Hacking ético

Pruebas de intrusión
1. Es el proceso de intentar obtener los recursos sin tener conocimiento de nombres de usuario, contraseñas y otros elementos comunes.
2. Objetivos principales
3. Aspectos relevantes
  1. Diferencias respecto a un análisis de vulnerabilidad
    1. El análisis de vulnerabilidades se enfoca en identificar las áreas vulnerables basadas en los servicios y otras características de la red que permitirían a un atacante comprometer el sistema. Las pruebas de intrusión se enfocan en explotar las vulnerabilidades identificadas.
  2. No tiene por objetivo identificar y explotar todas las vulnerabilidades del sistema
  3. Proporciona una muestra de los impactos que puede llegar a tener un atacante
  4. Se debe intentar explotar las vulnerabilidades más sencillas primero
  5. Perspectiva ética
    1. No obtener provecho de las vulnerabilidades identificadas
    2. No divulgar al exterior
    3. Cuidar la reputación del personal calificado
Mejores prácticas en pruebas de intrusión
1. Metodologías
  1. OSSTMM 3
    1. Open Source Security Testing Methodology Manual
    2. Metodología para revisar la seguridad de los sistemas desde internet
    3. Secciones
      1. A Seguridad de la información
      2. B Seguridad de los procesos
      3. C Seguridad en las tecnologías de internet
      4. D Seguridad de las comunicaciones
      5. E Seguridad inalámbrica
      6. F Seguridad física
  2. ISSAF
    1. Information System Security Assessment Framework del OISSG
    2. Dirigida a pruebas de seguridad en general, enfoque clásico
    3. Enfoque en fases (3)
      1. Planificación y preparación
      2. Evaluación
      3. Recolección de información
      4. Mapeo de la red
      5. Identificación de vulnerabilidades
      6. Penetración
      7. Obtener acceso y escalada de privilegios
      8. Enumeración
      9. Comprometer usuarios remotos y sitios
      10. Mantener acceso
      11. Reportes, limpieza y destrucción de objetos
      12. Resumen de gestión
      13. Alcance del proyecto
      14. Herramientas utilizadas (incluyendo exploits)
      15. Fechas y horas reales en las que se llevó a cabo las pruebas en el sistema
      16. Todos y cada una de las salidas de las pruebas realizadas
  3. OTP
    1. Open Web Application Security Project Testing Project
    2. Modo pasivo
      1. El objetivo de la fase es comprender cuales son los puntos de acceso (puertas) de la aplicación
    3. Modo activo
      1. El objetivo de la fase es realizar las pruebas con un enfoque metodológico.
2. Certificaciones
  1. TCNA
  2. QGCS
  3. EC-Council
    1. CEH
    2. LPT
  4. GIAC
    1. GPEN
    2. GWAPT
    3. GXPN
  5. Offensive Security
    1. OSCP
    2. OSCE
Ejecución de las pruebas de intrusión
1. Concimiento de las fases de un cyberataque
  1. Reconocimiento
    1. Recopilar información sobre el objetivo
  2. Preparación
    1. Preparar el ataque
  3. Distribución
    1. Transmisión del ataque
  4. Explotación
    1. Detonar el ataque
  5. Instalación
    1. Asegurar la instalación a través de una víctima
  6. Comando y control
    1. Con el control obtenido, lanzar acciones maliciosas.
  7. Acciones sobre los objetivos
    1. Hacerse de los datos e intentar expandir su acción maliciosa a otros objetivos
  8. MITRE ATT&CK
    1. Base de conocimiento accesible a nivel mundial de tácticas y técnicas adversas basadas en observaciones del mundo real. La base de conocimientos de ATT & CK se utiliza como base para el desarrollo de modelos y metodologías de amenazas específicas en el sector privado, en el gobierno y en la comunidad de productos y servicios de ciberseguridad.
2. Descubrimiento
  1. Obtener información clave
    1. IP
    2. Explorar fuentes públicas
    3. Google Hacking
    4. Maltego
    5. Whois, Lookup, Traceroute
3. Enumeración
  1. DNS
  2. SNMP
  3. Netbios
  4. SMB
  5. NFS
4. Análisis de vulnerabilidades
  1. Acunetix
  2. Core Security
  3. Nessus
5. Explotación y post explotación
  1. Colocación de banderas
  2. Elaboración de un reporte
  3. Seguimiento a la aplicación de controles
Planeación de las pruebas de intrusión
1. Definición de objetivos
  1. Identificar vulnerabilidades y repararlas antes de que sean explotadas por un posible atacante
    1. La seguridad es un proceso, no un producto
  2. Tener un diagnóstico externo de un sistema crítico
    1. Piensa estratégicamente, no tácticamente
  3. Probar un nuevo sistema antes de que éste salga en producción
    1. Prueba pronto y prueba a menudo
  4. Probar la capacidad de respuesta de un ataque hipotético
    1. Prueba a menudo
  5. Cumplir con estándares internacionales o jurisdicciones locales e internacionales
    1. Comprende el objeto de estudio
2. Tipos de pruebas de intrusión
  1. Origen
    1. Externo
      1. Desde internet hacia un sitio web o una dirección específica
    2. Interno
      1. Desde la misma red corporativa
  2. Impacto
    1. Pasivo
      1. A partir de la información pública e información en los banners
    2. Activo
      1. Llevando acabo intentos de explotación de vulnerabilidades
  3. A partir de información proporcionada
    1. Caja negra
      1. De forma externa como lo llevaría a cabo una atacante
    2. Caja blanca
      1. Cuando se cuenta con todos los detalles del sistema
    3. Caja gris
      1. Se cuenta con conocimientos parciales brindados por la organización
3. Alcances de las pruebas de intrusión
  1. Inspecciones y revisiones manuales
    1. Implicaciones de seguridad de personas, políticas y procesos
    2. Pueden incluir la inspección de decisiones tecnológicas, como pueden ser los diseños de la arquitectura escogidos
    3. Generalmente se llevan a cabo analizando documentación o mediante entrevistas con los diseñadores o propietarios de los sistemas
    4. Ventajas
      1. No requieren tecnología de apoyo, puede ser aplicada a una variedad de situaciones, flexible, fomenta el trabajo en grupo y se aplica de manera temprana
    5. Desventajas
      1. Puede consumir mucho tiempo, el material de apoyo no siempre está disponible, requiere muchos conocimientos
  2. Modelo de amenazas
    1. Permite desarrollar estrategias de mitigación para vulnerabilidades potenciales en el ciclo de vida de desarrollo de software
    2. Se recomienda tomar un enfoque simple que siga el estándar NIST 800-30 para la evaluación del riesgo
    3. Ventajas
      1. Visión práctica del sistema desde el punto de vista de un atacante, flexible, se aplica en etapas tempranas
    4. Desventajas
      1. Nueva técnica, buenos modelos de amenaza no significan buen software
  3. Revisión de código
    1. Comprueba manualmente el código fuente en busca de incidencias de seguridad
    2. Muchas vulnerabilidades de seguridad serias no pueden ser detectadas con ninguna otra forma de análisis o prueba
    3. Ventajas
      1. Eficacia e integridad, precisión, rapidez
    4. Desventajas
      1. Requiere desarrolladores de seguridad altamente competentes, no puede detectar errores en tiempo de ejecución con facilidad, el código fuente realmente en uso puede ser diferente del que está siendo analizado
  4. Pruebas de intrusión
    1. La mayoría del trabajo se centra en encontrar y explotar vulnerabilidades conocidas en tecnologías específicas
    2. Las pruebas de intrusión en las aplicaciones web son más similar a investigación pura por ser, generalmente, diseños a la medida
    3. Ventajas
      1. Puede ser rápido (no barato necesariamente), requiere de un conocimiento relativamente menor que una revisión de código fuente, comprueba la exposición del código.
    4. Desventajas
      1. Demasiado tardío, prueba solo impactos frontales
      2. Pruebas solo de impactos frontales
4. Tecnología disponible para realizar las pruebas de intrusión
  1. NMAP
  2. netcat
  3. Proxys de paga o libres
  4. Powershell mimecats
  5. Wireshart
  6. Nessus
  7. Core impact
  8. Burp Suite
  9. SQL map
  10. Acunetix
  11. Metasploit
  12. Qualys