cada paso del ciclo de vida
del desarrollo de
software.
Incorpora en su metodología de testeo, aspectos claves
relacionados con el "Ciclo de Vida del Desarrollo de Software" o
SDCL (Por sus siglas en Ingles "Software Development Life Cycle
Process") a fin de que el "ámbito" del testeo a realizar
comience mucho antes de que la aplicación web se encuentre
en producción.

De este modo, y teniendo en cuenta que un programa
efectivo de testeo de aplicaciones web, debe incluir como
elementos a testear: Personas, Procesos y Tecnologías, OTP
delinea en su primera parte conceptos claves a la vez que
introduce un framework específicamente diseñado
para evaluar la seguridad de aplicaciones web a lo largo de su
vida.

Paso 1 Antes de comenzado el
desarrollo

• a)  Revisión de
  Políticas y Estándares

• b)  Desarrollo de un Criterio de
  Medidas y Métricas (Aseguramiento de la
  Trasabilidad)

Paso 2 Durante la definición y
el diseño

• a) Revisión de los
  Requerimientos de Seguridad

• b) Diseño de
  Revisión de Arquitectura

• c) Creación y
  Revisión de modelos UML

• d) Creación y
  Revisión de modelos de Amenazas

Paso 3 Durante el
desarrollo

• a) Code
  Walkthroughs

• b) Revisión de
  Código

Paso 4 Durante el
deployment

• a) Testeo de Penetración
  sobre la Aplicación

• b) Testeo sobre la
  Administración y Configuración

Paso 5 Operación y
mantenimiento

• a) Revisión
  Operacional

• b) Conducción de Chequeos
  Periódicos

• c) Verificación del Control
  de Cambio

Conclusiones

El resultado de la violación de los sistemas y
redes
informáticas en todo el mundo ha provocado la
pérdida o modificación de los datos sensibles a
las organizaciones,
representando daños que se traducen en miles o millones de
dólares.

Esta situación se presenta gracias a los esquemas
ineficientes de seguridad con los que cuentan la mayoría
de las compañías a nivel mundial, y porque no
existe conocimiento
relacionado con la planeación
de un esquema de seguridad eficiente que proteja los recursos
informáticos de las actuales amenazas
combinadas.

Podemos afirmar entonces que una alternativa viable, en
aras de alcanzar una seguridad
informática apropiada para cualquier red o sistema (aunque
para la mayoría de los expertos el concepto de seguridad
en la informática es utópico porque no
existe un sistema 100% seguro) lo
representa, sin duda alguna, las empresas que se dedican a estos
menesteres, jugando un rol importante en esta tarea los servicios
de ethical hacking.

En este trabajo, luego
de realizar una introducción previa al tema, se
abordó de manera resumida el enfoque al que están
dirigidos los servicios de ethical hacking. Se profundizó
en los llamados test de intrusión, una de las principales
técnicas utilizadas por los ethical hacking, abordando los
diferentes tipos que existen, su definición, la
importancia y los beneficios que pueden aportar. Finalmente se
analizaron las principales metodologías que existen en la
actualidad para desarrollar estas tareas, capaces de garantizar
una correcta ejecución y elevados niveles de calidad. Se
proporcionó una breve descripción de cada una de
ellas.

Se considera que este trabajo conduce a una
investigación mucho más profunda y
abarcadora del tema en cuestión, pero aun así,
resulta un estimulante acercamiento a un servicio de gran
importancia capaz de adaptarse a las necesidades propias de cada
cliente.

Bibliografía

• 
  http://www.taringa.net/posts/downloads/1278555/Career-Academy-Certified-Ethical-Hacker-CBT.html

• 
  http://jorgesaavedra.wordpress.com/category/ethical-hacking/

• 
  http://siscot.com.ar/Curso-de-ETHICAL-HACKING-CICLO-2009-ABIERTA-LA-INSCRIPCION.html

• 
  http://www.snsecurity.com/index.php?option=com_content&task=view&id=60&Itemid=89

• http://www.owasp.org/index.php/Main_Page

• http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf

• 
  http://www.pcworld.com.ve/n111/articulos/informe2.html

• 
  http://www.securityfocus.com/archive/128/425004/30/270/threaded

• http://www.seinhe.com/servicios/test-de-intrusion/

• 
  http://www.shellsec.net/articulo/que-software-seguridad-usas/

Anexos

Herramientas de análisis de vulnerabilidades
en redes y sistemas informáticos.

ModSecurity

URL: www.modsecurity.org

S.O.: Windows,
Linux, BSD-
etc

Tipo: Seguridad servidor web

Licencia: GPL

Descripción:

ModSecurity es una herramienta para la detección
y prevención de intrusiones para aplicaciones web, lo que
se podría denominar como "firewall web".
Este motor funciona
como módulo de Apache, incrementando la seguridad del
servidor web frente a ataques de tipo tanto conocido como
desconocido. Ayuda a evitar, entre otros tipos de
ataque:

• Técnicas anti-evasión

• Supervisa código HTML y cookies

• Análisis de los contenidos pasados al
  servidor mediante el método POST

• Permite realizar completas auditorías de los
  POSTs realizados

• Soporta HTTPS

• Soporta contenidos comprimidos

GnuPG

URL: http://www.gnupg.org/(es)/

S.O.: Windows, Linux, BSD- etc

Tipo: Encriptación mensajes

Licencia: GPL

Descripción:GnuPG es un reemplazo completo y
libre para PGP. Debido a que no utiliza
el algoritmo patentado IDEA , puede ser utilizado sin
restricciones. GnuPG es una aplicación que cumple el RFC
2440 (OpenPGP).

GnuPG en sí mismo es una utilidad de
línea de comandos sin
ninguna característica gráfica. Se trata del motor
de cifrado, en sí mismo, que puede ser utilizado
directamente desde la línea de comandos, desde programas
(guiones) de shell (shell scripts) o por otros programas. Por lo
tanto GnuPG puede ser considerado como un motor (backend) para
otras aplicaciones.

De todos modos, incluso si se utiliza desde la
línea de comandos, proporciona toda la funcionalidad
necesaria, lo que incluye un sistema interactivo de menús.
El conjunto de órdenes de esta herramienta siempre
será un superconjunto del que proporcione cualquier
interfaz de usuario (frontend). 

Principales características:

• Reemplazo completo de PGP.

• No utiliza algoritmos patentados.

• Con licencia GPL, escrito desde cero.

• Puede utilizarse como filtro.

• Implementación completa de OpenPGP (vea RFC
  2440 en RFC Editor
  ).

• Funcionalidad mejorada con respecto a PGP y mejoras
  de seguridad con respecto a PGP 2.

• Descifra y verifica mensajes de PGP 5, 6 y
  7.

• Soporta ElGamal, DSA, RSA, AES, 3DES, Blowfish,
  Twofish, CAST5, MD5, SHA-1, RIPE-MD-160 y TIGER.

• Facilidad de implementación de nuevos
  algoritmos utilizando módulos.

• Fuerza que el identificador de usuario (User ID)
  esté en un formato estándar.

• Soporta fechas de caducidad de claves y
  firmas.

• Soporta inglés, danés,
  holandés, esperanto, estonio, francés,
  alemán, japonés, italiano, polaco,
  portugués (brasileño), portugués (de
  Portugal), ruso, español, sueco y turco.

• Sistema de ayuda en línea.

• Receptores de mensajes anónimos,
  opcionalmente.

• Soporte integrado para servidores de claves HKP
  (wwwkeys.pgp.net).

• Limpia ficheros firmados con "firma en claro", que
  pueden ser procesados en lotes.

Nessus

URL: http://www.nessus.org/

S.O.: Linux, BSD y otros

Tipo: Escáner de
vulnerabilidades

Licencia: GPL

Descripción:Nessus es un potente escáner
de vulnerabilidades remotas y locales. Usa una base de datos
con vulnerabilidades conocidas y testea la seguridad del host que
se le indique. Esta base de datos es actualizada a diario, y
permite buscar todos los agujeros posibles de una forma
automatizada.

Para IDS (Intrusion Detection Sistem) recomiendo Snort,
puede utilizarse a nivel personal y
profesional.

Snort

URL: http://www.snort.org

S.O.: Linux, Win32, OSX

Tipo: Detector de intrusos de tipo HIDS (Host IDS) y
NIDS (Network IDS)

Licencia: GPL

Descripción:

Snort es un IDS, capaz de realizar análisis del
tráfico de red en tiempo real. Puede realizar
análisis del protocolos,
buscar y detectar contenido que puede ser utilizado por usuarios
maliciosos para realizar ataques de tipo desbordamiento de
buffer, la negación de servicio, un escaneo de puertos,
ataque web de tipo inyección de código SQL, ataques
a cgis o actividades de troyanos, de virus  y
mucho más cosas.

Dependiendo de las alertas se le notifica a Snort que se
comunique con IPTables (Firewall conocido de linux) para bloquear
determinada IP o rango de
IPs.

NMAP

Nmap ("Network mapper") es un servicio gratuito y de
código abierto (licencia) de utilidad para la
exploración de red o de auditoría de seguridad. A
muchos sistemas y administradores de red también les
resulta útil para tareas como la red de inventario,
gestión
de horarios de servicio de actualización, seguimiento y
tiempo de actividad o servicio de acogida.

Snort Snort puede ser usado como un "sistema de
detección de intrusiones" (IDS) de poco peso. Posee un
registro
basado en reglas y puede buscar/identificar contenido
además de poder ser
usado para detectar una gran variedad de otros ataques e investigaciones,
como buffer overflows, barridos de puertos indetectables (stealth
port scans), ataques CGI, pruebas de SMB (SMB probes), y mucho
más.

WIKTO

Completa herramienta para analizar vulnerabilidades en
aplicaciones web. Permite realizar fingerprinting del servidor
web, extracción de directorios y links, análisis de
vulnerabilidades, ataques man-in-the-middle.

NETCAT Netcat (a menudo referida como la navaja multiusos de
los hackers) es una
herramienta de red bajo licencia GPL (en la versión de
GNU) disponible para sistemas UNIX, Microsoft y
Apple que permite a través de intérprete de
comandos y con una sintaxis muy sencilla abrir puertos TCP/UDP en
un HOST, forzar conexiones UDP/TCP.

Kismet Kismet es un sniffer, un husmeador de paquetes, y un
sistema de detección de intrusiones para redes
inalámbricas 802.11. Kismet funciona con cualquier
tarjeta inalámbrica que soporte el modo de
monitorización raw, y puede rastrear tráfico
802.11b, 802.11a y 802.11g. El programa corre bajo Linux,
FreeBSD, NetBSD, OpenBSD, y Mac OS X. 11 6.
  

Ettercap

Ettercap es un interceptor/sniffer/registrador para LANs
con switch. Soporta
direcciones activas y pasivas de varios protocolos (incluso
aquellos cifrados, como SSH y HTTPS). También hace posible
la inyección de datos en una conexión establecida y
filtrado al vuelo aun manteniendo la conexión sincronizada
gracias a su poder para establecer un Ataque Man-in-the-middle
(Spoofing).

Spywareblaster Programa que previene la intrusión de
Software maligno como espías, adware, dialers… en
nuestro sistema, tanto de los que se intentan instalar mediante
controles Active-X como por otros medios.
Funciona para IExplorer y para Mozilla Firefox. No
realiza ni escaneo ni eliminación del software maligno que
pudiera haber en el equipo, sólo funciona como un programa
de prevención que impide la instalación de este
software maligno en el ordenador.

ZoneAlarm Permite bloquear tráfico no deseado y
restringir el acceso no deseado de aplicaciones a Internet.
Diferencia entre zona local y zona Internet a la hora de
establecer restricciones de accesos. Por defecto, bloquea el
acceso externo a todos los servicios del sistema (y a todos los
puertos, por lo tanto) permitiendo solamente el acceso a aquellos
explícitamente indicados. Dispone de filtrado por
ubicación (direcciones o intervalos IP) y por protocolo y
puerto.

Secunia El Secunia Software de inspectores son los primeros
escáneres de vulnerabilidad interna que se centran
exclusivamente en la detección y evaluación de
parches de seguridad que falten, el resultado es un nivel sin
precedentes de escaneo de precisión. La búsqueda de
los desaparecidos de parches de seguridad y las vulnerabilidades
no han sido más fácil o más
preciso.

Autor:

Mallelin Bolufe Chavez

Maikel Menéndez
Méndez

Cuidad de la Habana, Mayo de
2009