PenTest 2.0
Mariano Mariano NuNuññezez Di Di [email protected]@cybsec.com
12 de Septiembre de 12 de Septiembre de 20072007Hotel Hotel SheratonSheraton
Buenos Aires Buenos Aires -- ArgentinaArgentina
2
© 2007
PenTest 2.0
Agenda
Introducción al Penetration Testing
El PenTest Hoy
Casos Reales
El Futuro del Penetration Testing
Conclusiones
3
© 2007
PenTest 2.0
IntroducciIntroduccióónn
4
© 2007
PenTest 2.0
Un Penetration Test consiste en la evaluación del nivel de
seguridad informática existente en una instalación tecnológica.
El equipo de PenTest se focaliza en intentar detectar la mayor cantidad de vulnerabilidades posibles,
las cuales implicarían un riesgo
para los activos de la organización.
Introducción
¿ Qué es un Penetration Test ?
5
© 2007
PenTest 2.0Introducción
¿ Cómo se realiza un Penetration Test ?Se utilizan las mismas técnicas y herramientas utilizadas por los
atacantes reales.
A través de distintas fases
(Descubrimiento, Exploración,
Evaluación, Intrusión) se intenta
explotar las vulnerabilidades
detectadas para tomar control
(en un entorno controlado) de
sistemas críticos de la
organización.
6
© 2007
PenTest 2.0Introducción
Metodologías
• Black-box
• Grey-box
• White-box
Tipos de PenTest
• Penetration Tests Externos
• Penetration Tests Internos
• Penetration Tests Web
• Penetration Tests Wireless
7
© 2007
PenTest 2.0
El El PenTestPenTestHoy Hoy
8
© 2007
PenTest 2.0
Durante los últimos años han surgido herramientas para
“realizar” Penetration Tests. Muchos auditores, adoptan y
utilizan únicamente éstas herramientas, atando el éxito de la
evaluación a las funcionalidades que las mismas proveen.
El PenTest Hoy
One-click Penetration Testing
9
© 2007
PenTest 2.0
Adicionalmente al uso de las herramientas existentes, es
imprescindible aplicar técnicas y estrategias avanzadas para
realizar un PenTest de calidad.
El PenTest Hoy
Penetration Testing Táctico
En este aspecto, los conocimientos
y experiencia del equipo de PenTest
juegan un papel primordial e
irremplazable.
10
© 2007
PenTest 2.0
El Factor Humano
Información en sitios institucionales (nombres, teléfonos, e-mails,
cargos)
Motores de búsqueda (perfiles)
El PenTest Hoy
Penetration Testing Táctico (Descubrimiento)
www.paterva.com
11
© 2007
PenTest 2.0
El Factor Tecnológico (sistemas)
Información de Whois.
Transferencias de Zonas DNS.
Seguimiento de Rutas.
Información de Direccionamiento Interno.
Dispositivos de Filtrado.
Aplicaciones Web.
Rangos telefónicos y Accesos Wireless.
…
El PenTest Hoy
Penetration Testing Táctico (Descubrimiento)
12
© 2007
PenTest 2.0
Explotación de vulnerabilidades en versiones desactualizadas.
Acceso mediante credenciales válidas.
Explotación de relaciones de confianza.
Explotación de vulnerabilidades en Aplicaciones Web.
Acceso a través de enlaces Wireless.
Escalamiento de Privilegios
…
El PenTest Hoy
Penetration Testing Táctico (Intrusión)
13
© 2007
PenTest 2.0
Casos RealesCasos Reales
14
© 2007
PenTest 2.0
PenTest Web.
Aplicación Web Home-Banking.
Versión Beta.
Sección Transferencias.La Aplicación valida que el importe a transferir sea un número
decimal válido.
“Uia!! La validación es del lado del cliente !!”
“¿ Y si defino un importe negativo ?”
Resultado: Mi cuenta bancaria aumenta y aumenta…
Casos Reales
Home-Banking Seguro (?)
15
© 2007
PenTest 2.0
PenTest Externo.
Descubrimiento de Enlaces Wireless.
Oficinas centrales “limpias”.
“¿ Y los depósitos ?”
“Uia! El Access Point está por defecto!”
Acceso a la Red Interna.
Acceso a la PC del Gerente General.
Casos Reales
El Peligro del Wireless
16
© 2007
PenTest 2.0
PenTest Externo.
Entidad Bancaria.
Sistemas y Aplicaciones Web con alto nivel de seguridad.
Análisis de Centrales Telefónicas.
“Uia! Se puede acceder a las opciones administrativas!”
“Uia! Tiene un password trivial!”
Control administrativo de la Central principal.
Creación de Número Interno.
Obtención de cuentas de mails.
Envío de mails (Phishing).
Redirección de Interno a oficinas de CYBSEC.
“Hola, ¿ Me daría su usuario y su password ?”
Casos Reales
Hola, ¿ Me daría su usuario y su password ?
17
© 2007
PenTest 2.0
El Futuro del El Futuro del PenetrationPenetration
TestingTesting
18
© 2007
PenTest 2.0
Originalmente, el Penetration Test se enfocaba en intentar
acceder a los sistemas servidores de una organización, ya que
los mismos poseen información de alta sensibilidad.
En general, el nivel de seguridad externo de las
implementaciones puramente técnicas ha ido y continuará
mejorando.
Cambiando el enfoque: Atacando al eslabón más débil, el
USUARIO.
El Futuro de Penetration Testing
El Cambio de Enfoque
19
© 2007
PenTest 2.0El Futuro de Penetration Testing
El Cambio de Enfoque: Atacando al Usuario
Ingeniería Social.
Explotando vulnerabilidades en los Navegadores.
Explotando vulnerabilidades en los Clientes de Correo.
Envío de e-mails con Troyanos.
“Regalando” Hardware.
20
© 2007
PenTest 2.0El Futuro de Penetration Testing
El Cambio de Enfoque: PenTest Específicos
Muchas organizaciones han relegado la evaluación de seguridad
de sus sistemas más críticos, por temor a la ruptura de la
continuidad del negocio.
Sistemas objetivo:
ERPs
SCADA
Sistemas y Aplicaciones Propietarias
21
© 2007
PenTest 2.0El Futuro de Penetration Testing
CYBSEC-Labs: Frameworks
Frameworks para asistir a las tareas de Penetration Testing.
Públicos y gratuitos.
w3af:Framework para analizar la seguridad de Aplicaciones Web.
sapyto:
Primer framework público para asistir en Penetration
Testing a sistemas SAP.
DOWNLOAD: http://www.cybsec.com/ES/investigacion/default.php
22
© 2007
PenTest 2.0
ConclusionesConclusiones
23
© 2007
PenTest 2.0Conclusiones
Conclusiones
El Penetration Test nos permite conocer el nivel de seguridad
informático de nuestra red, sistemas y personas, analizándolo
desde los distintos ángulos de operación de un posible atacante.
Es conveniente realizar PenTests periódicos, llevados a cabo
por profesionales altamente especializados.
Los sistemas críticos (ERPs, SCADA, etc) deben ser evaluados,
ya que un ataque a los mismos puede resultar altamente perjudicial para la organización.
La capacitación del personal no técnico es clave para la
protección frente a los nuevos ataques.
24
© 2007
PenTest 2.0
¿¿Preguntas?Preguntas?