Pentesting

Superficies de ataque
Evaluaciones de seguridad

• Evaluación de vulnerabilidades
o Diagnóstico
• Pentest
o Simulación de ataque coordinado
• Red Team
o Multidisciplinario – Emulación Real
• Purple Team
o Trabajo en conjunto (Red-Blue)
Pentest - Test de intrusión
Wikipedia: “Es un ataque a un sistema informático con la intención de
encontrar las debilidades de seguridad y todo lo que podría tendría tener
acceso a ella, su funcionalidad y datos.

OSSTMM: “Prueba de seguridad con un objetivo específico que termina

cuando dicho objetivo se obtiene o se acaba el tiempo disponible”

NIST: “Prueba de seguridad donde se simulan ataques reales para

subvertir las funciones de seguridad de un aplicativo, sistema o red”

Otros:
“Metodologías y conjunto de pruebas que permite conocer el
estado de situación de las medidas de seguridad adoptadas”
Pentest - Test de intrusión
Wikipedia: “Es un ataque a un sistema informático con la intención de
encontrar las debilidades de seguridad y todo lo que podría tendría tener
acceso a ella, su funcionalidad y datos.

OSSTMM: “Prueba de seguridad con un objetivo específico que termina

cuando dicho objetivo se obtiene o se acaba el tiempo disponible”

NIST: “Prueba de seguridad donde se simulan ataques reales para

subvertir las funciones de seguridad de un aplicativo, sistema o red”

Otros:
“Metodologías y conjunto de pruebas que permite conocer el
estado de situación de las medidas de seguridad adoptadas”
Razones para un test de intrusión

• Cumplir con una normativa.

• Testear los controles de seguridad
• Mostrar a terceros un plan de seguridad (ej.Auditoria)
Objetivos de un test de intrusión
• Conocer la posibilidad real de explotar una vulnerabilidad.
• Identificar vulnerabilidades de manera manual
• Comprender los problemas operacionales de negocio que genera un ataque.
• Incrementar los controles de mitigación hacia el futuro.
Requerimientos previos
• Definición de alcance
• Objetivos generales o específicos
• Perfil del atacante
• Acceso por etapas según objetivos
• Reglas de ejecución
Estándares
• OWASP (Open Web Application Security Project)
• PTES Framework (Penetration Testing Execution
Standard)
• ISSAF (Information Security Assessment
Framework)
• NIST SP 800-15 (Technical Guide to Information
Security Testing and Assessment)
• OSSTMM (Open Source Security Testing
Methodology Manual)
Tipos de pentesting
Planificación
¿Qué NO hace un proyecto de este
tipo?

• Conseguir todas las vulnerabilidades.

• Atacar todas las vulnerabilidades.
• Corregir las vulnerabilidades.

¿Qué NO hace un pentester?

• No respetar el Alcance.
• Actuar de forma No ética.
• No reportar vulnerabilidades.
• No cumplir con leyes.
Metodología: fases de un proyecto de pentesting
1. Reconocimiento

• Físico
• Social
• OSINT
• Lógico
• Buscadores
• Dominios
• Servicios
• Activo o pasivo
1. Reconocimiento lógico

• Listado de subdominios/hosts (Herramienta Amass/sublist3r)

• Recolección de redes (se calculan las subredes con las Ips encontradas/Shodan)
• Reconocimiento Web (Wappalyzer, WhatWeb)
• Archivos o URLs borradas (Wayback Machine, .config, .backup, .csv, /api, /admin)
• Subdominios externos.
2. Análisis de vulnerabilidades

• Análisis manuales y específicos

• Análisis automatizados
2. Análisis de vulnerabilidades

• Gestión de Vulnerabilidades
• Evaluación de Vulnerabilidades
• Scanner de vulnerabilidades(suele ser la herramienta principal)
• Análisis de tráfico de red(ej: Detectar comunicaciones sin cifrado)
2. Análisis de vulnerabilidades. ¿Qué herramientas existen?

• Instalación de agente en sistemas.

• Monitoreo de red.
• Scanner de red. (Nessus, Greenbone, Qualys, Acunetix, Nmap, Nexpose).
• Scanner de apps web (Nikto, w3af, ZAP, Burpsuite).
• Scanner de bases de datos (Scuba, McAfee Vulnerability Manager for Database).
• Scanner de Código (Github, Infer, Veracode).
• Scanner de aplicaciones web (MOBSF).
3. Explotación

• Es una etapa que puede iterar con la etapa de análisis de vulnerabilidades.

• Objetivo ganar acceso
• Explotar vulnerabilidades de servicios en internet
• Explotar sistemas de autenticación en internet
• Ejecución de malware vía phishing
• Lograr acceso físico a la red
• Ataque en la cadena del producto (software)
3. Explotación. Posibles soluciones

• Aplicar parches y monitoreo Zero Day

• Remover credenciales por defecto
• Monitorear accesos e incluir factores múltiples de autenticación
• Monitorear y bloquear PC, navegación web, correo electrónico, entre otros.
• Controles de seguridad física, monitoreo, separación de redes
• Monitoreo de acceso y cambios sin solicitudes al software
4. Post Explotación | Ganar acceso

• Analizar posición en la red

• Analizar usuarios y claves
• Analizar software instalado
• Realizar nuevo reconocimiento
• Testear credenciales (Pass the hash)
4. Post Explotación | Ganar acceso

• Pivoting entre diferentes sistemas

• Session hijacking
• Acceso a software de terceros internos
• Creación o manipulación de cuentas
• Alteración de scripts
• Modificar procesos de sistema
• Implementar una imagen de contenedor
RED TEAM

• Aplicaciones
• Redes
• Seguridad física
• Seguridad de las personas
 Evaluación
de vulnerabilidades
Reconocimiento y listado de
vulnerabilidades de dispositivos y
aplicaciones
Conocimientos básicos
Pentest
Ataque simulado con objetivos
específicos a dispositivos, aplicaciones,
procesos y personas
Conocimientos avanzados en el objetivo
seleccionado
Red Team
Ataque dirigido y sofisticado a todos los
componentes operativos de la empresa
Conocimientos avanzados y
procedimientos personalizados
5. Informes

• Informe de vulnerabilidades en los sistemas analizados

• Se registran las vulnerabilidades encontradas, los recursos que se encuentran
desactualizados y todo los hallazgos del test.
• Se registran las posibles medidas para mitigar las vulnerabilidades encontradas
• Herramientas utilizadas: Faraday, Dradis, Simple Vulnerability Manager.
• Plantilla para reporte: https://www.offensive-security.com/pwk-online/PWKv1-
REPORT.doc
Metodología

Fuente: https://chawdamrunal.medium.com/penetration-testing-approach-and-methodology-87a196aabe26
https://github.com/Manisso/fsociety
https://hackertarget.com/
https://github.com/michelbernardods/labs-pentest
Para tener en cuenta!
Material de lectura

• Cryptography and Network Security – Stallings (Cap. 17 – pag. 527) (Bibliografía)

• Open Source Security Testing Methodology Manual (OSSTMM) -

http://www.isecom.org

• Open Web Application Security Project (OWASP) - https://www.owasp.org

• National Institute of Standards and Technology (NIST) – SP 800-115 -

https://www.nist.gov/

• Penetration Testing Execution Standard (PTES) - http://www.pentest-standard.org