1
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
MSc. Julio C. Ardita
MSc. Julio C. Ardita
[email protected]
[email protected]
10 – 15 de Mayo de 2004
VII Seminario Iberoamericano de Seguridad en
Tecnologías de Información y Comunicaciones
La Habana - CUBA
2
© 2004 CYBSEC S.A.
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
Temario
Temario
- ¿Qué es el Penetration Test?
- ¿Cuál es la realidad?
- Vulnerabilidades de seguridad informática.
- Problemas de metodología.
- ¿Qué pasa después del PT?
- Problemáticas actuales.
© 2004 CYBSEC S.A.
3
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
¿Qué es el Penetration Test?
Es un conjunto de metodologías y técnicas de intrusión que aplicadas
sobre un sistema en un tiempo determinado cumple con el objetivo de
conocer el nivel de seguridad informática real del mismo, detectando
y explotando sus vulnerabilidades.
Formalmente el Penetration Test es una parte del proceso de
seguridad informática de una organización.
© 2004 CYBSEC S.A.
4
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
Historia del Penetration Test
- Nacimiento del PT
- Nueva rama dentro de la seguridad informática
- Primeros PT
- Apertura de redes
- Internet
- Posicionamiento de la seguridad informática
- Evolución del PT: complejo y completo
- Permanente actualización
© 2004 CYBSEC S.A.
5
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
¿Cuál es la realidad del PT?
Alta desinformación en las organizaciones.
Las organizaciones no están preparadas para recibir los
resultados.
La valoración del trabajo realizado es muy subjetiva.
Las recomendaciones que surgen en los PT en muchos
casos no son implementadas.
© 2004 CYBSEC S.A.
6
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
¿Cuál es la realidad del PT?
Existe un desconocimiento general sobre la “calidad” de
un PT.
No hay estándares para “medir” un PT.
Amplia oferta de servicios de diferentes niveles de calidad.
© 2004 CYBSEC S.A.
7
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
¿Qué incluye el PT?
La mayoría de la documentación se centra en Internet.
Arin
Whois
Ping
Traceroute
Nmap
Nessus
BID securityfocus
Informe
8
© 2004 CYBSEC S.A.
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
¿Qué incluye el PT?
PT Externos
Módems.
Centrales telefónicas.
Accesos remotos.
Internet.
Conexión con sucursales.
Otras conexiones externas.
Redes wireless.
© 2004 CYBSEC S.A.
9
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
¿Qué incluye el PT?
PT Internos
Infraestructura de red.
Servidores.
Aplicaciones.
Estaciones de trabajo.
Conexión con sucursales.
© 2004 CYBSEC S.A.
10
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
¿Qué incluye el PT?
PT más abarcativos: Aplicaciones Web, ERP, SAN, Cámaras, etc.
Nuevas técnicas:
cross-site-scripting
sql-injection
buffer-overflow
format-strings
técnicas anti-IDS
etc.
© 2004 CYBSEC S.A.
11
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
Vulnerabilidades de seguridad y PT
Relación entre vulnerabilidades de seguridad informática y los PT.
- PT exitosos
- ¿Cada cuánto se deben hacer?
- Minimizar brecha de seguridad
- Aporte de los PT
© 2004 CYBSEC S.A.
© CERT
12
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
Justificación del PT
¿Por qué una organización decide realizar un PT?
Conocer la situación real de un sistema y mejorarlo.
Demostrar los riesgos existentes.
Justificar la obtención de más recursos económicos.
Verificar que los mecanismos de seguridad se encuentren
funcionando correctamente.
Por regulaciones y/o obligación.
Como un seguro para poder cubrirse ante auditorías.
Para poder dormir a la noche.
13
© 2004 CYBSEC S.A.
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
¿Qué es lo que la organización espera del PT?
Formalmente la organización espera conocer los riesgos a los cuales
se ven sometidos sus sistemas informáticos.
Maduración en relación a la seguridad informática.
Salvo algunos casos, las organizaciones esperan que los resultados
del PT sean positivos para ellos.
La mayoría de las veces las organizaciones no están preparadas
para recibir malos resultados.
© 2004 CYBSEC S.A.
14
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
¿Cómo es visto el PT dentro de la organización?
Diferentes visiones.
Area que contrató el PT.
Normalmente se genera una “competencia” entre la
organización y la empresa que realiza el PT.
“Medición de conocimientos”.
La gran mayoría de las veces, el PT genera “mucho” nuevo
trabajo.
© 2004 CYBSEC S.A.
15
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
¿Qué pasa luego del PT?
Nueva problemática: la correcta aplicación de las
recomendaciones emanadas de los informes.
“Del dicho al hecho hay un gran trecho”.
Redacción de recomendaciones fuera de contexto.
Implementación
área de Seg. Inf. implementa.
área de Seg. Inf. controla al área técnica.
Plan de implementación.
© 2004 CYBSEC S.A.
16
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
¿Qué pasa luego del PT?
Meses despúes, ¿se han aplicado las recomendaciones propuestas?
Excusas reales: No hay recursos humanos suficientes.
No se pueden probar los cambios en entorno de
prueba (porque no existe).
No se puede realizar un upgrade de versiones (el
proveedor confirmó que la aplicación deja de funcionar).
No hay recursos económicos.
Etc.
El resultado final es que sólo se aplican los cambios que implican
un alto riesgo.
17
© 2004 CYBSEC S.A.
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
¿Qué pasa luego del PT?
Clasificación de todos los problemas encontrados con dos variables:
Nivel de riesgo
Posibilidad de resolución
Alto
Medio
Bajo
Inmediata
A corto plazo
A mediano plazo
A largo plazo
Jugando con estas dos variables para cada problema detectado en el
PT, se puede hacer una clasificación y un orden de implementación.
18
© 2004 CYBSEC S.A.
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
¿Cómo medir la calidad de un PT?
Es muy difícil. No existen estándares ni organismos controlantes.
Los factores principales que inciden en la calidad son:
Conocimiento del equipo que realiza el PT.
Experiencia en la realización del PT.
Forma de redacción de los informes.
Presentación e interacción con la organización.
Problema para la organización que debe contratar un PT.
© 2004 CYBSEC S.A.
19
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
Empresa proveedora del PT
Las organizaciones deben hacer PT continuos. ¿Conviene entonces
utilizar siempre la misma empresa para realizar los PT?
Utilizar la misma empresa
Ventaja: Confianza y conocimiento.
Desventaja: Pérdida de objetividad.
Utilizar diferentes empresas.
Ventaja: Se comienza desde cero.
Desventaja: Establecimiento de nuevas relaciones y
desconfianza inicial.
© 2004 CYBSEC S.A.
20
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
Costo del PT
Los PT cuestan dinero, es un hecho y hay que aceptarlo.
Existen muchas diferencias de costos basadas en varios factores:
Lugar.
Recursos técnicos involucrados.
Conocimiento y experiencia del equipo humano.
Correcta definición del alcance.
La suma de todos estos factores definirá el costo final del PT;
igualmente el mercado mediante la ley de oferta/demanda también
determina estos factores.
21
© 2004 CYBSEC S.A.
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
¿Cuál es el resultado ideal de un PT?
Todo depende del punto de vista con el que se mire.
El éxito desde la perspectiva del equipo que lleva adelante el PT
puede no equivaler al éxito desde la perspectiva de la organización.
Perspectiva de la empresa que realiza el PT.
Perspectiva de la organización.
Generalmente alguien no termina feliz. Estos casos se deben detectar
y se debe trabajar en el proceso de sensibilización.
© 2004 CYBSEC S.A.
22
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
Metodología del PT
Formalmente no existen metodologías; pero en la práctica, existen
tantas metodologías como empresas de seguridad informática.
Las metodologías abarcan desde la clásica tres fases: identificación,
scanning y explotación, hasta las de múltiples fases.
A nivel metodología no formal, existe el OSSTMM (Open Source
Testing Methodology Manual) que describe metodologías, técnicas
y herramientas a utilizar en las diversas fases de un PT.
© 2004 CYBSEC S.A.
23
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
Metodología del PT
1. Reconocimiento
Obtención de información.
Análisis y planificación.
2. Scanning
3. Penetración
Enumeración de vulnerabilidades.
Detección de vulnerabilidades.
Explotación de vulnerabilidades.
Escalada de privilegios.
4. Obtención de información
5. Informes
Análisis de los resultados.
Desarrollo de informes.
Presentación.
© 2004 CYBSEC S.A.
6. Limpieza
24
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
Utilización de vulnerabilidades
Las fases más críticas de un PT son la detección, verificación y
explotación de posibles vulnerabilidades.
Proceso de detección
Confianza en los elementos utilizados.
Conocimiento.
Proceso de verificación
Evitar falsos positivos.
Forma de verificación: banner, fingerprint o suposición.
© 2004 CYBSEC S.A.
25
Del Penetration Test a la Realidad
Del Penetration Test a la Realidad
Utilización de vulnerabilidades
Proceso de explotación
Obtención de exploits: en bases de datos de exploits
(Securityfocus BID, PacketStorm, etc), mailing lists
(pen-test de Securityfocus), sites underground (Zer0
days xploits),
Crear cuenta
Comentarios de: Del Penetration Test a la realidad (0)
No hay comentarios