1
2
Adelantándose a los HackersAdelantándose a los HackersHerramientas y técnicas de Herramientas y técnicas de testingtesting de vulnerabilidades de vulnerabilidades
Lic. Julio C. ArditaLic. Julio C. [email protected]@cybsec.com
5 de Julio de 2001Buenos Aires - ARGENTINA
© 2001 CYBSEC
3
© 2001 CYBSEC
Adelantándose a los HackersAdelantándose a los Hackers
TemarioTemario
- Vulnerabilidades de Seguridad Informática.
- ¿Cómo ingresan los intrusos a los sistemas?.
- Fuentes de información y herramientas de seguridad.
- Penetration Tests.
- Testing de seguridad de un Firewall.
- Testing de seguridad de un Web Server.
4
© 2001 CYBSEC
Vulnerabilidades de Seguridad Informática
Firewall
Sistema deDetección
de Intrusos
Router
WEBSERVER
Firewall
Server de Base de Datos
Internet
¿es seguro?...
5
© 2001 CYBSEC
Vulnerabilidades de Seguridad Informática
La seguridad informáticaes dinámica.
6
© 2001 CYBSEC
Vulnerabilidades de Seguridad Informática
Evolución de las vulnerabilidades de seguridad informática Evolución de las vulnerabilidades de seguridad informática
Las vulnerabilidades de seguridad informática han existido desde siempre.
Hasta 1990 la gran mayoría de los intrusos ingresaba a los sistemas informáticos utilizando técnicas de scanning, ataques de fuerza bruta, probando usuarios y diferentes passwords, ingeniería social, etc.
A partir de 1992 los intrusos comenzaron a ingresar a los sistemas informáticos a través de la explotación de vulnerabilidades que eran conocidas primariamentedentro de los ambientes underground.
En 1995 y con el gran avance de Internet como medio de comunicación masivo salen a la luz los primeros Web Sites de vulnerabilidades.
7
© 2001 CYBSEC
Vulnerabilidades de Seguridad Informática
Evolución de las vulnerabilidades de seguridad informática Evolución de las vulnerabilidades de seguridad informática
Internet creó una nueva ola de intrusos que se dedicaban a ingresar a sistemasaprovechando vulnerabilidades conocidas.
Hacia 1998 los grupos de hackers “blancos” comenzaron a publicar herramientas muy potentes de seguridad. Se comenzaron a publicar una gran cantidad de Web Sites que contenian bases de datos de vulnerabilidades, exploits y soluciones, con el objetivo de ayudar a los administradores.
Llegamos al 2001, donde podemos visualizar a Internet como una gran red de información donde existe mucha más cantidad de información sobre como ingresar a sistemas que sobre como protegerlos.
8
© 2001 CYBSEC
Vulnerabilidades de Seguridad Informática
1997 1998 1999 2000 2001
Windows NT/2000 10 10 83 126 12
SUN Solaris 24 33 36 23 6
Linux Red Hat 6 10 49 85 20
AIX 21 38 10 15 2
Novell Netware 0 0 4 3 0
Fuente: www.securityfocus.com
Cantidad de vulnerabilidades informáticas por Sistema Operativo Cantidad de vulnerabilidades informáticas por Sistema Operativo
9
© 2001 CYBSEC
¿Cómo ingresan los intrusos a los sistemas?
¿Cómo hacen los intrusos para ingresar a los Sistemas?¿Cómo hacen los intrusos para ingresar a los Sistemas?
Los intrusos aprovechan vulnerabilidades de seguridad,descuidos, configuraciones inseguras para ingresar en forma no autorizada.
“El nivel de seguridad informática global de toda una
instalación es igual al componente de menor nivel de
seguridad”.
10
© 2001 CYBSEC
¿Cómo ingresan los intrusos a los sistemas?
Metodología de Metodología de una intrusiónuna intrusión
Los ataques pueden ser Externo o Internos.
Los ataques externos son más fáciles de detectar y repeler que los
ataques internos. El intruso interno ya tiene acceso a la red interna
o incluso al mismo Server que quiere atacar.
Server InternoIntruso InternoIntruso Externo
Barreras
11
© 2001 CYBSEC
¿Cómo ingresan los intrusos a los sistemas?
Origen de los ataques externosOrigen de los ataques externos
- Redes de proveedores y clientes (7%).
- Redes alquiladas (3%).
- Internet (80%).
- Módems (10%).Empresa
Internet
Acceso
Remoto
Proveedores y Clientes
Redes Alq.
12
© 2001 CYBSEC
Fuentes de información y herramientas de seguridad
La clave de la seguridad informática en el año 2001y de ahora en más, pasa por los recursos humanos capacitados para entender que es lo que esta pasandoy poder actuar.
Para poder defender nuestra red informática debemos armar un equipo de profesionales de seguridad informática con elevados conocimientos.
13
© 2001 CYBSEC
Fuentes de información y herramientas de seguridad
Internet es la fuente de información primaria de seguridad informática.
Para conocer sobre nuevas vulnerabilidades, leer artículos de seguridad, analizar BUGTRAQ y estar informado:
www.securityportal.com www.securityfocus.com
14
© 2001 CYBSEC
Fuentes de información y herramientas de seguridad
Para conocer sobre las viejas y nuevas herramientas de seguridad,de todos los sistemas operativos:
packetstorm.securify.com www.technotronic.com
15
© 2001 CYBSEC
¿Qué es un Penetration Test?¿Qué es un Penetration Test?
Se trata de emular y simular comportamientos y técnicas que
pueden ser utilizadas por los intrusos con el objetivo de analizar
el nivel de seguridad y la exposición de los sistemas ante
posibles ataques.
Permite detectar vulnerabilidades en el Sistema Informático
y corregirlas en forma muy rápida y eficaz.
Penetration Tests
16
© 2001 CYBSEC
Penetration Tests
¿Cómo se realiza un Penetration Test? ¿Cómo se realiza un Penetration Test?
Se utiliza una metodología de evaluación de seguridad informáticaque incluye tres grandes etapas:
1) Descubrimiento
2) Exploración
3) Intrusión
Horas,
Días,
Meses.
17
© 2001 CYBSEC
Penetration Tests
La etapa 1, descubrimiento, se encuentra focalizada en entender los riesgos del negocio asociado al uso de los activos informáticos involucrados.
Se realizan investigaciones tratando de recolectar información sobre los blancos potenciales.
Incluye todas las pruebas para detectar las conexiones de la Empresa a Internet; la evaluación de servicios de DNS externos; la determinación de rangos de direcciones IP, rangos telefónicos y la detección de medidas de protección.
18
© 2001 CYBSEC
Penetration Tests
1) Descubrimiento
En esta fase, se trata de recolectar la mayor cantidad de evidencia sobre la Empresa donde se van a realizar las pruebas.
- Direcciones IP de Internet (utilizando ping, traceroute).
- Dirección física (Guía telefónica).
- Números telefónicos (Guía telefónica).
- Nombres de personas y cuentas de correo electrónico (NIC).
- Rango de direcciones IP del lugar (www.arin.net/whois).
- Información de prensa sobre el lugar (Medios locales).
- Análisis de la página WEB (Browser).
19
© 2001 CYBSEC
Penetration Tests
La etapa 2, exploración, se centra en investigar los riesgos de seguridad relevantes para la organización.
En esta etapa se aplican técnicas no intrusivas para identificar vulnerabilidades dentro del perímetro de la organización.
Incluye el análisis de protocolos; evaluación de la seguridad de los componentes; scanning de puertos TCP y UDP; detección remota de servicios; análisis de banners y evaluación de la seguridad de las aplicaciones detectadas.
20
© 2001 CYBSEC
Penetration Tests
2) Exploración
Se exploran todas las posibles puertas de entrada a los Sistemasy descubre que servicios se encuentran activos.
- Scanning telefónico (Toneloc).
- Scanning de rangos de direcciones IP (Ping Scan).
- Transferencias de dominios (nslookup).
- Scanning de puertos en el rango de direcciones IP (nmap).
- Análisis de la configuración de cada Servicio (www.netcraft.com).
- Análisis de toda la información (Detección de OS, Servicios, etc).
21
© 2001 CYBSEC
Penetration Tests
La etapa 3, intrusión, se focaliza en realizar pruebas de los controles de seguridad y ataques por medio de secuencias controladas a las vulnerabilidades propias de los sistemas identificados.
Incluye la revisión de la seguridad de todos los equipos detectados y servicios habilitados.
Es en esta fase donde se prueba la eficiencia del equipo que lleva a cabo el Penetration Test, donde se incluye las técnicas de hacking a aplicar.
22
© 2001 CYBSEC
Penetration Tests
3) Intrusión
Se tratan de detectar vulnerabilidades en los Sistemas y realizar pruebas en un entorno controlado para intentar acceder al Sistema.
- Detección de vulnerabilidades (Nessus, twwwscan, Retina, CIS).
- Intento de acceso vía módems.
- Intento de explotar las vulnerabilidades detectadas
(www.securityfocus.com).
- Utilización de ingeniería social para obtención de usuarios y claves.
- Ingreso al Sistema.
23
© 2001 CYBSEC
Penetration Tests
Aplicación de la soluciones
Una vez finalizado el Penetration TestPenetration Test, se genera un informe con todas las vulnerabilidades de seguridad informática detectadas, sus riesgos asociados y los pasos a seguir para proteger los equiposafectados.
Se realiza un proceso de corrección de los diferentes problemas de seguridad detectados, logrando obtener en poco tiempo un sistema informático con un nivel de seguridad elevado.
24
© 2001 CYBSEC
Testing de seguridad de un Firewall
Hoy en día, la primer barrera de seguridad que coloca una Empresa para protegerse de redes inseguras (Internet, proveedores, clientes, conexiones punto a punto, etc) es el Firewall.
RedesInseguras
ServerInterno
Firewall
Test de Seguridad
25
© 2001 CYBSEC
Testing de seguridad de un Firewall
Las actividades a realizar para realizar un testing del Firewall son:
1. Detección remota del tipo de Firewall y versión.2. Detección remota del sistema operativo base utilizado.3. Detección de las direcciones IP internas.4. Análisis de vulnerabilidades conocidas (www.securityfocus.com).5. Evaluación de los puertos TCP y UDP abiertos.6. Envío de paquetes TCP/IP malformados para evaluar la respuesta del Firewall.7. Lanzamiento de ataques de spoofing sobre el Firewall.8. Intento de explotación de vulnerabilidades conocidas sobre el Firewall en un entorno controlado.
26
© 2001 CYBSEC
Testing de seguridad de un Web Server
El Web Server es el equipo que se encuentra conectado al segmento de red público de la Empresa. Es un Server que debe ser público yes por eso que es el primer blanco de los intentos de ataque.
Test de Seguridad
Web Server
27
© 2001 CYBSEC
Testing de seguridad de un Web Server
Las actividades a realizar para realizar un testing del Web Server son:
1. Detección remota del Web Server utilizado y versión.2. Detección remota del sistema operativo base del Web Server utilizado.3. Análisis de vulnerabilidades conocidas (www.securityfocus.com).4. Análisis de aplicaciones demo instaladas.5. Análisis de instalaciones defaults.6. Intento de explotación de vulnerabilidades sobre el Web Server en un entorno controlado.7. Evaluación y análisis de las páginas Web.8. Análisis de aplicaciones utilizadas.9. Evaluación de buffer-overflows sobre variables y parámetros.
28
© 2001 CYBSEC
ConclusionesConclusiones
- Los intrusos existen y el nivel de peligrosidad de los mismos aumenta cada vez más.
- Los sistemas informáticos poseen vulnerabilidades de seguridad y estas van en constante crecimiento, es muy importante capacitarse para poder prevenir y mantener el nivel de seguridad de una Empresa.
- La única forma de mantener una Empresa segura es estar un paso adelante de los hackers, conociendo sus herramientas, estudiando sus técnicas para poder anticiparse.
29
Muchas gracias por acompañarnos . . .
www.cybsec.com