SI04003 – Seguridad en redes I

Explicación del tema – Sesión 12

Problemática con estas prácticas.

- Riesgos inherentes
Hay riegos inherentes como impactar a la disponibilidad, Confidencialidad e Integridad.

Para lo anterior será necesario contar con ciertas precauciones:

- Minimizar pruebas riesgosas en horarios de operación
- Contar con planes de restablecimiento de fallas
- Acotar lo que se puede ser leído o copiado
- Identificar herramientas que puedan alterar la información para tratar de evitarlas
- Utilizar ambientes de pruebas

- Consistencia de las pruebas de análisis de vulnerabilidades

Una de las problemáticas que se presentan en estas prácticas es que dependen mucho del
personal que las ejecuta, se presentan casos donde si la persona tiene muchas habilidades
técnicas y administrativas son excelentes análisis de vulnerabilidades, por otro lado si las
personas carecen de estas habilidades se entregan análisis deficientes.

Otro problema es que no se utiliza siempre modelos o metodologías estándares lo que

ocasiona muchas sorpresas negativas para los clientes que las contratan, para esto vamos a
introducir un modelo estándar mundial para seguir los procesos de análisis de riesgos, este
modelo es el OSSTMM (Open Source Security Testing Methodology Manual).

OSSTMM, Open Source Security Testing Methodology Manual

OSSTMM es el resultado del trabajo e investigación de profesionales expertos en seguridad
de información, consultores en seguridad, científicos, abogados y hackers.

La OSSTMM se caracteriza por ser un estándar para la realización de pruebas metódicas de

seguridad, y al mismo tiempo una guía para el profesional en Seguridad de Información.
Una de sus ventajas es que incorpora todas las legislaciones y métodos de alto nivel en sus
pruebas de bajo nivel.

Hoy ya se puede tener acceso a esta metodología a través de los cursos de certificación
OSSTMM Professional Security Analyst (OPSA) y OSSTMM Professional Security Tester (OPST)
los cuales ya se están impartiendo en México, y han egresado alumnos de importantes
corporativos empresariales y del gobierno en nuestro país.

El estándar OSSTMM fue desarrollado por Pete Herzog experto en seguridad informática
reconocido mundialmente y además es fundador del ISECOM con el cual busca mejorar la
seguridad y la ética internacional relacionadas con el uso seguro de Internet, los
diseñadores de sistemas de alta tecnología hasta los estudiantes de secundaria. Pete se ha
enfocado en desarrollar pruebas basadas en métodos científicos para control de calidad de
la seguridad, contramedidas, control de accesos e integridad de negocios.

Este modelo está compuesto por seis secciones.

Las secciones se superponen entre si y contienen elementos de todas las otras secciones.
Un análisis apropiado de cualquier sección debe incluir los elementos de todas las otras
secciones, directa o indirectamente.
Las secciones en el manual del modelo OSSTMM son:
1 Seguridad de la Información
2 Seguridad de los Procesos
3 Seguridad en las tecnologías de Internet
4 Seguridad en las Comunicaciones
5 Seguridad Inalámbrica
6 Seguridad Física

Lista de Módulos del Mapa de Seguridad del OSSTMM.

La lista de módulos del mapa de seguridad son los elementos primarios de cada sección.
Cada módulo debe incluir todas las Dimensiones de Seguridad que están integradas con
tareas a ser desarrolladas.
Estos módulos son:

Seguridad de la información
1 Revisión de la inteligencia competitiva
2 Revisión de privacidad
3 Recolección de documentos

Seguridad de los Procesos

1 Prueba de solicitud
2 Prueba de sugerencia dirigida
3 Prueba de las personas confiables

Seguridad en las tecnologías de Internet

1 Logística y controles
2 Sondeo de red
3 Identificación de los servicios de sistemas
4 Búsqueda de información competitiva
5 Revisión de privacidad
6 Obtención de documentos
7 Búsqueda y verificación de vulnerabilidades
8 Prueba de aplicaciones de Internet
9 Enrutamiento
10 Prueba de sistemas confiados
11 Prueba de control de acceso
12 Prueba de sistema de detección de intrusos
13 Prueba de medidas de contingencia
14 Descifrado de contraseña
15 Prueba de denegación de servicios
16 Evaluación de políticas de seguridad

Seguridad en las comunicaciones

1 Prueba de PBX
2 Prueba del correo de voz
3 Revisión del FAX
4 Prueba del módem

Seguridad inalámbrica
1 Verificación de radiación electromagnética (EMR)
2 Verificación de redes inalámbricas [802.11]
3 Verificación de redes Bluetooth
4 Verificación de dispositivos de entrada inalámbricos
5 Verificación de dispositivos de mano inalámbricos
6 Verificación de comunicaciones sin cable
7 Verificación de dispositivos de vigilancia inalámbricos
8 Verificación de dispositivos de transacción inalámbricos
9 Verificación de RFID
10 Verificación de sistemas infrarrojos
 11 Revisión de privacidad

Seguridad Física
1 Revisión de perímetro
2 Revisión de monitoreo
3 Evaluación de controles de acceso
4 Revisión de respuesta de alarmas
5 Revisión de ubicación
6 Revisión de entorno

Herramientas tecnológicas de seguridad de información

Scanners de Vulnerabilidades

NOMBRE
DEL PEQUEÑA DESCRIPCION
PROGRAMA
Nessus es un escáner de seguridad remoto para Linux, BSD, Solaris, Windows y Otros
Unix. Está basado en plug-in(s), tiene una interfaz basada en GTK, y realiza más de 1200
Nessus pruebas de seguridad remotas. Permite generar reportes en HTML, XML, LaTeX, y texto
ASCII; también sugiere soluciones para los problemas de seguridad.

http://www.nessus.org/download/

LANguard escanea redes y reporta información como el nivel de "service pack" de cada
máquina, faltas de parches de seguridad, recursos compartidos, puertos abiertos,
servicios/aplicaciones activas en la computadora, datos del registro {"key registy
entries"}, passwords débiles, usuarios y grupos; y más. Los resultados del escaneo se
GFI muestran en un reporte en formato HTML, que puede ser modificado a gusto propio o
LANguard consultado.

http://www.gfihispana.com/

Este es un scanner profesional muy robusto para todo tipo de activos de información, es
fácil de configurar, muy exacto y confiable, contiene un conjunto de reportes a nivel
técnicos y ejecutivos. Utiliza una base de datos de vulnerabilidades llamada XFORCE.
ISS Internet
Scanner
http://www.iss.net/

Nikto es un escáner de servidores de web que busca más de 2000 archivos/CGIs

potencialmente peligrosos y problemas en más de 200 servidores. Utiliza la biblioteca
LibWhisker pero generalmente es actualizado más frecuentemente que el propio
Nikto Whisker.
 Al igual que Nessus y ISS Internet Scanner, la función de Retina es escanear todos los
hosts en una red y reportar cualquier vulnerabilidad encontrada.

Retina
http://www.eeye.com/html/products/Retina/

Saint es otra herramienta no-libre de evaluación de seguridad (al igual que ISS Internet
Scanner o Retina de eEye). A diferencia de esas herramientas basadas exclusivamente en
Windows, SAINT corre exclusivamente sobre UNIX. Saint solía ser gratuito y "open source"
pero ahora es un producto no-libre.
SAINT

http://www.saintcorporation.com/products/vulnerability_scan/saint/saint_scanner.html

Asistente de Investigación para el Auditor de Seguridad (Security Auditor's Research

Assistant), es una herramienta de evaluación de vulnerabilidades derivada del infame
escáner SATAN. Tratan de publicar actualizaciones dos veces al mes y de fomentar
cualquier otro software creado por la comunidad de código abierto (como Nmap y
SARA Samba).

Symantec ESM es una solución de seguridad cliente/servidor.

Permite definir, administrar y reforzar políticas de seguridad a una amplia gama de

plataformas:

UNIX (Solaris, AIX, HP-UX, IRIX, Linux)

Windows (2000, NT, XP, 2003 Server)
IBM iSeries (AS/400)
NetWare y Tru64/OSF1
SYMANTEC OpenVMS.
ESM
ESM permite definir en línea políticas de seguridad y monitorear los sistemas de acuerdo
a las políticas establecidas.

ESM analiza datos y despliega gráficamente el detalle o resumen de la información de

áreas en donde las políticas de seguridad no están siendo seguidas.

http://www.symantec.com

N-Stealth es un escáner de seguridad de servidores de web no-libre. Es generalmente,

actualizado más frecuentemente que los escáneres de web libres tales como whisker y
nikto, pero exageran en su sitio web. Alegan "20.000 vulnerabilidades y exploits" y que
N-Stealth "Docenas de comprobaciones de vulnerabilidades son agregadas cada día" y esto es
altamente cuestionable. También, cabe notar que básicamente, todas las herramientas
generales análisis de vulnerabilidades {"VA tools"} tales como nessus, ISS, Retina, SAINT,
 y SARA incluyen componentes para escaneo de web. Quizás no estén tan actualizados, o
sean lo suficientemente flexibles. n-stealth es sólo para Windows y no se incluye el
código fuente.

Scanners de CGI

NOMBRE DEL PROGRAMA PEQUEÑA DESCRIPCION

Escanea las cantidad de vulnerabilidades que se
encuentran en los CGI
CGI SCAN

Whisker es un escáner que nos permite poner a servidores

de HTTP con respecto a varias agujeros de seguridad
conocidos, particularmente, la presencia de peligrosos
scripts/programas que utilicen CGI. Libwhisker es una
biblioteca para perl (utilizada por Whisker) que nos
Whisker permite crear escáneres de HTTP a medida.

Scanners de NetBios

NOMBRE DEL PROGRAMA PEQUEÑA DESCRIPCION

NBTscan es un programa que escanea redes IP en busca de
información de nombres de NetBIOS. Envía pedidos de
"status" de NetBIOS a cada dirección en un rango provisto
por el usuario y lista la información recibida de manera
humanamente legible. Por cada host que responde, se
lista su dirección, nombre de NetBIOS, nombre de usuario
NBTScan
con sesión iniciada en la máquina {"logged in"} , y
dirección de MAC.

Excelente scanner de archivos compartidos con la opción

de crackear el password remoto.
XSharez

SMBS
A partir de una IP busca carpetas y máquinas compartidas.
Reportes típicos de vulnerabilidades reportadas por organizamos reconocidos.

CVE (Common Vulnerabilities and Exposures) es: Una lista de nombres estandarizados o
vulnerabilidades y otra información sobre exposiciones de seguridad - CVE trata de
estandarizar los nombres de todas las vulnerabilidades y exposiciones de seguridad
conocidas públicamente.

La principal función de CVE es el hacer mas fácil compartir la información sobre

vulnerabilidades para la seguridad informática. No debe ser considerada una base de datos
por si sola.

Vulnerabilidades encontradas en la CVE, se pueden encontrar vulnerabilidades relacionadas

con:

Microsoft
Cisco
Netscape
Proxy Server
Oracle
Unix

Ejemplo de un reporte del CVE:

Exploit.CVE-2006-1359. Explota vulnerabilidad en IE

VSantivirus No. 2085 Año 10, sábado 25 de marzo de 2006

Exploit.CVE-2006-1359. Explota vulnerabilidad en IE

http://www.vsantivirus.com/exploit-cve-2006-1359.htm

Nombre: Exploit.CVE-2006-1359
Nombre NOD32: JS/Exploit.CVE-2006-1359
Tipo: Caballo de Troya
Alias: Exploit.CVE-2006-1359, Exploit.IECrashJS.G, Exploit.JS.CVE-2006-1359.c,
Hacktool.IE.Exploit, JS.Exploit.F, JS/CreateTextRange.A!exploit, JS/Exploit.CVE-2006-
1359, JS/Exploit-BO.gen
Fecha: 24/mar/06
Plataforma: Windows 32-bit
Tamaño: variable
Referencia: CVE-2006-1359

Se trata de la detección genérica de código capaz de explotar la vulnerabilidad en Internet

Explorer 6 y 7 beta 2, que permite a atacantes remotos la ejecución remota de código a
partir de un desbordamiento de búfer ocasionado por un error en el manejo de un puntero
de memoria, durante el proceso del método "createTextRange()" aplicado al control de un
botón de opciones (radio button).

El método createTextRange permite cambiar u obtener un texto en un elemento HTML (por

ejemplo, mostrar un texto cuando el ratón se desliza sobre algún elemento de una página).

Esto puede ser explotado por un sitio malintencionado, para corromper la memoria de tal
modo que el flujo del programa sea redireccionado. En un ataque exitoso, esto podría
provocar una denegación de servicio (o sea el fallo del programa) y la ejecución arbitraria
de código.
NOTA: Se entiende por "radio button", a un selector de opciones que permite elegir una, y
sólo una opción entre varias ofrecidas al usuario.

La vulnerabilidad ha sido confirmada en un sistema totalmente actualizado con Internet

Explorer 6.0 y Microsoft Windows XP SP2.

Cuando NOD32 detecta este exploit, por ejemplo al visitar una página web maliciosa, solo
es necesario hacer clic en el botón "ABORTAR" para interrumpir la descarga del código, y en
ocasiones ELIMINAR cualquier otra aparición del mismo en archivos temporales (ver "Cómo
borrar archivos temporales", http://www.vsantivirus.com/faq-borrar-temporales.htm)

Más información:

NOTA 12/04/06: Microsoft publicó el parche para esta vulnerabilidad. Más información:
"MS06-013 Actualización acumulativa para IE (912812)"
http://www.vsantivirus.com/vulms06-013.htm

Aumenta el peligro con vulnerabilidad CVE-2006-1359

http://www.vsantivirus.com/jl-260306.htm

Alerta amarilla por exploit a vulnerabilidad en IE

http://www.vsantivirus.com/jl-240306.htm

Ejecución de código en IE con "createTextRange"

http://www.vsantivirus.com/vul-ie-createtextrange-220306.htm

Referencias:

Vulnerability Summary CVE-2006-1359

http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-1359

CVE-2006-1359
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1359

BUGTRAQ:20060322 IE crash
http://www.securityfocus.com/archive/1/428441

Microsoft Internet Explorer (mshtml.dll) Remote Code Execution

http://www.computerterrorism.com/research/ct22-03-2006

Vulnerability Note VU#876678

Microsoft Internet Explorer createTextRange() vulnerability
http://www.kb.cert.org/vuls/id/876678

Microsoft Internet Explorer CreateTextRange Remote Code Execution Vulnerability

http://www.securityfocus.com/bid/17196

Advisory ID : FrSIRT/ADV-2006-1050
Microsoft Internet Explorer "createTextRang" Remote Code Execution Vulnerability
http://www.frsirt.com/english/advisories/2006/1050

Secunia Advisory: SA18680

Microsoft Internet Explorer "createTextRange()" Code Execution
http://secunia.com/advisories/18680/
New publicly disclosed vulnerability in Internet Explorer
http://blogs.technet.com/msrc/archive/2006/03/22/422849.aspx

Microsoft Security Advisory (917077) - Vulnerability in the way HTML Objects Handle
Unexpected Method Calls Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/917077.mspx