PenTest 2.0

Mariano Mariano NuNuññezez Di Di CroceCrocemnunez@cybsec.commnunez@cybsec.com

12 de Septiembre de 12 de Septiembre de 20072007Hotel Hotel SheratonSheraton

Buenos Aires Buenos Aires -- ArgentinaArgentina

2

© 2007

PenTest 2.0

Agenda

Introducción al Penetration Testing

El PenTest Hoy

Casos Reales

El Futuro del Penetration Testing

Conclusiones

3

© 2007

PenTest 2.0

IntroducciIntroduccióónn

4

© 2007

PenTest 2.0

Un Penetration Test consiste en la evaluación del nivel de

seguridad informática existente en una instalación tecnológica.

El equipo de PenTest se focaliza en intentar detectar la mayor cantidad de vulnerabilidades posibles,

las cuales implicarían un riesgo

para los activos de la organización.

Introducción

¿ Qué es un Penetration Test ?

5

© 2007

PenTest 2.0Introducción

¿ Cómo se realiza un Penetration Test ?Se utilizan las mismas técnicas y herramientas utilizadas por los

atacantes reales.

A través de distintas fases

(Descubrimiento, Exploración,

Evaluación, Intrusión) se intenta

explotar las vulnerabilidades

detectadas para tomar control

(en un entorno controlado) de

sistemas críticos de la

organización.

6

© 2007

PenTest 2.0Introducción

Metodologías

• Black-box

• Grey-box

• White-box

Tipos de PenTest

• Penetration Tests Externos

• Penetration Tests Internos

• Penetration Tests Web

• Penetration Tests Wireless

7

© 2007

PenTest 2.0

El El PenTestPenTestHoy Hoy

8

© 2007

PenTest 2.0

Durante los últimos años han surgido herramientas para

“realizar” Penetration Tests. Muchos auditores, adoptan y

utilizan únicamente éstas herramientas, atando el éxito de la

evaluación a las funcionalidades que las mismas proveen.

El PenTest Hoy

One-click Penetration Testing

9

© 2007

PenTest 2.0

Adicionalmente al uso de las herramientas existentes, es

imprescindible aplicar técnicas y estrategias avanzadas para

realizar un PenTest de calidad.

El PenTest Hoy

Penetration Testing Táctico

En este aspecto, los conocimientos

y experiencia del equipo de PenTest

juegan un papel primordial e

irremplazable.

10

© 2007

PenTest 2.0

El Factor Humano

Información en sitios institucionales (nombres, teléfonos, e-mails,

cargos)

Motores de búsqueda (perfiles)

El PenTest Hoy

Penetration Testing Táctico (Descubrimiento)

www.paterva.com

11

© 2007

PenTest 2.0

El Factor Tecnológico (sistemas)

Información de Whois.

Transferencias de Zonas DNS.

Seguimiento de Rutas.

Información de Direccionamiento Interno.

Dispositivos de Filtrado.

Aplicaciones Web.

Rangos telefónicos y Accesos Wireless.

…

El PenTest Hoy

Penetration Testing Táctico (Descubrimiento)

12

© 2007

PenTest 2.0

Explotación de vulnerabilidades en versiones desactualizadas.

Acceso mediante credenciales válidas.

Explotación de relaciones de confianza.

Explotación de vulnerabilidades en Aplicaciones Web.

Acceso a través de enlaces Wireless.

Escalamiento de Privilegios

…

El PenTest Hoy

Penetration Testing Táctico (Intrusión)

13

© 2007

PenTest 2.0

Casos RealesCasos Reales

14

© 2007

PenTest 2.0

PenTest Web.

Aplicación Web Home-Banking.

Versión Beta.

Sección Transferencias.La Aplicación valida que el importe a transferir sea un número

decimal válido.

“Uia!! La validación es del lado del cliente !!”

“¿ Y si defino un importe negativo ?”

Resultado: Mi cuenta bancaria aumenta y aumenta…

Casos Reales

Home-Banking Seguro (?)

15

© 2007

PenTest 2.0

PenTest Externo.

Descubrimiento de Enlaces Wireless.

Oficinas centrales “limpias”.

“¿ Y los depósitos ?”

“Uia! El Access Point está por defecto!”

Acceso a la Red Interna.

Acceso a la PC del Gerente General.

Casos Reales

El Peligro del Wireless

16

© 2007

PenTest 2.0

PenTest Externo.

Entidad Bancaria.

Sistemas y Aplicaciones Web con alto nivel de seguridad.

Análisis de Centrales Telefónicas.

“Uia! Se puede acceder a las opciones administrativas!”

“Uia! Tiene un password trivial!”

Control administrativo de la Central principal.

Creación de Número Interno.

Obtención de cuentas de mails.

Envío de mails (Phishing).

Redirección de Interno a oficinas de CYBSEC.

“Hola, ¿ Me daría su usuario y su password ?”

Casos Reales

Hola, ¿ Me daría su usuario y su password ?

17

© 2007

PenTest 2.0

El Futuro del El Futuro del PenetrationPenetration

TestingTesting

18

© 2007

PenTest 2.0

Originalmente, el Penetration Test se enfocaba en intentar

acceder a los sistemas servidores de una organización, ya que

los mismos poseen información de alta sensibilidad.

En general, el nivel de seguridad externo de las

implementaciones puramente técnicas ha ido y continuará

mejorando.

Cambiando el enfoque: Atacando al eslabón más débil, el

USUARIO.

El Futuro de Penetration Testing

El Cambio de Enfoque

19

© 2007

PenTest 2.0El Futuro de Penetration Testing

El Cambio de Enfoque: Atacando al Usuario

Ingeniería Social.

Explotando vulnerabilidades en los Navegadores.

Explotando vulnerabilidades en los Clientes de Correo.

Envío de e-mails con Troyanos.

“Regalando” Hardware.

20

© 2007

PenTest 2.0El Futuro de Penetration Testing

El Cambio de Enfoque: PenTest Específicos

Muchas organizaciones han relegado la evaluación de seguridad

de sus sistemas más críticos, por temor a la ruptura de la

continuidad del negocio.

Sistemas objetivo:

ERPs

SCADA

Sistemas y Aplicaciones Propietarias

21

© 2007

PenTest 2.0El Futuro de Penetration Testing

CYBSEC-Labs: Frameworks

Frameworks para asistir a las tareas de Penetration Testing.

Públicos y gratuitos.

w3af:Framework para analizar la seguridad de Aplicaciones Web.

sapyto:

Primer framework público para asistir en Penetration

Testing a sistemas SAP.

DOWNLOAD: http://www.cybsec.com/ES/investigacion/default.php

22

© 2007

PenTest 2.0

ConclusionesConclusiones

23

© 2007

PenTest 2.0Conclusiones

Conclusiones

El Penetration Test nos permite conocer el nivel de seguridad

informático de nuestra red, sistemas y personas, analizándolo

desde los distintos ángulos de operación de un posible atacante.

Es conveniente realizar PenTests periódicos, llevados a cabo

por profesionales altamente especializados.

Los sistemas críticos (ERPs, SCADA, etc) deben ser evaluados,

ya que un ataque a los mismos puede resultar altamente perjudicial para la organización.

La capacitación del personal no técnico es clave para la

protección frente a los nuevos ataques.

24

© 2007

PenTest 2.0

¿¿Preguntas?Preguntas?