08 - Ethical Hacking & Penetration Tests

5/8/2012
Curso Seguridad Informática

Ethical Hacking / Penetration Test
Disertante: Juan Babi

MCSE CCNA SCSA CCSA CISSP
FECHA: 17 de Mayo de 2010

MATERIAL VIII
Audit| Tax
Audit | Tax| Advisory
| Advisory 1
Penetration Test
Enfoque penetration tester.
Metodología de Penetration Test.
Audit | Tax | Advisory 2
1
5/8/2012
Objetivo Pen test
• Simulación externa de un ataque para verificar la seguridad de la

red así como para encontrar vulnerabilidades.
• Obtención de evidencias concretas.
o Obtención de algún tipo de archivo de los servidores o redes
o Sembrado de pruebas en los servidores
o Captura de paquetes, limitación del servicio del recurso, etc.
Diferencias
El Hacker termina cuando rompe la seguridad del sistema (suficiente

con una vulnerabilidad). Su tiempo para realizar un ataque es infinito.
2
5/8/2012
Diferencias
• El trabajo del “penetrator tester” termina cuando encuentra todas las

vulnerabilidades del sistema tanto en el Gateway como en el firewall
o como en cualquier componente de la red que está analizando.
Además tiene tiempo limitado para realizar el test. Elaboración de
informe de seguridad y documentación así como soluciones a los
problemas encontrados.
Los 3 ambientes básicos
• White box: Proporcionar al penetration tester la información

necesaria para hacer el testeo de seguridad.
• Black box: sólo posee información del nombre de la empresa.
• Grey box: combinación entre ambos testeos.
Todos son pactados con el cliente y firmados de acuerdo común.
3
5/8/2012
¿Por qué hacer un Penetration Test?
• Encontrar máquinas mal configuradas que el cliente no había notado.
• Verificar que sus mecanismos de seguridad funcionen.
• Estar tranquilo.
• Recuerde 99.9% seguro = 100% ¡vulnerable!
¿Qué necesita proteger?
En el trabajo: ¡Todo!
Ejemplo 1: desde un windows workstation 2000 se tiene acceso a
varios y 2k servidores y netware servidores.
Ejemplo 2: servidor IIS detrás de un Firewall
4
5/8/2012
Pen Test v. Vulnerability Assessment
Desde FFIEC (Federal Financial Institutions Examination Council)
Information Security booklet:
“Penetration tests, audits, and assessments can use the same set of
tools in their methodologies. The nature of the tests, however, is
decidedly different. Additionally, the definitions of penetration test and
assessment, in particular, are not universally held and have changed
over time.
Pen Test v. Vuln Assess v. Audit
Penetration Tests. Un penetration test somete un sistema a ataques
del mundo real selecionados y dirigidos por un especialista. El objetivo
del penetration test es identificar la medida en que un sistema puede
verse comprometido antes de que el ataque sea identificado por
hackers, y así hacer efectivos los mecanismos de respuesta.
10
5
5/8/2012
Penetration Test v. Evaluación de vulnerabilidades
Auditorías. Las auditorías comparan las prácticas actuales con las
fijadas por standards. Los grupos industriales y las gerencias
institucionales pueden crear esos standards. La gerencia institucional
es la responsable de demostrar que los standards que fueron
adoptados son apropiados para su institución.
11
Definiendo el Test
• Entender las limitaciones
– Point-in-time snapshot
– Nunca puede ser considerado 100% amplio
– Restringido por tiempo y recursos
12
6
5/8/2012
Definiendo el Test
• Fijar los objetivos del test
– Auditoria versus validación
– ¿Qué constituye éxito/falla?
• ¿Hacer una brecha en el perímetro?
• ¿Ganar el control?
• ¿Acceder a data sensible o crítica?
• ¿Todos los anteriores (a.k.a. irrestringido)?
– ¿Énfasis en la técnica o en lo operacional?
13
Tipos de ataques
• External Testing
– Internet
– Dial-up
– Other (e.g., via trusted networks...)
• Internal Testing
• Social Engineering ?
• Denial of Service (DoS)
• Applications?
14
7
5/8/2012
Reglas de compromiso
La primera regla :“No dañar”
15
Reglas de compromiso
• Reglas críticas
– Objetivos claramente definidos
– Alcance
• Qué está fuera de los límites (sistemas, redes, información,
actividades)
– Tiempos
– Líneas de comunicación
– Resolución de problemas
16
8
5/8/2012
Reporte
• El reporte es ka clave realizar una buena apreciación
• Los reportes NO deben ser...

– Generados solamente por software
17
Reporte
• Los reportes deben...
– No deben tener falsos positivos
– Resultados que establezcan prioridades
– Secciones técnica y ejecutiva por separado
– Establecer qué recursos son necesarios
– Recomendaciones para el mundo real
18
9
5/8/2012
¿Soy realmente vulnerable?
• En una palabra: Sí.  Sorry.
• Si estás conectado a Internet, cualquiera tiene posibilidades de

entrar a tu red, si así lo desea, y tiene el dinero y el tiempo.
19
¿Soy realmente vulnerable?
• Direncia entre entrar a TU sistema y entrar a UN sistema.
• Un “script kiddie” – quiere entrar a UN sistema. Si tu sistema está

mejor protegido que el de al lado, estás a salvo.
20
10
5/8/2012
¿Qué puedo hacer para prevenir ataques?
• Si no tiene dinero – Mirar sitios web y listas de mail regularmente.

Nosotros lo hacemos (por varias razones).
• Si no tiene tiempo, contrate a alguien que le diga cuando surge algo

grave.
• Si no tiene tiempo ni dinero, esté preparado para un ataque.
21
The OSSTMM
• OSSTMM – Open-Source Security Testing Methodology Manual
• Version 2.0 at www.osstmm.org (redirects to

http://www.isecom.org/projects/osstmm.htm)
• Desarrollado por Pete Herzog, es un documento vívido sobre cómo

hacer un penetration test.
• Define como proceder en un pen test, pero no habla sobre las

herramientas actuales.
22
11
5/8/2012
Técnica – Penetration Testing
• Recoger Información
• Scan direcciones IP
• Evaluar la información
• Explotar servicios vulnerables
• Elevar el acceso
• Repetir
23
Recogiendo información
• Objetivo:
Una vez que nos han dado el nombre de la compañía, determinar

qué rangos de IP tiene.
• www.arin.net
• Nslookup or dig
24
12
5/8/2012
Scan direcciones IP
• Objetivos – Una vez que tenemos un juego de direcciones IP,

determinar qué servicios y sistemas operativos están usando.
• Nmap – www.nmap.org
• Scanline – www.foundstone.com
• nikto - http://www.cirt.net/code/nikto.shtml
25
Evaluar la información
• ¿Qué servidor web está trabajando?
• ¿Qué cuentas encontré?
• ¿Qué servicios están siendo usados?
• ¿Qué sistemas operativos están trabajando?
• ¿Quién está logged in?
• ¿Hay información disponible en el web site?
26
13
5/8/2012
Explotar servicios vulnerables
• Dada una específica dirección IP y un puerto, tratar de acceder a la

máquina
• 80, 443 – web
• 21 – ftp
• 23 – telnet
• 25 - smtp
• 53 – dns
• 111 – sunrpc (2049 - nfs)
• 135-139, 445 – netbios
27
Elevar el acceso
• Una vez que conseguimos el acceso, tratat de llegar a la cuenta del

administrador, si es posible.
• Crack passwords y ver si funcionan en otros sistemas (o en este)
• Normalmente se usa un exploit local
• HK – 2000 / 2003 exploit
28
14
5/8/2012
Repetir
• Tener acceso a un servidor generalmente nos da acceso a otros.
• Las herramientas pueden ser copiadas del sistema que ha sido

vulnerado y hacer scan y correr desde allí.
• Usar este servidor para lanzar ataques o conseguir passwords.
29
Ejemplo
• Scan direcciones IP
• Usar Nessus.
• Usar la vulnerabilidad conocida en el servidor
• Elevar el acceso
30
15
5/8/2012
Beneficios del PT y VA
• Encontrar problemas antes que los chicos malos lo hagan
• Proteger tus recursos
• ¿Cuando estás asegurando tu red, estás seguro de que estás

haciendo las cosas bien?
• Establecer líneas base.
31
Beneficios del PT y VA
• Recomendación: Pen Test de la red completa, interna y externa;

Auditar tus servidores importantes
• Administración de la configuración: Hacer un proceso para cuando

hacés cambios a un sistema.
• Monitorear las listas de mail.
32
16
5/8/2012
33
Sniffing
• Los passwords que son simplemente texto puede ser sniffed

cuando pasan por la network
• Requirimientod
– Networks compartidas (hubs)
– Protocolo inseguro (ftp, telnet, pop-3)
– Sniffer plus network card es un modo promiscuo
– Esto puede prevenirse usando switches en la network
34
17
5/8/2012
Hunt
• Para networks con switches, podemos usar la herramienta de

hacking hunt.
• Usa “arp spoofing” para engañar máquinas mandando

información a la máquina equivocada.
• Permite password sniffing o packet injection
35
Hunt - Defense
• Static Arp entries – Un dolor, pero funciona. (on Linux)
• No usar protocolos inseguros , usar ssh. Ssh está encriptado y no

es susceptible a hunt.
36
18
5/8/2012
Exploits
• Lenguajes
– C
– PHP
– Phyton
– Perl
Proceso de compilación
37
Exploits
• www.securityforest.com
• www.frsirt.com/exploits
• www.securityfocus.com/bid
• www.metasploit.com
• www.milw0rm.com
38
19
5/8/2012
Herramientas del barrido
39
Anonimidad
• http://freenetproject.org/
• Socks chains (navegacion en el puerto 80 nada más)
• Desventajas:
– necesita utilización de un Proxy por puerto.
– Lentitud de navegación.
40
20
5/8/2012
Foros y comunidad
• www.irongeek.com
• www.blackhatforums.com
• www.remote-exploit.com
43
Ingeniería Social
• Mailing. (Falsificar mails.)
• Charlas con clientes.
• Manipulación
44
21
5/8/2012
Ejemplos de herramientas
45
Herramientas
Information gathering
http://www.Samspade.org
http://www.Netcraft.com
http://network-tools.com/
http://www.technicalinfo.net/tools/index.html
46
22
5/8/2012
Scanners
• Nmap opciones decoy para confundir al administrador.
Ejemplo:
$nmap –sS –D 1.1.1.1,2.2.2.2,3.3.3.3 10.10.10.10
(TCP SYN Stealth port scan)
47
Nmap output
PORT STATE SERVICE VERSION
• 21/tcp open ftp Microsoft ftpd
• 22/tcp open ssh OpenSSH 3.8.1p1 Debian 8.sarge.6 (protocol 2.0)
• 25/tcp open smtp Microsoft ESMTP 6.0.3790.1830
• 80/tcp open http Microsoft IIS webserver 6.0
• 111/tcp open rpcbind
• 113/tcp open ident
• 139/tcp open netbios-ssn Samba smbd 3.X (workgroup: )
• 143/tcp open imap Microsoft Exchange Server 2003 6.5.7638.1
• 445/tcp open netbios-ssn Samba smbd 3.X (workgroup:)
• 901/tcp open http Samba SWAT administration server
• 1080/tcp filtered socks
• 1720/tcp filtered H.323/Q.931
• 1723/tcp open pptp linux (Firmware: 1)
• 3128/tcp filtered squid-http
• 3389/tcp open microsoft-rdp Microsoft Terminal Service
• 5900/tcp filtered vnc
• 6588/tcp filtered analogx
Aggressive OS guesses: Microsoft Windows Server 2003 SP2 (89%), Microsoft Windows Server 2003
SP1 or SP2 (88%), Microsoft Windows XP SP2 (87%), FreeBSD 6.2-RELEASE (87%), Microsoft Windows
Server 2003 SP1 (86%)
48
23
5/8/2012
Brutus
49
Thc hydra
50
24
5/8/2012
Ts grinder
51
Exploits
52
25
5/8/2012
Penetration Testing Framework 0.4
53
NetCraft www.netcraft.com
54
26
5/8/2012
DNS Zone Transfer
Unix:
host −l IP ADDRESS
55
0 days concepto
• Son Exploits no conocidos desarrollados por hackers.
• No existen parches para solucionarlos.
• No son reportados.
56
27

08 - Ethical Hacking &amp; Penetration Tests

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

08 - Ethical Hacking &amp; Penetration Tests

Cargado por

Copyright:

Formatos disponibles

5/8/2012

Curso Seguridad Informática

Disertante: Juan Babi

FECHA: 17 de Mayo de 2010

Enfoque penetration tester.

Metodología de Penetration Test.

Audit | Tax | Advisory 2

Objetivo Pen test

• Simulación externa de un ataque para verificar la seguridad de la

• Obtención de evidencias concretas.

o Obtención de algún tipo de archivo de los servidores o redes

o Sembrado de pruebas en los servidores

o Captura de paquetes, limitación del servicio del recurso, etc.

Audit | Tax | Advisory 3

El Hacker termina cuando rompe la seguridad del sistema (suficiente

Audit | Tax | Advisory 4

• El trabajo del “penetrator tester” termina cuando encuentra todas las

Audit | Tax | Advisory 5

Los 3 ambientes básicos

• White box: Proporcionar al penetration tester la información

• Black box: sólo posee información del nombre de la empresa.

• Grey box: combinación entre ambos testeos.

Todos son pactados con el cliente y firmados de acuerdo común.

Audit | Tax | Advisory 6

¿Por qué hacer un Penetration Test?

• Encontrar máquinas mal configuradas que el cliente no había notado.

• Verificar que sus mecanismos de seguridad funcionen.

• Recuerde 99.9% seguro = 100% ¡vulnerable!

Audit | Tax | Advisory 7

¿Qué necesita proteger?

Ejemplo 1: desde un windows workstation 2000 se tiene acceso a

varios y 2k servidores y netware servidores.

Ejemplo 2: servidor IIS detrás de un Firewall

Audit | Tax | Advisory 8

Pen Test v. Vulnerability Assessment

Desde FFIEC (Federal Financial Institutions Examination Council)

Information Security booklet:

tools in their methodologies. The nature of the tests, however, is

decidedly different. Additionally, the definitions of penetration test and

assessment, in particular, are not universally held and have changed

Pen Test v. Vuln Assess v. Audit

Penetration Tests. Un penetration test somete un sistema a ataques

del mundo real selecionados y dirigidos por un especialista. El objetivo

del penetration test es identificar la medida en que un sistema puede

verse comprometido antes de que el ataque sea identificado por

hackers, y así hacer efectivos los mecanismos de respuesta.

Audit | Tax | Advisory 10

Penetration Test v. Evaluación de vulnerabilidades

Auditorías. Las auditorías comparan las prácticas actuales con las

fijadas por standards. Los grupos industriales y las gerencias

institucionales pueden crear esos standards. La gerencia institucional

es la responsable de demostrar que los standards que fueron

adoptados son apropiados para su institución.

Audit | Tax | Advisory 11

– Nunca puede ser considerado 100% amplio

– Restringido por tiempo y recursos

Audit | Tax | Advisory 12

Audit | Tax | Advisory 13

Audit | Tax | Advisory 14

La primera regla :“No dañar”

Audit | Tax | Advisory 15

Audit | Tax | Advisory 16

• Los reportes NO deben ser...

Audit | Tax | Advisory 17

08 - Ethical Hacking & Penetration Tests

08 - Ethical Hacking & Penetration Tests