Documentos de Académico
Documentos de Profesional
Documentos de Cultura
HCK DocAudUD1 p1
HCK DocAudUD1 p1
1. Objetivos
2. Introducción
3. Motivaciones, perspectivas
y tipos de atacantes
4. Patrones y árboles de
ataque
5. Metodología de Pruebas
Penetración.
1. PMBOOK
2. ISSAF.
3. OSSTM
4. PTES
6. Informe Pruebas
Penetración
• Categorías Ataques
• Perspectiva intercambio
de información.
• Interrupción → Disponibilidad
• Intercepción → Confidencialidad
• Modificación → Integridad
• Fabricación → Autenticación
• Tipos de Ataques
• Externos – Internos
• Activos – Pasivos
• Estructurados – No estructurados
• Diseño – Implementación – Operación
• Test de penetración – Hacking Malicioso - Hacking de tipo gris
ATAQUES
PASIVOS ACTIVOS
• Nivel de diseño.
• Ataque de hombre en medio.
• Ocurre cuando el atacante intercepta la comunicación entre dos hosts, entonces
suplanta la identidad de una de las dos partes.
• Su defensa consistiría en el uso de autenticación basada en criptografía, por
ejemplo, utilizando ssh en lugar de telnet.
• Ataque de condiciones de carrera.
• En un sistema operativo multiusuario, se conceden ventanas de tiempo a las
distintas tareas de los procesos si se intercala en una de esas ventanas un
atacante puede comprometer la seguridad.
• Hay que evitar operaciones no-atómicas si pueden tener implicaciones de
seguridad.
• Ataque con sniffer.
• Captura los paquetes del tráfico de la red con el objetivo de capturar nombres de
usuario y passwords que se transmiten en claro.
• Secuestro de sesiones.
• Este tipo de ataque, explota las debilidades del protocolo TCPIP secuestrando una
conexión establecida.
• Nivel de implementación.
• Ataque de buffer overflow.
• No hacer comprobaciones de la longitud de los campos de entrada de
una aplicación puede dar lugar a un desbordamiento de la memoria y
redirigir la ejecución a código malicioso que puede incluir en datos
entrada
• Ataque de inyección de SQL.
• Entradas invalidadas que consiguen extraer o incluso borrar
información de la base de datos alterando la sentencia de la consulta.
La defensa consiste en hacer comprobaciones de los datos de entrada
para asegurarse de que ese contenido no altera el formato de la
consulta.
• Ataques de puerta-atrás.
• Hay establecer un adecuado proceso de aseguramiento de la calidad
de código que impida que algún programador malintencionadamente
escriba código que permita que se pueda saltar el control de entrada
• Nivel de operación.
• Ataques de denegación de servicio.
• Cascada de solicitudes de servicio por ejemplo de peticiones de conexión
telnet, ftp, http a tan alta frecuencia, que pasado un tiempo debido al
consumo de memoria de cada intento de conexión, se puede llegar a la
caída del sistema.
• Ataque aprovechando configuraciones por defecto.
• Deshabilitar las cuentas de usuario por defecto o también servicios como
servidores web en encaminadores, conmutadores, también servidores tftp,
etc.
• Ataque por descubrimiento de contraseñas.
• Craking de passwords, debido a malas elecciones de las passwords
• Utilización de programas que utilizan algoritmos y diccionarios
• Para protegerse de estos ataques hay que diseñar las aplicaciones de tal
manera que se exijan contraseñas robustas
• Utilizar tarjetas PKI con certificados digitales.
No son capaces de
Curiosidad, Escasos, sin equipos Herramientas y script
Scriptkiddies Aleatorio Bajas. Novatos hacer daños a
notoriedad especializados libres de Internet
sistemas protegidos
Búsqueda de la
Medias. Con
Poseen equipos Herramientas y script notoriedad. Para
Notoriedad, a veces Objetivos de tipo militar conocimientos de
Ciber-Punk especializados, fórums y libres modificadas para financiarse roban
económicos o gubernamental sistemas operativos y
grupos de Hackers sus usos. tarjetas de crédito o
programación
fraudes
Actualmente están en
Alto, con y Accesos privilegiados e Accesos privilegiado para declive frente a los
Venganza.
Internos Evento negativos conocimientos información de los robos de información, atacantes externos.
económicos
especializados sistemas fraude, sabotaje Una excepción es el
caso Wikileaks
Medias. Aprenden
Los vectores de ataque
determinadas Spam, fraudes de tarjetas
ha vuelto más
Ninguno en especial, habilidades para los Poseen equipos de crédito, robo de
Petty theft Económicos accesible para los no
búsqueda de dinero ataques sin estar especializados identidad mediante scripts
técnicos
interesados en la crimeware.
Petty Thief
tecnología
• Taxonomía de incidentes
Fase Utilidad
Ayuda a identificar requisitos.
Especificación de Ayuda a identificar los riesgos a los que hará frente el software.
Requisitos Ayuda a definir el comportamiento del sistema para prevenir o reaccionar ante
un tipo específico de ataque probable.
Proporciona ejemplos de ataques que aprovechan las vulnerabilidades de la
arquitectura elegida.
Diseño y Arquitectura
Proporcionan el contexto de las amenazas al que el software se va a enfrentar,
de forma que permite diseñar arquitecturas seguras.
Pueden ser utilizados para orientar las pruebas de seguridad del software en
Pruebas un contexto práctico y realista identificando debilidades concretas para
generar casos de prueba para cada componente.
Ítem Descripción
Nombre Identificador descriptivo del patrón de ataque.
En una escala aproximada típica (muy bajo, bajo, medio, alto, muy alto) de la gravedad del
Severidad
ataque.
Descripción detallada del ataque incluyendo la cadena de acciones tomadas por el atacante.
Descripción
Descripciones más pormenorizadas podría incluir árboles de ataque.
Describe las condiciones que deben existir o funcionalidades y características que el software
Prerrequisitos del ataque de destino debe tener o comportamiento que debe exhibir para que un ataque de este tipo
tenga éxito.
Es una escala aproximada (Muy Bajo, Medio Bajo, Alto, Muy Alto). Este campo se utiliza para
Probabilidad típica del exploit capturar un valor global promedio típico para este tipo de ataque, teniendo en cuenta que
no será completamente exacta para todos los ataques.
Describe el mecanismo de ataque utilizado por este patrón. Con el fin de ayudar en la
normalización y clasificación, este campo comprende una selección de una lista enumerada
Métodos de ataque
de definidos vectores. Este campo puede ayudar a definir la superficie de ataque requerida
por este ataque
Ítem Descripción
Contiene ejemplos explicativos o casos demostrativos de este ataque. Pretende
Ejemplos ayudar al lector a comprender la naturaleza, el contexto y la variabilidad de la
agresión en términos más prácticos y concretos.
Conocimiento y habilidades Describe el nivel de habilidad o conocimiento específico requerido por un agente
malicioso para ejecutar este tipo de ataque. Se codifica con una escala aproximada
requeridas del atacante (bajo, medio, alto), así como un detalle de contexto.
Este campo describe los recursos (ciclos de CPU, direcciones IP, herramientas, etc.)
Recursos requeridos
requeridos por un atacante para ejecutar con eficacia este tipo de ataque.
Describe las técnicas normalmente utilizadas para investigar y reconocer un blanco
Métodos de prueba
potencial, determinar la vulnerabilidad y prepararse para este tipo de ataque.
Describe las actividades, eventos, condiciones o comportamientos que podrían servir
Indicadores de un ataque como indicadores de que un ataque de este tipo es inminente, está en progreso o ha
ocurrido.
Describe acciones o enfoques que pueden potencialmente prevenir o mitigar el
riesgo de este tipo de ataque. Estas soluciones y mitigaciones están dirigidas a
Soluciones y mitigaciones mejorar la resistencia, reduciendo la probabilidad de éxito del ataque o para
mejorar la capacidad de recuperación del software objetivo, reduciendo el impacto
del ataque si tiene éxito.
Comprende una selección de una lista enumerada de motivaciones definidas o
Motivación y consecuencias consecuencias. Esta información es útil para la alineación de patrones de ataque a
del ataque los modelos de amenaza y para la determinación si son relevantes para un contexto
dado.
Ítem Descripción
Describe el contexto en el que este patrón es relevante y aporta más antecedentes
Descripción del contexto para el ataque. Esta información es útil para una mejor comprensión de la
naturaleza de este tipo de ataque.
Describe, lo más exactamente posible, el mecanismo y el formato de un ataque.
Vector de inyección Debe tener en cuenta la gramática de un ataque, la sintaxis aceptada por el
sistema, la posición de varios campos, y los rangos de datos que son aceptables.
Describe los datos de código, configuración u otros a ejecutar o activar, como parte
Payload
de un ataque con un vector de inyección de este tipo.
Describe el área dentro del software de destino que es capaz de ejecutar o activar
de otro modo la carga útil del vector inyección de un ataque de este tipo. La zona
Zona de activación de activación es donde la intención del atacante se pone en acción, puede ser un
intérprete de comandos, un código de máquina activa en un buffer, un navegador
cliente, una llamada API del sistema, etc.
Impacto de activación del Descripción de los efectos que la activación de la carga útil que un ataque de este
tipo tendría típicamente en la confidencialidad, integridad o disponibilidad del
payload software solicitado.
Describe el impacto de este patrón de ataque en las características de seguridad
estándar confidencialidad, integridad y disponibilidad. Este campo se utiliza para
Impacto CIA
capturar un valor global promedio típico para este tipo de ataque, teniendo en
cuenta de que no será completamente exacta para todos los ataques.
Ítem Descripción
Que vulnerabilidades o debilidades puede el ataque explotar. Se referencia
Vulnerabilidades estándar de la industria CWE. Esta lista debe incluir no sólo a las
debilidades que están directamente afectados por el ataque, sino que
relacionadas también aquellas cuya presencia pueda directamente aumentar la
probabilidad de éxito del ataque o el impacto si tiene éxito.
Requisitos de seguridad Identifica los requisitos de seguridad específicos que son relevantes para este
tipo de ataques y son lo suficientemente generales como para ofrecer
relevantes oportunidades de reutilización.
Principios de seguridad Identifica los principios de diseño de seguridad que son relevantes para
relacionados identificar o mitigar este tipo de ataques.
Identifica las directrices de seguridad existentes que son relevantes para la
Guía relacionadas
identificación o mitigar este tipo de ataque.
Enumera los recursos de referencia que se utilizaron para elaborar la
Referencias definición de este patrón de ataque y los que podrían ser de utilidad para
ampliar la información sobre este ataque.
Ítem Descripción
Nombre HTTP Response Splitting
Severidad High
Description HTTP Response Splitting causes a vulnerable web server to respond to a
maliciously crafted request by sending an HTTP response stream such that it gets
interpreted as two separate responses instead of a single one. This is possible when
user-controlled input is used unvalidated as part of the response headers. An
attacker can have the victim interpret the injected header as being a response to a
second dummy request, thereby causing the crafted contents to be displayed and
possibly cached. To achieve HTTP Response Splitting on a vulnerable web server,
Descripción the attacker:
1. Identifies the user-controllable input that causes arbitrary HTTP header injection.
2. Crafts a malicious input consisting of data to terminate the original response
and start a second response with headers controlled by the attacker.
3. Causes the victim to send two requests to the server. The first request consists of
maliciously crafted input to be used as part of HTTP response headers and the
second is a dummy request so that the victim interprets the split response as
belonging to the second request.
Ability of attacker to inject custom strings in HTTP header Insufficient input
Prerrequisitos del ataque validation in application to check for input sanity before using it as part of response
header.
• Forma Textual
DESCOMPOSICION "OR"
• Una serie de objetivos de ataque de nivel inferior,
cualquiera de los cuales puede lograrse para que el
ataque tenga éxito