Hacking Etico v2

5/8/2018 Hacking Etico v2 - slidepdf.com

http://slidepdf.com/reader/full/hacking-etico-v2 1/30

Hacking Ético



Derechos reservados © 2011 Centauri Technologies Corporation

Agenda

01 Introducción

02 Fase de planificación

03 Fase de ejecución04 Fase de análisis y reporting

05 Anexo




DefiniciónUn proyecto de Hacking Ético consiste en violar de forma controlada laseguridad de los sistemas informáticos de una organización. Esto es, dela misma forma que lo haría un pirata informático (hacker) pero de formaética.

La ³forma ética´ significa que previamente al inicio de los ataques seacuerdan por escrito las reglas del juego entre el atacante y elatacado.

Algunas denominaciones: Black hat: Cracker.

White hat: Hacker ético. Grey hat: A veces lo uno y a veces lo otro. Hacktivist: Hacking ideológico.

01. INTRODUCCIÓN




ObjetivoUn proyecto de Análisis de vulnerabilidades persigue la identificaciónde debilidades en configuraciones, controles de acceso, etc. pero norequiere necesariamente la explotación de la vulnerabilidad.

Un proyecto de Prueba de penetración se realiza sobre el control deacceso de una aplicación, red, etc. Suele tener un ámbito muy concreto.

Un proyecto de Hacking Ético puede combinar los anteriores y siemprepersigue la obtención de un premio o evidencia de cumplimiento de losobjetivos pactados. Los posibles premios tienen que ser identificadosantes de iniciar los ataques y, a ser posible, ser obtenidos sin que la

víctima se aperciba de ello.

El ³premio´ puede ser de diferentes tipos, como por ejemplo: Un fichero confidencial (Nómina de un alto cargo).

La interrupción de un servicio durante un intervalo de tiempo.

Falsificación de información (destino de una transferencia bancaria).




Tipos de EscenariosSe distinguen tres tipos de escenarios principales:

Externo de Caja Blanca

La organización que será atacada facilita cierta información alatacante: direcciones IP, URLs, topología de la red, nombres deservidores, etc.

Externo de Caja Negra

No se facilita ningún tipo de información al atacante. Interno (o de Caja Gris)

Los ataques se realizan exclusivamente desde la red interna dela organización.

Normalmente se proporciona un identificador de usuario conbajos privilegios para simular que el atacante es un empleado.

Dentro de cada uno de los anteriores podrían distinguirse diferentes subtipos enfunción de:

Activos atacados (aplicaciones, comunicaciones, etc.).

Sector de la Organización (banca, defensa, utilities, etc.).

Grado de agresividad (sólo software gratuito, intento de denegación de

servicio, etc.).




A quién interesa y para qué

A organizaciones de muy diverso tipo que estén preocupadas por verificar que sus medidas de seguridad responden a sus necesidades yprotegen sus activos adecuadamente.

Pueden suceder dos cosas:

No se logró el premio: La organización tiene unaprotección acorde a sus necesidades. Esto no significa que no

haya puntos débiles, sino que para explotarlos: Se requiere una cualificación extraordinaria.

No se dispuso de tiempo.

Las herramientas utilizadas no eran suficientemente sofisticadas.

Etc.

Sí se obtuvo Es necesario diseñar un plan de acción y llevarlo a cabo para elevar los

niveles de protección.




Pasos a seguir Consta de tres fases:

Planificación

E jecución

Análisis




Objetivos

�Es la fase que tiene lugar antes de llevar a cabo los ataques ypersigue principalmente:

� Identificar sin ambigüedad cuál es el objetivoperseguido.

� Establecer las reglas del juego.

� Transmitir necesidades específicas.

�Se debe obtener un contrato firmado donde se exonere alhacker ético de toda responsabilidad como consecuencia de susacciones siempre que tengan lugar dentro del marco acordado.




Aspectos importantes Ámbito autorizado:

Direcciones IP, segmentos de red, aplicaciones, servicios, etc.

Origen de los ataques.

Horario: Intervalos temporales en los que se permite realizar los ataques.

Herramientas: Identificar si se admiten herramientas sofisticadas o sólo

aquellas que se pueden descargar gratuitamente.

Técnicas: Se permiten ataques manuales, ataques automáticos o ambos.

Impacto:

Identificar si se aceptan ciertos impactos como la interrupcióndel servicio u otros.

Premios autorizados: Confidencialidad y custodia de evidencias.

Compromisos: Confidencialidad y custodia de evidencias.

Soporte a la recuperación.




Plan de traba joSe puede considerar que es, en muchos aspectos, similar a cualquier proyecto de auditoría.

Su particularidad reside en que a veces no se informa a losadministradores que gestionan los activos atacados.

Se identificará al menos:

Los aspectos anteriormente mencionados.

Fecha de inicio y fecha de fin.

Equipo participante por parte de los atacantes (nombres oroles).

Contenido de los informes a presentar .




Índice

01 Introducción

02 Fase de planificación

03 Fase

de

ejecución04 Fase de análisis y reporting

05 ANEXOS




El ataquePersigue violar algún aspecto importante de la seguridad:

Confidencialidad: Se tratará de obtener informaciónque la organización desea mantener oculta.

Autenticidad: Se tratará de suplantar la identidad dealguien o de poner en entredicho el origen de lainformación.

Integridad: Se tratará de modificar la informaciónalmacenada o transmitida.

Disponibilidad: Interrumpir el funcionamiento de unservicio o degradar su rendimiento.




Pasos a seguir

Reconocimiento: activo o pasivo.

Escaneo.

Obtener Acceso: credenciales válidas a nivel de red,sistema operativo o aplicación.

Mantener el Acceso: proteger las credenciales obtenidaspara que no puedan ser revocadas.

Borrado de huellas: evitar la detección para poder repetir elataque en otra ocasión sin poner en guardia a la víctima.

1. Reconocimiento

2. Escaneo

3. Obt. acceso

4. Mant. acceso5. Borrado huellas




Pasos a seguir

Las preguntas que guían la secuencia de la ejecuciónson:

Reconocimiento y escaneo ó ¿Qué puede saber un intruso desu objetivo?

Obtener y mantener el acceso ó ¿Qué puede hacer un intrusocon esa información?

Borrado de huellas ó ¿Se podría detectar un intento deataque?




1. Reconocimiento

Reconocimiento

Se realiza siempre previamente a cualquier ataque ysu principal objetivo es recabar información sobre elobjetivo.

Algunas técnicas utilizadas:

Ingeniería social (no técnico).

Google hacking (intext, intitle, inurl, etc.).

Sniffing.

Etc.

2. Escaneo

3. Obt. acceso





2. EscaneoEscaneo

Es una fase de pre-ataque.

Se escanea la red pero ya con información de la fase previa.

Detección de vulnerabilidades y puntos de entrada.

El escaneo puede incluir el uso de dialers, ports scanners, network

mapping, sweeping, vulnerability scanners, etc.

Reconocimiento activo: Probar la red para detectar:

Hosts accesibles, Puertos abiertos, Localización de routers,Detalles de sistemas operativos y servicios

1. Reconocimiento 3. Obt. acceso





2. Escaneo



Obtención de

acceso (I«)

La obtención de acceso ya forma parte del ataque propiamente dicho.

Por ejemplo, una vez identificada una vulnerabilidad, hacer uso delexploit o bug que permite aprovecharse de ella:

Desbordamiento de buffer .

DoS (Denegación de servicio).

Secuestro de sesión (por ejemplo con ataques de tipo Man-in-the-middle).

Obtención de contraseñas por fuerza bruta. Usuarios por defecto.

El hacker puede obtener acceso ³a nivel de´ sistema operativo o dered (usuarios por defecto).




Obtención de acceso («II)Inyección SQL

Se puede llevar a cabo cuando alguno de los campos de un formulario webpermite introducir comillas y otros caracteres especiales como ³;´.

1. Hacemos una prueba y en el campo vulnerable del formulariointroducimos algo inocuo como

³SELECT * FROM usuarios WHERE nombre = 'Aliciaµ´

1. Vemos que funciona y no da errores o devuelve algo con sentido. Aveces, incluso si el sistema devuelve un error nos devuelve laestructura de las tablas.

2. Introducimos código malicioso para alterar el contenido como:

³SELECT * FROM usuarios WHERE nombre = 'Aliciaµ; DROP TABLE

usuarios;´




Mantener el acceso

Mantenimiento del acceso se trata de retener los privilegiosobtenidos.

A veces un hacker blinda el sistema contra otros posibles

hackers o contra los administradores de los sistemas que estáatacando.

Las herramientas o técnicas utilizadas más habitualmente sonlos Rootkits, Troyanos y Puertas traseras.

2. Escaneo






Borrado de huellas

Se intenta no ser descubierto.

Hay técnicas más intrusivas (y por lo tanto delatoras) que otras.

Cuanto más discreto sea el ataque, más oportunidad existirá de poder

llevarlo a cabo de nuevo y, por lo tanto, hacer más daño.

Las herramientas o técnicas utilizadas se denominan genéricamenteZappers.

2. Escaneo






INDICE

01 Introducción

02 Fase de planificación03 Fase de ejecución

04 Fase de análisis y reporting

05 ANEXOS




Información a entregar

Todos los detalles de los resultados de las actividades y pruebas dehacking realizadas.

Todas las evidencias recabadas.

Comparativa de los resultados obtenidos frente a lo acordadopreviamente en el contrato.

Se detallarán las vulnerabilidades y se sugerirá cómo evitar que hagauso de ellas.

Debe ser absolutamente confidencial. Todo lo que se entregue enformato electrónico deberá ser cifrado con una contraseña difícil deromper.

Dada la delicadeza de lo que se pueda haber encontrado, en primerainstancia sólo se informará directamente a la persona que contrató elservicio. Será esta persona quien decida cómo y a quién se le harápartícipe de los resultados.




INDICE

01 Introducción02 Fase de planificación

03 Fase de ejecución

04 Fase de análisis y reporting

05 ANEXOS




Algunas herramientas (I«)

Exploración de puertos o de red: Nessus para detección de vulnerabilidades.

NMAP para exploración de red.

Netcat: Herramienta de red que permite escribir y leer datos a través de conexiones TCP/IP

I dentificación de vulnerabilidades:

Nikto:Herramienta de código abierto utilizada para realizar análisis de servidores web.

GetSids: Herramienta que enumera los Sids de Oracle através de peticiones al Oracle TNS listener.

OAT: Conjunto de herramientas para auditar bases dedatos Oracle.

SQLAT: Conjunto de herramientas para hacer análisis devulnerabilidades sobre bases de datos MS SQL.




Algunas herramientas («II«)

T est de penetración: Metasploit para desarrollar, testear y utilizar exploits.

Paros Proxy es una herramienta de código abiertoutilizada para evaluar la seguridad de aplicaciones web.

Análisis wireless:

Kismet permite analizar el tráfico y detectar intentos deintrusión en redes wireless 802.11.

Wicrawl para análisis y auditoría wireless.

P assword cracking:

Cain & Abel

John The Ripper




Algunas herramientas («III)

O btención de información: dig: Consultas a servidores DNS.

Dnsenum: Obtener información de un dominio.

Finger google: Permite encontrar nombres de cuentas deusuario

fport: Puertos TCP y UDP abiertos asociados a unaaplicación determinada

Google-search: Script para realizar consultas en Google através de la línea de comandos.

Itrace: Herramienta que implementa la funcionalidad de

traceroute utilizando paquetes ICMP echo request. Nmbscan: Utiliza los protocolos netbios/smb/nmb para

sondear los archivos compartidos en una red.




Agujero: Es un defecto en el software o hardware (bug, hole). Bomba lógica: Código que ejecuta una particular manera de ataque

cuando una determinada condición se produce. Desbordamiento de buffer: se produce cuando se copia una cantidad de

datos sobre un área que no es lo suficientemente grande paracontenerlos, sobrescribiendo de esta manera otras zonas dememoria.

Caballo de Troya (o Troyano): Programa que se queda residente en unsistema y que ha sido desarrollado para obtener algún tipo deinformación.

COPS: Programa de seguridad.

Crackeador de contraseñas: Programa utilizado para descifrar lascontraseñas almacenadas en un sistema. Cross-site scripting: Explotación de vulnerabilidades del sistema de

validación HTML. Dialer: Programa que escanea números telefónicos utilizando un

módem.

Algo de terminología (I«)




Algo de terminología («II«)

Exploit: Método concreto de usar un agujero de algún programa. Fuerza bruta: Procedimiento basado en aprovechar diccionarios para

comparar extraer datos cifrados.

Man in the Middle: Técnica en la que el atacante adquiere lacapacidad de leer, insertar y modificar a voluntad, los mensajes entredos partes sin que ninguna de ellas conozca que el enlace entre ellos

ha sido violado. Puerta trasera: Mecanismo utilizado por el programador para poder

acceder de manera fraudulenta.

Rootkit: Herramienta que tiene como objetivo esconderse a sí mismay/o a otras herramientas para permitir al intruso mantener el acceso.

Inyección SQL: Aprovechar el filtrado incorrecto de las variablesutilizadas en las partes del programa con código SQL.




Algo de terminología («III)

Secuestro de sesión: técnica que consiste en interceptar unasesión TCP iniciada entre dos equipos para secuestrarla.Como la comprobación de autenticación se hace sólo al abrir lasesión, se puede controlar la conexión durante toda la sesión.

Sniffer: Programa que monitoriza los paquetes de datos que

circulan por una red. Sweeping: Barrido electrónico de frecuencias.

Zapper: Programa utilizado para borrar las huellas de unsistema.




¡Gracias!

[email protected]: 360-2219

Centauri Technologies Corporation

Innov

ac ión a

su medid a

Hacking Etico v2

Documents

Transcript of Hacking Etico v2