PDF de programación - Técnicas y Procedimientos para la realización de Test de Intrusión

Extrelan 2008

Cáceres. Marzo de 2008

Técnicas y Procedimientos para la realización de Test de Intrusión

SG6 – Soluciones Globales en Seguridad de la Información

http://www.sg6.es

SG6 Labs: Técnicas y Procedimientos para la realización de Test de Intrusión

INDICE DE CONTENIDOS

 Primera Parte: Sistemas de Información

• Definiciones
• ¿Qué es un Sistema de Información?
• Seguridad Informática vs Seguridad de la Información
• Objetivos de la Seguridad de la Información

 Segunda Parte: Amenazas y Vulnerabilidades

• Clasificación de Amenazas
• Entorno de Demostración: WebGoat
• Clasificación de Vulnerabilidades
• Objetivos de la Seguridad de la Información

Tercera Parte: Test de Intrusión

• ¿Qué es un Test de Intrusión?
• Pasos a seguir

O. Índice de Contenidos

PRIMERA PARTE: Sistemas de Información

Técnicas y Procedimientos para la realización de Test de Intrusión

SG6 – Soluciones Globales en Seguridad de la Información

http://www.sg6.es

SG6 Labs: Técnicas y Procedimientos para la realización de Test de Intrusión

Definiciones

 Activo: “Cualquier valor cuantificable de naturaleza material o inmaterial
de una organización”

 Amenaza: “Factor de riesgo externo representado por un peligro latente
asociado a un fenómeno natural, tecnológico o humano, pudiendo
manifestarse en un sitio específico por un tiempo determinado,
produciendo efectos adversos a personas o bienes.” [Maskrey 1993]

Vulnerabilidad: “Factor de riesgo interno de un sistema expuesto a una
amenaza, y se corresponde con su predisposición intrínseca a ser
afectado o susceptible de daño.” [Cardona 1993]

Riesgo: “Probabilidad de que una amenaza explote una vulnerabilidad.”

Impacto: “Cuantificación del daño ocasionado una vez materializada la
amenaza”

1. Sistemas de Información

SG6 Labs: Técnicas y Procedimientos para la realización de Test de Intrusión

¿Qué es un Sistema de Información?

 “Un sistema de Información es el conjunto formado por los sistemas
de IT, personas, datos y actividades que procesan, ya sea de manera
manual o automática, la información de una organización.” [Wikipedia]

 “Un sistema, ya sea manual o automático, que consta de personas,
máquinas y/o métodos, organizados de tal manera que permitan
reunir, procesar y transmitir información.” [NIS]

1. Sistemas de Información

SG6 Labs: Técnicas y Procedimientos para la realización de Test de Intrusión

¿Qué es un Sistema de Información?

 La información es uno de los activos más importantes en las
organizaciones.

 Cada vez más, las organizaciones se sustentan sobre una base
tecnológica. Por lo tanto, el impacto que se produce ante un incidente va
en aumento.

 Cualquier amenaza que pueda afectar a los sistemas de información de
la empresa supone un riesgo para los procesos de negocio de la
organización.

1. Sistemas de Información

SG6 Labs: Técnicas y Procedimientos para la realización de Test de Intrusión

Seguridad Informática vs Seguridad de la Información

 De manera errónea se utilizan estos dos conceptos indistintamente,
pero son totalmente diferentes y sus marcos de aplicación son distintos.

 El campo de aplicación de la Seguridad Informática está orientado
principalmente hacia los sistemas de TI, es decir, intenta solventar
aspectos técnicos.

 La Seguridad de la Información no se limita únicamente a los
sistemas, sino que también engloba la seguridad física, operacional y
organizacional del sistema de información.

1. Sistemas de Información

SG6 Labs: Técnicas y Procedimientos para la realización de Test de Intrusión

Objetivos de la Seguridad de la Información

Los objetivos principales que pretende preservar la Seguridad de la
Información son:

 Confidencialidad: Aseguramiento de que la información es
accesible sólo para aquellos autorizados a tener acceso.

 Integridad: Garantía de la exactitud y completitud de la
información y de los métodos de su procesamiento.

 Disponibilidad: Aseguramiento de que los usuarios autorizados
tienen acceso cuando lo requieran, a la información y sus activos
asociados

 ¡La seguridad no es cualitativa sino cuantitativa!

1. Sistemas de Información

SEGUNDA PARTE: Amenazas y Vulnerabilidades

Técnicas y Procedimientos para la realización de Test de Intrusión

SG6 – Soluciones Globales en Seguridad de la Información

http://www.sg6.es

SG6 Labs: Técnicas y Procedimientos para la realización de Test de Intrusión

Clasificación de Amenazas

 Atendiendo al origen:

 Externas. Se originan desde fuera de la organización.

 Internas. Se producen desde dentro de la propia organización y
suelen tener un mayor impacto sobre la misma.

 Atendiendo al área de efecto:

 Físicas. Afectan a los elementos físicos de las organizaciones.

 Lógicas. Su área de efecto engloba a todos los activos de
naturaleza digital.

 Humanas. Se centran en vulnerar la seguridad utilizando como
medio a las personas.

2 Amenazas y Vulnerabilidades

SG6 Labs: Técnicas y Procedimientos para la realización de Test de Intrusión

Clasificación de Amenazas

 Atendiendo al efecto que provoca:

 Interrupción. Esta amenaza afecta a la continuidad de los servicios,
pudiendo hacer que estos queden inutilizados o no disponibles.

 Interceptación. El propósito de esta clase se basa en el acceso no
autorizado de un elemento a un determinado objeto.

 Modificación. Implica que un elemento no autorizado, además de
acceder al objeto ha conseguido modificarlo.

 Fabricación. El objetivo de esta eventualidad es el de crear un objeto
similar al atacado de tal manera que pueda suplantar al original.

2 Amenazas y Vulnerabilidades

SG6 Labs: Técnicas y Procedimientos para la realización de Test de Intrusión

Clasificación de Amenazas

s
a
n
r
e
n

t

I

Interrupción
Interceptación

Modificación
Fabricación

s
a
n
r
e

t
x
E

2 Amenazas y Vulnerabilidades

SG6 Labs: Técnicas y Procedimientos para la realización de Test de Intrusión

Entorno de Demostración
OWASP - WebGoat

 La Open Web Application Security Project (OWASP) es una comunidad
enfocada en la mejora de la seguridad del software que engloba miembros de
todo el mundo.

 OWASP Testing Guide es una metodología para la realización de test de
intrusión y evaluación de la seguridad de las aplicaciones Web.
(http://www.owasp.org/index.php/Category:OWASP_Testing_Project)

 WebGoat representa una aplicación J2EE insegura, diseñada por OWASP
para el aprendizaje de la evaluación de la seguridad de las aplicaciones Web.
Su objetivo es servir como entorno de pruebas para la metodología creada por
la
comunidad.
http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project

2 Amenazas y Vulnerabilidades

SG6 Labs: Técnicas y Procedimientos para la realización de Test de Intrusión

Clasificación de Vulnerabilidades
Errores de Diseño

 Este tipo de errores se producen cuando el diseño del flujo operacional del
propio aplicativo es inseguro. Los motivos que originan este tipo de errores
suelen ser la ignorancia, negligencia o simplemente el desconocimiento de
algunos conceptos mínimos de seguridad.

 Autenticación

 Autenticación insuficiente. Se presenta cuando un aplicativo Web
permite a un atacante el acceso a contenido privilegiado o
Ejemplo:
funcionalidades
http://www.paginadepruebas.es/Administrador/admin.php
o
http://www.paginadepruebas.es/administrar.php?autenticado=true

autenticado.

sin

haberse

 Validación débil en la recuperación de contraseñas. Se puede utilizar
este ataque cuando el aplicativo permite a un atacante obtener o
modificar la contraseña de otro usuario. Ejemplo: Hotmail hace unos
años. http://127.0.0.1/WebGoat/attack?Screen=219&menu=310

2 Amenazas y Vulnerabilidades

SG6 Labs: Técnicas y Procedimientos para la realización de Test de Intrusión

Clasificación de Vulnerabilidades
Errores de Diseño

 Autorización

 Predicción de credenciales. Este método permite a un atacante
suplantar la identidad de un usuario legítimo. A todos los efectos,
interactúa con el aplicativo como si fuera el usuario comprometido.
Ejemplo: Cookie con nombre de usuario o número secuencial.
http://127.0.0.1/WebGoat/attack?Screen=228&menu=310

 Expiración de sesión insuficiente. Se produce cuando el tiempo de
expiración de las credenciales es tal que permite a un atacante
reutilizar credenciales suyas o de otros usuarios para autenticarse.
Ejemplo: Uso de ordenadores compartidos.

 Fijación de sesión. Si un aplicativo Web asigna siempre las mismas
credenciales o ID a un usuario, estas pueden ser aprovechadas por
un atacante para suplantarlo, siempre que este las conozca y el
usuario comprometido se encuentre autenticado dentro del
aplicativo.

2 Amenazas y Vulnerabilidades

SG6 Labs: Técnicas y Procedimientos para la realización de Test de Intrusión

Clasificación de Vulnerabilidades
Errores de Diseño

 Ataques lógicos

 Abuso de Funcionalidad. Mediante este error, un atacante puede
aprovechar
las propias capacidades y funcionalidades de un
aplicativo Web, para evadir los mecanismos de autenticación.

 Validación de proceso insuficiente. Este ataque se presenta cuando
un aplicativo permite a un atacante evadir o engañar el flujo de
control
aplicación.
http://127.0.0.1/WebGoat/attack?Screen=49&menu=710

de

la

2 Amenazas y Vulnerabilidades

SG6 Labs: Técnicas y Procedimientos para la realización de Test de Intrusión

Clasificación de Vulnerabilidades
Errores de Programación y Configuración

 El desarrollo de un aplicativo no es más que la codificación del diseño
realizado. El problema radica en que algunas veces muchas decisiones
de diseño se toman en el mismo momento de la implementación.

 La celeridad genera que dichas decisiones no estén lo suficientemente
estudiadas.

 Autenticación

 Fuerza Bruta. Este ataque consiste obtener información probando
todas las combinaciones posibles mediante un proceso
automatizado. Ejemplo: Obtención de contraseñas (fortificación).

 Ataques en la parte cliente

 Suplantación de contenido