desmitificando el pentest share
TRANSCRIPT
1
Desmitificando el Pentest…
1
3/11/2015 2
Introducción - Que es un Pentest?
¿Qué es un pentest en realidad?
Proceso de la Investigación de la Metodología
Etapas de realización de la Metodología
Metodologia EHVA
¿Qué veremos?
¿Qué es un pentest?“Se conoce como pentest a un sistema de evaluación de la
seguridad de sistemas informáticos que consiste en la
realización de un ataque informático controlado y ejecutado
por parte de un equipo de auditores (pentesters) acordado
con el propietario del sistema analizado (cliente)”
O dicho de otra forma:
“¿Que le pueden hacer los chicos malos a mi
sistema/infraestructura informatica?
* Todo trabajo/proyecto que se precie y tenga que ver con el
Hacking debe incorporar una imagen de Matrix, resultando
todo el trabajo mucho más “Hack” a la par que molón
3
3/11/2015 4
Diccionario Cliente – auditor
En la mayoría de los casos se ha de utilizar el diccionario Cliente-Auditor:
El cliente solicita un pentest -> Realmente quiere una auditoria
El cliente quiere una revisión en caja negra -> Realmente la revisión se hará en caja gris
El cliente quiere un “Hacker” -> Realmente el cliente se imagina que los hackers son gente con poderes ocultos obtenidos en Aquelarres capaces de hacer que se derrita un ordenador con solo mirarlo. Hay que explicarle que no es así, y que todo tiene una metodología y un trabajo a realizar.
¿Que es un pentest en la realidad?
4
El Hacker “real”
Y el de verdad…
3/11/2015 7
La realización de la investigación para la creación de la metodología ha seguido las pautas de la Taxonomía de Bloom aplicada a un pentest:
Definición: Obtención de conocimientos (información)
Aplicación: ¿Como se pueden aplicar los conocimientos? (pruebas)
Explicación: ¿Por qué? ¿Cómo se hace?
Síntesis: Análisis de los resultados obtenidos
Evaluación: ¿Es valida la metodología? Los resultados son correctos?
Proceso de la Investigación
7
3/11/2015 8
El objetivo de esta etapa fue la obtención de conocimiento a partir de la lectura de metodologías actuales:
OWASP: Open Web Application Security Project
CEH: Certified Ethical Hacking
OSSTMM: Open Source Security Testing Methodology Manual (ISECOM)
ISSAF: Information Systems Security Assessment Framework (OISSG)
PTES: Penetration Testing Execution Standard
Etapa de investigación y lectura
3/11/2015 9
PTES: Penetration Testing Execution Standard
División de las fases de un Pentest
Explicaciones de conceptos teóricos
Explicaciones de pruebas practicas
Uso de herramientas Open Source
And the Oscar goes to…
9
3/11/2015 10
Los objetivos de esta etapa son:
Analizar todo el conocimiento adquirido en la anterior etapa
Complementar la metodología PTES con teoría y conceptos validos de otras metodologías
Definir pruebas y herramientas a utilizar en la metodología (libros técnicos)
Realizar pruebas
Etapa de desarrollo y laboratorio
10
3/11/2015 11
Y la “Magia” es…
3/11/2015 12
Los objetivos de esta fase son los siguientes:
Realizar la documentación de la metodología EHVA
Evaluar resultados de aplicar la metodología EHVA a un pentest real
Etapa de documentación
3/11/2015 13
– HD Moore & Valsmith “Tactical Exploitation – The other way to Pen-Test”
(2007)
“ The best attack tool is still the human brain ”
13
3/11/2015 14
La metodologia EHVA se divide en 5 fases:
Information Gathering
Análisis de vulnerabilidades
Explotación
Post Explotación
Informe de resultados
Metodologia EHVA
14
3/11/2015 15
“Información es poder”
La fase de "Information" Gathering se divide en dos:
Metodología OSINT: Consultas en busca de información en fuentes de acceso publicas
Ingeniería Social: El arte del engaño como método de obtener información. Los eslabones más débiles de una infraestructura son sus usuarios.
Enumeración de servicios: Aunque se podría considerar una etapa diferente, podríamos decir que su realización se divide en la fase de Information Gatheringy en la fase de Analisis de vulnerabilidades.
Herramientas: Set, dnsenum, nmap, FOCA….
Information Gathering
15
3/11/2015 16
Reportando una vul de Windows…en Linux
3/11/2015 17
“La informática no deja de ser el conjunto de datos y las operaciones que se definen sobre ellos, las vulnerabilidad consisten en la posibilidad de corromper
los datos o bien poder realizar operaciones diferentes a las ideadas inicialmente“
Juan Vázquez – Rapid 7 (Metasploit)
En la fase de análisis de vulnerabilidad el pentester deberá analizar lainformación obtenida en la fase de “Information Gathering” para detectartodas las posibles vulnerabilidad del sistema objetivo:
Se define el proceso de análisis de vulnerabilidades:
Pruebas + Validación + Investigación
Herramientas: Nessus, Nmap…
Análisis de vulnerabilidades
17
3/11/2015 18
Herramienta Nessus
18
3/11/2015 19
Encontrando un 0-day en un producto…
3/11/2015 20
“El objetivo son los datos, no ser root”HD Moore
Explotación
20
3/11/2015 21 21
3/11/2015 22
El principal propósito de la fase de “Post Explotación” es determinar el valor de la máquina comprometida y mantenerla bajo control del pentester para su uso posterior.
El fin de esta fase no es otro que conseguir llegar a otros objetivos y realizar
un pentest lo más profundo y detallado posible.
En esta fase se definen los siguientes procesos:
Control del objetivo
Obtención de información
Normas éticas
Post Explotación
22
3/11/2015 23
Herramienta Metasploit
23
3/11/2015 24
Un pentest no es únicamente ejecutar herramientas, para realizar un buen pentest hay que seguir 3 pasos:
Comprender + Pensar + Imaginar
Y no olvidar, que tenemos la suerte que nuestro hobby es también nuestro trabajo…y el resultado del pentest se habrá de reportar a personal no técnico, por lo que tendrá que ser comprensible por ellos y demostrar todo el trabajo que se ha realizado
Conclusiones
3/11/2015 25
Cliente leyendo nuestro report…
3/11/2015 26
Gràcies!!
¿Preguntas?