reconocimiento del Área - tic.bogota.gov.co · y permiten la búsqueda de esta información a...
TRANSCRIPT
Reconocimiento del Área
Documento MetodológicoÁmbito 1
+
Alcalde de BogotáEnrique Peñalosa Londoño
Secretario General Raúl Buitrago Arias
Alto Consejero Distrital del TICSergio Martínez Medina
Profesional Especializado en Seguridad de la InformaciónMaría del Pilar Niño Campos
Estrategia de Seguridad y Privacidad de la Información de la Alcaldía de Bogotá
Diciembre 2018
4 5
7
Figura 1. Metodología
Figura 2. Descarga de Tor
Figura 3. Selección del lenguaje
Figura 4. Selección de folder
Figura 5. Finalización de la instalación
Figura 6. Conexión a la red Tor 20
Figura 7. Buscador DuckDuckGo
Figura 8. Expresiones regulares para DuckDuckGo
Figura 9. Google Chrome
Figura 10. Buscador Google
Figura 11. Acceso a webmail de entidades
Figura 12. Aircrack-ng
Figura 13. Lectura de archivo de IVs
Figura 14. Resultado del proceso
Tabla 1. Ejemplos de búsquedas
Tabla 2. Operadores de Google
Tabla 3. Herramientas
Tabla 4. Opciones de aircrack-ng
21
23
31
37
14
17
18
18
19
19
20
20
22
23
27
36
37
38
ÍNDICE DE TABLAS
ÍNDICE DE FIGURAS PÁG. 1El resguardo de la información confidencial es un tema crucial para las empresas en general y específicamente para las entidades estatales. Algunas filtraciones de información confidencial de alto impacto han sido noticia a nivel mundial, y en muchos de estos casos la empresa o entidad afectada no se ha enterado del evento sino hasta que sale a la luz pública.
Esto se debe principalmente a dos factores, por un lado, existe una “red oscura”, donde los delincuentes ponen en venta la información que han logrado extraer y por otro lado la proliferación de redes sociales, del correo electrónico y su mal uso. Esto hace que en algunas ocasiones las filtraciones de información, tanto de forma voluntaria como involuntaria, pase desapercibida, situación que en ocasiones compromete la información confidencial tratado por las entidades públicas.
Este documento metodológico contiene el paso a paso que las entidades distritales pueden aplicar para ayudar a determinar si su información confidencial ha sufrido filtraciones, y para evaluar el nivel de conciencia del rol de custodio de la protección de información privilegiada de la entidad por parte de los funcionarios.
INTRODUCCIÓN
8 9
2El reconocimiento de área es un proceso de recaudación de información antes de definir el plan de pruebas o ataque. Se debe recolectar tanta información relevante como sea posible de múltiples fuentes disponibles. La información extraída suele dar una imagen sobre el nivel de madurez del objetivo.1.
El presente documento metodológico describe el conjunto de pruebas a realizar frente a la gestión de la información en el uso del correo electrónico, en la publicación en la web normal, en la dark web y, en las redes sociales.
Adicionalmente, se realiza análisis a la red (LAN y WiFi) con el fin de descubrir brechas de seguridad en los controles informáticos que mitigan la materialización de riesgos de seguridad digital.
La prueba de spear phishing busca identificar el nivel de conocimiento y tratamiento que el talento humano de la institución tiene frente a situaciones particulares como extracción de información por medio del engaño en correos electrónicos.
Las pruebas se realizan por entidad -de acuerdo con lo definido por la Alta Consejería Distrital de las TIC- y en cada entidad distrital se identifican tres (3) buzones de correo electrónico para las pruebas de infiltración de correo electrónico, se realizarán búsquedas tanto en la web normal como en la dark web verificando posible tráfico no autorizado de información pública reservada y pública clasificada.
De igual manera se realizan búsquedas de información pública reservada y clasificada en las redes sociales manejadas por la entidad y de mayor uso por empleados -funcionarios y contratistas- de la misma (para identificar cuáles son las redes sociales más utilizadas se aplica una encuesta en línea).
Todo lo anterior se enmarcará sobre el protocolo de internet IPv4.
Verificar si hay información confidencial de la entidad distrital disponible en la “Dark Web”. Verificar que el alojamiento de los buzones de correo electrónico de la entidad distrital cuente con niveles adecuados de protección. Evaluar el nivel de conciencia de los funcionarios de su rol de custodios de la información confidencial de la entidad, mediante la solicitud de información a través del envío de correos desde cuentas no oficiales. De igual manera la realización de búsquedas de filtración de información confidencial en redes sociales.
Verificar la existencia o nivel de madurez en temas de ciberseguridad para la entidad distrital desde la perspectiva de un atacante, mediante la evaluación de las huellas en la Internet; esta actividad permite evaluar la seguridad alrededor de su información explotando la confianza del personal mediante ingeniería social.
DEFINICIÓN
3
4
5OBJETIVO
GENERAL
OBJETIVOSESPECÍFICOS
ALCANCE
1 Anexo técnico del concurso de méritos SGA-CM-07-2018 realizado por la Alta Consejería de TIC.
10 11666
El correo electrónico es un servicio de red que permite a los usuarios enviar y recibir mensajes mediante redes de comunicación electrónica 2.
Cuando un usuario quiere enviar un correo electrónico a otro usuario, generalmente utiliza un Agente de Usuario de Correo (MUA). El MUA puede ser una aplicación de escritorio, un App de dispositivo móvil o una aplicación web. Este agente se encarga de convertir el texto e imágenes ingresados por el usuario en un formato estándar según el RFC 5322 (https://tools.ietf.org/html/rfc5322) - compuesto por una sección de encabezados y otra del cuerpo del mensaje- y de entregar este formato estándar a un Agente de Envío del Correo (MSA).
Paso seguido el MSA se encarga de determinar la dirección de correo destino, de buscar en el Sistema de Nombre de Dominio (DNS por sus siglas en inglés Domain Name System) la dirección IP del Agente de Transporte de Correo (MTA) del dominio destino. El MSA añade encabezados al formato que dejan la evidencia de haber pasado por dicho sistema y entrega el formato al MTA del dominio destino del correo electrónico.
El MTA que recibe el formato, le añade nuevos encabezados que dejan evidencia de haber tramitado el correo y entrega dicho formato al Agente de Entrega de Correo (MDA) específico para el buzón de la dirección de correo electrónico determinada.
El usuario destino del correo, generalmente utilizará un MUA para leer el correo electrónico en una forma fácilmente legible para un usuario final.
Cada uno de los pasos descritos es susceptible de ser explotado o abusado por un atacante, y en muchos casos, el éxito de este ataque depende del nivel de conciencia del usuario del correo, sobre de los riesgos de seguridad inherentes a los sistemas de correo electrónico.
MARCO TEÓRICOY JURÍDICO
ADALID CORP. pone a disposición de las entidades distritales un paso a paso, para evaluar la fortaleza de las medidas de protección del MUA, el cual se desarrolla en el numeral 7.1.
De igual manera, una metodología para determinar el nivel de conciencia de los usuarios ante posibles suplantaciones a través de correo electrónico, mediante una técnica conocida como “Spear phishing”, que se desarrolla en el numeral 7.5.
Son aplicaciones que realizan un recorrido exhaustivo de internet, indexan su contenido y permiten la búsqueda de esta información a través de portales públicos en internet.
A corte de abril de 2018 Google tenía el 86.28% del mercado, Bing el 6.45%, Yahoo! el 3.41% y Baidu el 0.93%3 , de estos, Yahoo! ya no cuenta con su propio robot que recorre la web, sino que se basa en el de Bing 4.
El buscador web de Google ha tenido una posición dominante del mercado con más del 85% de participación durante toda esta década5 . Los resultados de las búsquedas en Google se clasifican según un algoritmo secreto que cambia con frecuencia6 . Este algoritmo, entre otros factores utilizar el historial de búsquedas, el historial de la selección (clics o clicks) de los resultados y la locación (país) del usuario.
La variación del algoritmo y la personalización de los resultados al usuario, hace que los resultados de las búsquedas no sean los mismos para distintos usuarios. Esta variabilidad genera sesgos en los resultados conocido como la “Burbuja de filtro”.
6.1 Sistemas de correo electrónico:
6.2 Buscadores web (Web search engines)
2Tomado de https://es.wikipedia.org/wiki/Correo_electr%C3%B3nico
3https://www.statista.com/statistics/216573/worldwide-market-share-of-search-engines/
4https://blogs.bing.com/search/2010/08/24/exciting-news-from-bing-and-yahoo
5 https://blogs.bing.com/search/2010/08/24/exciting-news-from-bing-and-yahoo
6 https://moz.com/google-algorithm-change
6.2.1 Google
12 1366
Para evitar estos sesgos, han surgido otros buscadores que como DuckDuckGo que ayuda a anonimizar las búsquedas.
DuckDuckGo es un buscador web que anonimiza las búsquedas realizadas y produce resultados libres de la “Burbuja de filtro”. Además de tener su propio robot para indexar los contenidos de internet, también utiliza resultados de otros buscadores.
Twitter es una red social basada en mensajes cortos conocidos como Tweets. En general los Tweets enviados por un usuario son accesibles por cualquier persona a través de la url https://twitter.com/usuario donde “usuario” es el ID o identificador del usuario en Twitter.
Facebook es una red social en la que tiene más preponderancia los “amigos” que en Twitter. Normalmente se considera que los mensajes publicados en esta plataforma sólo pueden ser vistos por los amigos autorizados, pero en la configuración por omisión este no es el caso, dado que se deben realizar pasos adicionales para lograr una correcta configuración de privacidad.
La presente documento metodológico (guía) está alineado con la Ley 527 DE 1999 (Congreso de la República de Colombia, 1999) Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones. Al igual que el Modelo de Seguridad y Privacidad de la Información de MinTIC (2015a).
Tor7 es un software libre y una red abierta que ayuda al usuario a defenderse contra el análisis de tráfico, que es una forma de vigilancia de la red que amenaza a: La libertad personal y la privacidad. Las actividades privadas de los negocios y las relaciones. La seguridad del estado.
El navegador de Tor es una versión modificada del navegador Firefox, que utiliza la red de “enrutadores cebolla” (Onion routers en inglés) para conectase a internet. Estos Onion routers ayudan a anonimizar la comunicación entre el navegador Tor e internet, haciendo que sea extremadamente difícil poder determinar la identidad del usuario del navegador de Tor y en general del tráfico que pasa a través de los Onion routers.
Esta habilidad de anonimizar el tráfico puede ser abusado para esconder la identidad al realizar actividades ilegales como hacking, y el uso del eComerce para ilícitos.
El uso de la red Tor como punto de acceso a la Dark web hace que tanto el visitante como el servidor de contenido puedan ser anónimos. Es decir, que la red de Tor “esconde” la identidad y locación tanto del navegador de Tor, como del servidor de contenido detrás de su red de “Onion routers”.
Esta habilidad de anonimizar ambos lados de la conexión hace que la Dark web a través de la red Tor sea un importante punto de compra y venta de información obtenida ilegalmente.
6.2.2 DuckDuckGo
6.3.1 Tor network
6.4.1 Twitter
6.4.2 Facebook6.3 Dark web
6.4 Redes sociales
6.5 Marco jurídico
7https://www.torproject.org/
Para más información consultar el anexo técnico de Buenas Prácticas y Marco Normativo de la Seguridad Digital
14 15
!!
7La metodología para ejecutar las pruebas correspondientes al reconocimiento se realiza en seis etapas que se muestran a continuación:
Las entidades Distritales han venido usando el sistema de correo de Google, y recientemente se han ido migrando al sistema Office 365 de Microsoft®.
Estos dos sistemas son muy maduros ya que durante años han sido líderes del mercado y por lo tanto han soportado ataques de alto nivel, lo cual genera controles cada vez más difíciles de vencer. La madurez de estos sistemas hace que los ataques de fuerza bruta se limiten principalmente a técnicas de pruebas de claves débiles, en el cual el conocimiento del objetivo es fundamental para poder diseñar un diccionario efectivo con muy pocas entradas.
DESARROLLO DE LAMETODOLOGÍA
Se seleccionan los buzones objeto de la prueba de infiltración de correo, para esto se toman como criterios el rol de propietario de la cuenta de correo teniendo presente que en sus funciones gestione información crítica de la Entidad distrital.
Adicionalmente se busca que el rol escogido tenga funciones asociadas a riesgos con alto impacto, como por ejemplo: aspectos de toma de decisiones y operaciones con el presupuesto de la Entidad distrital y aspectos de contratación pública.
Los dominios candidatos de la prueba son el correspondiente al sitio web institucional y los que se encuentren en los contactos publicados en la sección de “Transparencia” del portal institucional. Se utilizará información disponible en las redes sociales y en plataformas en donde se guarden datos de los dueños de los buzones de correo.
Posteriormente a la prueba se analizará la configuración del buzón en los equipos en donde dicha cuenta esté configurada.
Para cada buzón se realizan pruebas de acceso con una asignación de dos horas.
Para la definición de buzones objeto del reconocimiento con la entidad, ADALID CORP. a través de la Alta Consejería de TIC coordinó con la entidad destino de la prueba la definición de tres (3) buzones de correo sujeto de la prueba, esto es debido a que las pruebas de infiltración de correo suelen producir un bloqueo temporal de acceso al buzón por causa de múltiples intentos infructuosos de acceso.
Una vez definidos los buzones objetivos, para realizar la prueba de infiltración de correo electrónico, se deben realizar los siguientes pasos:
1. Búsqueda mediante registros MX del DNS del servicio de alojamiento de los dominios de correo (Gmail, Office365, Alojado internamente, etc.).2. Ingresar mediante navegador WEB en modo anónimo a la URL encontrada para el MUA de la entidad.3. Probar claves más comunes hasta que se logre ingresar o que la cuenta sea bloqueada por intentos infructuosos, repetir este paso para cada una de las cuentas seleccionadas4. Documentar el trabajo realizado
Figura 1. Metodología
Fuente: ADALID CORP
7.1 Infiltración de correo electrónico
7.1.2 Definir el alcance del reconocimiento.
7.1.3 Preparar la logística
7.1.4 Realizar el reconocimiento
7.1.1 Contexto:
16 17777De acuerdo con la información obtenida durante las primeras etapas de las pruebas de reconocimiento, se realiza un análisis para identificar información sensible o crítica que pueda ser utilizada para nuevos vectores de ataque sobre la entidad objetivo.
El equipo que ejecuta las pruebas realiza el análisis de la información para evidenciar que tan posible es obtener información sensible o crítica, y así atentar contra el buen nombre de la Entidad o los servidores públicos.
Los informes incluyen como parte principal de su contenido, tres grandes secciones las cuales se describen a continuación. Una sección de análisis de resultados, los cuales permiten identificar el escenario ejecutado, la técnica de recolección de información y el resultado obtenido; otra sección en donde se realizan recomendaciones técnicas con base en el análisis realizado y finalmente una sección de recomendaciones acerca de la ejecución de la prueba.
En los últimos años, las filtraciones de información crítica de empresas y entidades gubernamentales han escalado tanto en volumen como en impacto.
Se han visto casos en los que la información llega a estar disponible para la venta por varias semanas en la Dark web, antes de que la entidad afectada tenga noticia del incidente para poder tomar medidas para remediar la situación.
Debido a esto, se hace necesario que las entidades del orden Distrital realicen búsquedas en la Dark web y en foros de la Deep web con el fin de lograr una alerta temprana de un evento de filtración o pérdida de control de información crítica; y así poder tomar medidas de remediación.
Dependiendo de la criticidad de la información que maneje la Entidad, se debe determinar el tipo de información a buscar. Normalmente se incluyen usuarios y claves. Se debe definir cuales otras categorías deben incluirse, por ejemplo:
Información de menores de edad inscritos en programas de la entidad. Información de planes estratégicos para controlar la delincuencia.
7.1.5 Analizar los resultados
7.2.3 Realizar el reconocimiento
7.1.6 Presentar informes
7.2.2 Definir el alcance del reconocimiento
7.2 Información corporativa publicada en la Dark web
Información médica de ciudadanos manejada por la entidad. Información privada de los funcionarios en la nómina.
Debido a esto, se hace necesario que las entidades del orden Distrital realicen búsquedas en la Dark web y en foros de la Deep web con el fin de lograr una alerta temprana de un evento de filtración o pérdida de control de información crítica; y así poder tomar medidas de remediación.
Prerrequisitos de la prueba: Identificación de la información sensible, critica o privilegiada de la entidad de acuerdo con los niveles de clasificación que haya adoptado la entidad según lo implementado del Modelo de seguridad y privacidad de las información – MSPI - (Ministerio de Tecnologías de la Información y las Comunicaciones, 2015) y el marco legal aplicable. Condiciones técnicas y administraciones para la ejecución de la prueba.
Ejecución de la prueba
I. Instalación de Tor.El navegador Tor se encuentra para libre descarga en:https://www.torproject.org/download/download-easy.html.en#windows
Figura 2. Descarga de Tor
Fuente: https://www.torproject.org
18 19
La instalación de este navegador se realiza ejecutando el archivo del instalador descargado, y siguiendo los siguientes pasos:
a. Se elige el idioma del navegador:
c. Se hace clic en la opción terminar para finalizar la instalación.
II. Ejecución y acceso a la red.Para ejecutarlo, se hace clic sobre el icono creado con la instalación y a continuación presenta la siguiente pantalla, en la cual se hace clic en la opción conectar:
b. Se elige la carpeta de instalación del navegador y se hace clic en la opción instalar:
Figura 3. Selección del lenguaje
Figura 5. Finalización de la instalación
Figura 6. Conexión a la red Tor
Figura 4. Selección de folder
Fuente: ADALID Corp. adaptado de Tor
Fuente: ADALID Corp. adaptado de Tor
Fuente: ADALID Corp. adaptado de TorFuente: ADALID Corp. adaptado de Tor 777
20 21777
III. Abrir el buscador como: (Reddit, TORLINKS, TorSearch, DuckDuckGo, TORCH, etc.)
V. Búsqueda de información.A continuación, se muestran algunos ejemplos de búsquedas:
VI. Los resultados de la búsqueda deben clasificarse y analizarse de acuerdo con los parámetros de la Entidad, teniendo en cuenta umbrales, servicios, puertos, políticas, para posteriormente realizar un informe con los resultados obtenidos y comunicarlos al líder del proceso o de la información.
Las entidades públicas gestionan y custodian información clasificada y reservada, y es su obligación el debido tratamiento de esta ya sea para su almacenamiento, procesamiento o transporte. Históricamente hay información asociada a los hechos de corrupción como lo es la contratación pública, de igual manera hay información que son objeto de demandas contra el Estado y es la relacionada con el tratamiento de datos personales, por lo tanto, es necesaria la inclusión de la información mencionada anteriormente en la prueba a realizarse.
Las filtraciones de información crítica de empresas y entidades gubernamentales han escalado tanto en volumen como en impacto.Como ya se indicó, existen casos en los que la información llega a estar disponible para la venta por varias semanas en la Dark web, antes de que la entidad afectada tenga noticia del incidente para poder tomar medidas para remediar la situación.Debido a esto, se hace necesario que las entidades del orden Distrital realicen búsquedas en la Dark web y en foros de la Deep web con el fin de lograr una alerta temprana de un evento de filtración o pérdida de control de información crítica; y así poder tomar medidas de remediación.
IV. Identificación del metalenguaje utilizado por el buscador seleccionado, para construir la expresión de búsqueda. Por ejemplo, para DuckDuckGo se usan algunas expresiones como las siguientes:
Figura 7. Buscador DuckDuckGo
Tabla 1. Ejemplos de búsquedas
Figura 8. Expresiones regulares para DuckDuckGo
Fuente: ADALID Corp. adaptado de DuckDuckGo
Fuente: ADALID Corp.
Expresión Resultado
gatos perros “gatos y perros” gatos -perros gatos +perros gatos filetype: pdf perros site:example.com cats -site:example.comintitle: perros inurl:gatos
Resultados sobre gatos o perrosResultados del término exacto “gatos y perros”Menos perros en los resultadosMás perros en los resultadosArchivo PDFs sobre gatos.Páginas sobre perros de example.comPáginas sobre gatos, excluyendo example.comEl título de la página incluye la palabra “perros”La URL de la página de incluye la palabra “gatos”
7.3 Información crítica publicada en internet
22 23
7.3.1. Alcance de la prueba
7.3.2. Prerrequisitos de la prueba:
7.3.3. Ejecución de la prueba
Con base en los riesgos de seguridad de la información, los riesgos de corrupción y los riesgos operacionales, se determina el proceso que maneja información crítica y sensible para la Entidad Distrital. La información candidata objeto de la prueba, corresponde a contratación pública, gestión presupuestal, gestión de activos y datos personales. Se seleccionan diez (10) documentos o hechos para la prueba. La prueba no tiene restricción de búsqueda en la web, salvo por la capacidad de búsqueda que los servicios web de tengan. Si los resultados de la búsqueda arrojan un número superior a 100 hallazgos, entonces se accederá a quince (15) distintos enlaces encontrados por cada búsqueda.
II. Ejecución el navegador y comprobar que se tiene acceso a internet. Esto se puede hacer intentando ingresar a alguna página conocida, por ejemplo: http://www.bogota.gov.co/ III. Abrir el motor de búsqueda (Google, Bing, Yahoo!, DuckDuckGo, etc.), en este ejemplo se accede al motor de búsqueda Google.
Identificación de la información sensible, critica o privilegiada de la entidad de acuerdo con los niveles de clasificación que haya adoptado la entidad según lo implementado del MSPI y el marco legal aplicable. Condiciones técnicas y administraciones para la ejecución de la prueba.
I. Instalación de un navegador en caso de no contar con uno. Como ejemplo se usa el navegador Chrome de Google.a. Descarga el archivo de instalación desde:https://www.google.com/chrome/browser/desktop/index.html b. Hacer clic en la opción Ejecutar o Guardar.c. Si hace clic en Guardar, se debe hacer doble clic en la descarga para iniciar la instalación.d. Iniciar Chrome haciendo clic en el acceso directo creado. Cuando el navegador esté configurado, se abre una pantalla de Chrome como la siguiente:
Figura 9. Google Chrome
Figura 10. Buscador Google
Tabla 2. Operadores de Google
Fuente: ADALID Corp. adaptado de Google Chrome
Fuente: ADALID Corp. adaptado de Google Chrome
VI. Los resultados de la búsqueda deben clasificarse y analizarse de acuerdo con los parámetros de la Entidad, teniendo en cuenta umbrales, servicios, puertos, políticas, para posteriormente realizar un informe con los resultados obtenidos y comunicarlos al líder del proceso o de la información.
Operador Propósito
intitleallintitleinurlallinurlfiletypeintextallintext
Título de la página de búsquedaTítulo de la página de búsquedaURL de búsquedaURL de búsquedaarchivos específicosBuscar solo el texto de la páginaBuscar solo el texto de la página
24 25
!
!Operador Propósito
sitelinknumrangedaterangegroupinsubject
Buscar sitio específicoBuscar enlaces a páginasLocaliza númeroBuscar en el rango de fechasBúsqueda de nombre de grupoBúsqueda de tema grupal
Fuente: ADALID Corp. adaptado de Google Chrome
V. Búsqueda de información. A continuación, se muestran algunos ejemplos de expresiones de búsqueda. Para encontrar teléfonos, nombres y direcciones de email:“teléfono * * *” “dirección *” “email” intitle:”hoja de vida” El archivo robots.txt puede ser configurado para que los robots de los buscadores no entren en ciertos directorios, con el siguiente comando se pueden encontrar los archivos robos.txt:“robots.txt” “disallow:” filetype:txt Para buscar información en sitios del gobierno, en archivos pdf: allintitle:confidencial filetype:pdf site:gov.co Para buscar password, contraseñas, logins en archivos de texto y en sitios del gobierno colombiano.passwords|contraseñas|login|contraseña filetype:txt site:gov.co Para buscar en la intranet de las instituciones: inurl:intranet filetype:doc confidencial.
VI. Con los resultados de las búsquedas se deben clasificar y analizar de acuerdo con los parámetros de la entidad. Posteriormente se hace un informe para comunicar los resultados al líder del proceso o de la información.
7.4 Publicación en redes sociales por personas de la entidad
Las redes sociales son parte de la vida diaria de las personas, incluyendo aquellas que trabajan en las Entidades distritales. Esto hace necesario que los funcionarios sean conscientes de sus publicaciones en redes puesto que por algún descuido, podría publicarse información confidencial.
Con el fin de encontrar información confidencial en redes sociales que puedan aprovechar los atacantes, ADALID Corp. propone llevar a cabo esta prueba.
Se realiza la búsqueda de información sensible y crítica en las redes sociales de Facebook y Twitter, se utiliza la cuenta institucional en la red social y la información que se pueda acceder desde dicha cuenta - esta información es el universo de la muestra -. Se utilizan las API provistas en la red social para el procesamiento de la información.
Tener las cuentas institucionales de las redes sociales que apliquen y de funcionarios públicos que manejen información crítica. Tener instalada y funcional, la herramienta KNIME. Tener instalada la extensión de R-scripting en KNIME.
1. Selección de la red social. par estas pruebas se tendrán en cuenta Facebook y Twitter. 2. Selección de la cuenta de usuario de la red social.3. Identificación del diccionario de datos de la red social.4. Realizar configuración de acceso a la fuente de datos de la aplicación de la red social.5. Crear el proyecto en la herramienta KNIME.6. Configurar los parámetros del proyecto para conectarse a la fuente de datos (cuenta de usuario de la red social).7. Construir el motor de búsqueda con los componentes de la herramienta KNIME.8. Ejecución de las búsquedas.9. Consolidación y análisis de resultados de la búsqueda realizadas.10. Elaboración de informes para las partes interesadas.
7.4.1. Alcance de la prueba
7.4.2. Prerrequisitos de la prueba
7.4.3. Ejecución de la prueba
26 27777!!
7.5 Pruebas de spear phishing
Las pruebas de spear phishing se denominan pruebas avanzadas para engañar a las víctimas potenciales para ingresar - normalmente a sitios Web falsos para la captura de información sensible- generalmente datos de acceso (usuarios, contraseñas, número de tarjetas de crédito, información de datos personales, etc.).
Durante el proceso de la prueba, es importante definir la siguiente información: Identificar el sitio a falsificar (página web, sistema de información web) Definir y adquirir el dominio con mayor similitud al real para realizar la clonación y configuración de base de datos. Realizar la creación del sistema de información web falso con la respectiva configuración. Definir una o varias cuentas de correo electrónico desde el dominio falso, donde se van a enviar los correos falsos. ejemplo: mesadeayuda@, soporte@, info@, mpnino@. Definir el grupo de servidores públicos que serán parte de la prueba. (Correos electrónicos). Elaboración del mensaje para atraer o lograr que la víctima potencial acceda al sitio falso.
Después de definir y estructurar la prueba, se inicia la ejecución de las pruebas, bajo la autorización de la entidad. Se realizan las siguientes acciones:
Envío de correos que contengan una suplantación parcial de identidad en los que se solicita acceder al sitio falso. Monitoreo para almacenar la información entregada por los servidores públicos, en caso de que la prueba sea exitosa. Consolidación de resultados. Construcción de informes para evidenciar la información sensible o crítica obtenida.
ADALID Corp. propone que el encargado de seguridad de la información en la entidad realice las siguientes actividades: fake mails, llamadas y ataque a webmail.
A continuación, se detalla cada una de las pruebas propuestas ADALID Corp.
Obtener un dominio similar al de la entidad objetivo. Por ejemplo, en godaddy.com o en mi.com.co. Uno de ellos puede ser: smartkey-xertica.com. Para esto, se ha de ingresar a la página del proveedor de dominios. Posteriormente se hace una búsqueda del dominio deseado, y por último, se compra el dominio elegido.
Crear cuentas de correo estándares o personalizadas ejemplo: mesadeayuda@, soporte@, info@, mpnino@. Búsqueda de cuentas de correo electrónico de servidores públicos de la entidad objetivo en internet, por medio de técnicas como Google hacking, quienes serán los objetivos para el envío del correo falso (fakemail). Obtener una muestra de un email de la persona a suplantar para extraer el estilo, formato y firma usuales en sus emails. Diseñar el contenido de un email que genere confianza para ser abierto y respondido. Realizar el envío del email falso a las cuentas seleccionadas. Analizar las respuestas recibidas. Si no se obtiene respuesta o si se quiere ampliar la información, se generan emails adicionales, y se analizan sus respuestas.
Fake mail es el envío de correo electrónico en donde el remitente es falso y se usa para obtener información que el atacante puede usar para infiltrarse o atacar una entidad.
7.5.1. Fake mail
Figura 11. Acceso a webmail de entidades
Fuente: ADALID Corp.
28 29
I. LlamadasEl uso de las llamadas busca obtener información que puede ser usada por los atacantes, por medio de ingeniería social vía llamadas telefónicas.
Los pasos para la prueba son los siguientes: Identificación del directorio telefónico, con nombres, extensiones y cargos. (Ley 1712 de transparencia). Diseño de un guion de llamada. Ejecución de las llamadas para obtención de información sensible, de ser posible guardar la grabación y adjuntarla como evidencia.
La red de área local - LAN (Local Area Network) es la columna vertebral del intercambio de información digital en la entidad pública. Por medio de la red local se realizan los servicios como impresión, transferencia de archivos, almacenamiento de información en carpetas compartidos, interfaz para la conexión a la internet, acceso al servicio de correo electrónico, etc. Para la ejecución de la prueba es importante conocer y entender: Topología de red actual de la entidad. Tipo de cableado estructurado. Dispositivos intermedios y finales de comunicaciones. Servicios de TI que utilizan la red. Tráfico tanto de peticiones como de transferencia de datos y archivos. Políticas de accesos hacia el interior y hacia el exterior que se establecen y el ancho de banda requerido y el ofrecido.
Igualmente, es importante contar con: Equipo de cómputo con tarjeta de red que permita activar “modo promiscuo”. Punto de red activo y con conexión a la red local de la entidad.
Teniendo los requisitos e información relevante, se inicia la prueba de reconocimiento a nivel de red. Las actividades principales que deben realizarse son: Escaneo de redes sobre la infraestructura local, en modo pasivo, sin afectar el rendimiento y la disponibilidad de los activos tecnológicos que estén conectados a la red local. Escaneo de puertos sobre los activos tecnológicos que se logre tener acceso. Identificación de redes, si aplica, en caso de estar separadas física o virtualmente. Realizar intentos de “saltos” entre VLANs, si a la entidad cuenta con separación de redes. Análisis de redes inalámbricas desde puntos con buena señal para validar conectividad sobre activos tecnológicos críticos.
7.6 Análisis de la red LAN y WiFi
Finalmente, se consolida la información de acuerdo con los resultados de escaneo sobre la infraestructura tecnológica de la entidad. Para ellos se realiza:
Consolidación de la información obtenida durante el escaneo. Análisis de la información recolectada para identificar la criticidad o sensibilidad. Construcción del informe con los resultados relevantes de información críticas y recomendaciones para mejorar la seguridad de la entidad a nivel de red.
30 31
8HERRAMIENTAS PARA REALIZAR
EL RECONOCIMIENTO DE ÁREAHerramienta Descripción Características Licencia Requerimiento DescargaNmap
Aircrack-Ng
Es una herramienta para exploración de red y auditoría de seguridad
Aircrack-ng es un conjunto completo de herramientas para evaluar la seguridad de redes WiFi.
GPL v2
GNU
GPL
•Descubrimiento de servidores•Identifica puertos abiertos en un host objetivo.•Determina qué servicios está ejecutando un host.•Determina qué sistema operativo y versión utiliza un host.•Obtiene algunas características del hardware de la máquina objeto de la prueba.
• Monitoreo: captura y exporta paquetes de datos a archivos de texto para su posterior procesamiento.•Ataque: ataques replay, desauthentication, fake access points y otros, con inyección de paquetes.• Pruebas: Comprobación de tarjetas WiFi y capacidades del controlador (captura e inyección).• Cracking: WEP y WPA PSK (WPA 1 y 2).
Multiplataforma• Procesador de 64 or 32-bit x86.• 30 MB de espacio disponible en disco.• 512 MB de memoria RAM.
•Autoconf•Automake•Libtool•shtool•OpenSSL development package or libgcrypt development package.•pkg-config
https://nmap.org/download.html
https://www.aircrack-ng.org/
Tabla 3. Herramientas Tabla 3. Herramientas
Fuente: ADALID Corp.
32 33
9DESCRIPCIÓN DE USODE LAS HERRAMIENTAS
9.1 Nmap
Esta descripción de uso es tomada de la “Guía de referencia de Nmap (Página de manual)” https://nmap.org/man/es/index.html La principal forma de usar Nmap es la siguiente:nmap [ <Tipo de sondeo>...] [<Opciones>] {<especificación de objetivo>}
-sS (sondeo TCP SYN): El sondeo SYN es el utilizado por omisión y el más popular por buenas razones. Puede realizarse rápidamente, sondeando miles de puertos por segundo en una red rápida en la que no existan cortafuegos. El sondeo SYN es relativamente sigiloso y poco molesto, ya que no llega a completar las conexiones TCP.
-sT (sondeo TCP connect()): El sondeo TCP Connect() es el sondeo TCP por omisión cuando no se puede utilizar el sondeo SYN. Esto sucede, por ejemplo, cuando el usuario no tiene privilegios para enviar paquetes en crudo o cuando se están sondeando redes IPv6. Nmap le pide al sistema operativo subyacente que establezcan una conexión con el sistema objetivo en el puerto indicado utilizando la llamada del sistema connect(), a diferencia de otros tipos de sondeo, que escriben los paquetes a bajo nivel.
9.1.1. Tipos de sondeo
-sU (sondeos UDP): Aunque la mayoría de los servicios más habituales en Internet utilizan el protocolo TCP, los servicios UDP también son muy comunes. Tres de los más comunes son los servicios DNS, SNMP, y DHCP (puertos registrados 53, 161/162, y 67/68 respectivamente). El sondeo UDP se activa con la opción -sU. Puede combinarse con un tipo de sondeo TCP como el sondeo SYN (-sS) para comprobar ambos protocolos al mismo tiempo.
-sN; -sF; -sX (sondeos TCP Null, FIN, y Xmas): Estos tres tipos de sondeos aprovechan una indefinición en la RFC de TCP que diferencia los puertos abiertos y cerrados. “Si el estado del puerto [destino] es CERRADO .... un segmento entrante que contiene un RST hace que se envíe un RST en la respuesta.” Cuando se sondean sistemas que cumplen con el texto de esta RFC, cualquier paquete que no contenga los bits SYN, RST, o ACK resultará en el envío de un RST si el puerto está cerrado.
-sA (sondeo TCP ACK): Este sondeo es distinto de otros que se han discutido hasta ahora en que no puede determinar puertos abiertos (o incluso abiertos|filtrados). Se utiliza para mapear reglas de cortafuegos, y para determinar si son cortafuegos con inspección de estados y qué puertos están filtrados.
-sW (sondeo de ventana TCP): El sondeo de ventana («window», N. del T.) es exactamente igual al sondeo ACK que se aprovecha de un detalle de implementación de algunos sistemas que permite diferenciar puertos abiertos de los cerrados, en lugar de imprimir no filtrado cuando se devuelve un RST. Algunos sistemas fijan un tamaño de ventana positivo para puertos abiertos, mientras que se utiliza una ventana de tamaño cero para los cerrados. Así, en lugar de listar el puerto como no filtrado cuando se recibe un RST, el sondeo de ventana permite listar el puerto como abierto o cerrado en función de si el valor de la ventana TCP en ese paquete RST es positivo o cero, respectivamente.
-sM (sondeo TCP Maimon): El sondeo Maimon debe su nombre a la persona que lo descubrió: Uriel Maimon. Describió la técnica en la revista Phrack número 49 (noviembre de 1996). Nmap, que incluye esta técnica, se publicó dos números más tarde. Esta técnica es exactamente la misma a los sondeos Null, FIN, y Xmas, pero en los que se envía una sonda FIN/ACK. Según el RFC 793 (TCP), se debería generar un paquete RST cuando se responde a dicha sonda independientemente de si el puerto está cerrado o abierto. Uriel se dio cuenta, sin embargo, de que muchos sistemas derivados de BSD simplemente descartan el paquete si el puerto está abierto.
--scanflags (Sondeo TCP a medida): Los usuarios realmente avanzados de Nmap no tienen por qué limitarse a los tipos de sondeos preparados que se ofrecen. La opción --scanflags le permite diseñar su propio sondeo mediante la especificación de banderas TCP arbitrarias.
-sI <sistema zombi [:puerto_sonda]> (Sondeo ocioso): Este es un método de sondeo avanzado que le permite hacer un sondeo de puertos TCP a ciegas de verdad (lo que significa que no se envía ningún paquete al sistema objetivo desde su dirección IP real). En lugar de esto, se utiliza un ataque con un canal alternativo que se aprovecha de la generación de la secuencia de los identificadores de fragmentación IP del sistema zombi para obtener información de los puertos abiertos en el objetivo.
-sO (sondeo de protocolo IP): El sondeo de protocolo IP le permite determinar qué protocolos (TCP, ICMP, IGMP, etc.) soportan los sistemas objetivo.
-b <sistema de rebote ftp> (sondeo de rebote FTP): Una funcionalidad interesante en el protocolo FTP (RFC 959) es la posibilidad de utilizar conexiones FTP de pasarela. Esta opción puede abusarse a muchos niveles así que muchos servidores han dejado de soportarla. Una de las formas de abusar de ésta es utilizar el servidor de FTP para hacer un sondeo de puertos a otro sistema. Simplemente hace falta decirle al servidor de FTP que envíe un fichero a cada puerto interesante del servidor objetivo cada vez.
34 35
9.1.2. Opciones 9.1.3. Especificación de objetivo
-p <rango de puertos> (Sólo sondea unos puertos específicos): Esta opción especifica los puertos que desea sondear y toma precedencia sobre los valores por omisión.
-F (Sondeo rápido (puertos limitados)): Indica que sólo quiere sondear los puertos listados en el fichero nmap-services que se incluye con nmap (o el fichero de protocolos si indica -sO).
-sV (Detección de versiones): Activa la detección de versiones como se ha descrito previamente. Puede utilizar la opción -A en su lugar para activar tanto la detección de versiones como la detección de sistema operativo.
-O (Activa la detección de sistema operat ivo) : Ta l y como se ind ica previamente, activa la detección de sistema operativo. También se puede utilizar la opción -A para activar la detección de sistema operativo y de versiones.
-f (fragmentar los paquetes); --mtu (utilizar el MTU especificado): La opción -f hace que el sondeo solicitado (incluyendo los sondeos ping) utilicen paquetes IP fragmentados pequeños.
-D <señuelo1 [,señuelo2][,ME],...> (Esconde un sondeo con señuelos): Realiza un sondeo con señuelos. Esto hace creer que el/los equipo/s que utilice como señuelos están también haciendo un sondeo de la red.
Puede darse la situación en que se desee analizar una red completa de equipos adyacentes. Nmap soporta el direccionamiento estilo CIDR para estos casos. Puede añadir /<numBits> a una dirección IP o nombre de sistema para que Nmap sondee toda IP cuyos primeros <numBits> sean los mismos que los de la dirección IP o nombre de sistema indicado.
Por ejemplo, 192.168.10.0/24 analizaría los 256 sistemas que existen entre la dirección 192.168.10.0 y la dirección 192.168.10.255.
La notación CIDR es breve pero no siempre es suficientemente flexible. Por ejemplo, puede querer sondear la red 192.168.0.0/16 pero omitir cualquier IP que termine por .0 o por .255 ya que son habitualmente direcciones de difusión. Es posible hacer esto con Nmap mediante el direccionamiento por octetos.
En lugar de especificar una dirección IP normal puede especificar una lista separada por comas de números o rangos para cada octeto. Por ejemplo, si utiliza 192.168.0-255.1-254 se omitirán todas las direcciones del rango que terminen en .0 o .255.
-iL <archivo_entrada> (Entrada de una lista), que toma la especificación de objetivos del archivo <archivo_entrada>.
-iR <cant. sistemas> (Elegir objetivos al azar), cuando se quieren realizar encuestas que cubran toda Internet se puede elegir objetivos al azar.
S <Dirección_IP> (Falsifica la dirección de origen): Nmap puede que no sea capaz de determinar tu dirección IP en algunas ocasiones. En esta situación, puede utilizar la opción -S con la dirección IP de la interfaz a través de la cual quieres enviar los paquetes.
-oN <filespec> (Salida normal): Solicita que la salida normal sea redirigida al archivo especificado. Como se ha dicho anteriormente, esto difiere un poco de la salida interactiva.
-A (Opciones de sondeos agresivos): Esta opción activa algunas opciones avanzadas y agresivas.
-V; --version (Mostrar el número de versión): Imprime el número de versión de Nmap y aborta.
-h; --help (Mostrar la página resumen de ayuda): Imprime una pequeña pantalla de ayuda con las opciones de órdenes más habituales.
- - e x c l u d e < e q u i p o 1 [ , e q u i p o 2 ][,equipo3],...> (Excluir equipo o redes), que indica con una lista separada por comas, los objetivos que deben excluirse del análisis.
--excludefile <archivo> (Excluir desde una Lista), al igual que --exclude, esta función permite excluir objetivos, pero en lugar de utilizar la línea de órdenes toma el listado de un <archivo>, que utiliza la misma sintaxis que la opción -iL.
36 37
9.2 Aircrack-ng
Esta descripción de uso esta tomada de:https://www.aircrack-ng.org/doku.php?id=aircrack-ng
La principal forma de uso de aircrack-ng8 es:aircrack-ng [options] <capture file(s)>
Opciones de aircrack-ng:
Se puede especificar múltiples archivos de entrada (ya sea en formato .cap o .ivs). Además, se puede ejecutar airodump-ng y aircrack-ng al mismo tiempo: aircrack-ng se actualizará automáticamente cuando haya nuevos IV disponibles.
El caso más simple es descifrar una clave WEP. A continuación, se muestra un ejemplo del proceso que realiza aircrack-ng:
El comando para ejecutarlo es el siguiente: aircrack-ng 128bit.ivs(128bit.ivs es el nombre del archivo que contiene los IVs)
Figura 12. Aircrack-ng
Tabla 4. Opciones de aircrack-ng
Figura 13. Lectura de archivo de IVs
Fuente www.aircrack-ng.org
Fuente: www.aircrack-ng.org
Fuente: www.aircrack-ng.org 8https://www.aircrack-ng.org/doku.php?id=aircrack-ng
ParámetrosOpción Descripción
-a
-e
-b
-p
-q
-C
-l
Amode
Essid
Bssid
Nbcpu
None
MACs
Nombre de archivo
Fuerza el modo de ataque(1= WEP estático, 2 = WPA/WPA2-PSK)
Si se establece, se usan todos los IV de redes con el mismo ESSID. Esta opción también es necesaria para el craqueo WPA / WPA2-PSK si el ESSID no se transmite
Versión larga --bssid. Seleccione la red objetivo en función de la dirección MAC del punto de acceso
En sistemas SMP: # de CPU para usar. Esta opción no es válida en sistemas que no son SMP
Habilita el modo silencioso (sin salida de estado hasta que se encuentre o no la clave)
Versión larga: --combine. Combina los AP dados (separados por una coma) en uno virtual
(L minúscula) registra la clave al archivo especificado. Sobrescribe el archivo si ya existe.
38 39
Y el resultado que arroja cuando termina el proceso es el siguiente:
Figura 14. Resultado del proceso
Fuente www.aircrack-ng.org
10PLANTILLAS DOCUMENTALES
DE APOYO
10.1 Checklist para auditoría de red LAN y WiFi.
Este checklist para auditoría de red LAN y WiFI, se encuentra anexo a este documento.
11GLOSARIOA continuación, algunos de los términos más importantes sobre el Documento Metodológico del Ámbito 1 Reconocimiento del Área por orden alfabético
Activo de información: Conocimiento o información que tiene valor para el individuo u organización.
Ataque: Tentativa de destruir, exponer, alterar, inhabilitar, robar o acceder sin autorización o hacer un uso no autorización de un activo. [ISO/IEC 27000:2017].
Autenticidad: Propiedad consistente en que una entidad es lo que dice ser. [ISO/IEC 27000:2014].
Bot: Es una aplicación de software que puede ser controlada remotamente para ejecutar o automatizar tareas predefinidas.
Este documento metodológico le ofrece otras herramientas alternativas para fortalecer la Gestión de Seguridad y Privacidad de la Información
40 41
Ciberataque : Un ciberataque es cualquier tipo de maniobra ofensiva hecha por individuos u organizaciones que atacan a sistemas de información como lo son infraestructuras, redes computacionales, bases de datos que están albergadas en servidores remotos, por medio de actos maliciosos usualmente originados de fuentes anónimas que también roban, alteran o destruyen un blanco específico mediante hackeo de un sistema vulnerable.
Ciberseguridad: La ciberseguridad o seguridad informática, es el área relacionada con la informática y la telemática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta, especialmente la información contenida en una computadora o circulante a través de las redes de computadoras.
CIDR: Classless Inter-Domain Routing. Enrutamiento entre Dominios sin Clases.
Confidencialidad: Propiedad de la información que se mantiene inaccesible y no se revela a individuos, entidades o procesos no autorizados. [ISO/IEC 27000:2014]
Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. Control es también utilizado como sinónimo de salvaguarda o contramedida.
Daisy chaining: Obtener acceso a una red o computador y usar la misma información para obtener acceso a múltiples redes o computadores, que contienen información deseada.
Disponibilidad: Propiedad de ser accesible y utilizable a demanda por una entidad autorizada. [ISO/IEC 27000:2017]
Doxing: Es una práctica basada en Internet, cuyo objetivo es investigar y publicar información privada o personal, sobre un individuo o una organización.
Framework (Entornos de trabajo): Es una abstracción en la cual el software que proporciona una funcionalidad genérica, puede ser cambiado selectivamente por un código adicional escrito por el usuario, proporcionando así un software específico para cierta aplicación.
No repudio: Capacidad para corroborar que es cierta la reivindicación de que ocurrió un evento o una acción y las entidades que lo originaron. [ISO/IEC 27000:2017]
Payload (Carga útil): Es el conjunto de datos transmitidos, que es en realidad el mensaje enviado. La carga útil excluye las cabeceras o metadatos, que son enviados simplemente para facilitar la entrega del mensaje.
PTES: Penetration Testing Execution Standard:.
Exploit: Explotar o aprovechar un fragmento de software, fragmento de datos o secuencia de comandos o acciones, utilizada con el fin de aprovechar una vulnerabilidad de seguridad de un sistema de información para conseguir un comportamiento no deseado del mismo.
Ethical hacking: Prueba realizada por una empresa o individuo para ayudar a identificar amenazas potenciales en una computadora o red. Para realizar las pruebas se necesita tener un premiso por escrito, respeto por la privacidad de las personas o instituciones y dar a conocer las vulnerabilidades encontradas.
Hacker ético: Es un profesional capacitado que entiende y sabe cómo buscar debilidades y vulnerabilidades en los sistemas objetivo. Utiliza los mismos conocimientos y herramientas que un pirata informático (sombrero negro), pero de una manera legal y legítima, para evaluar la postura de seguridad de un sistema objetivo.
OWASP: Open Web Application Security Project
Seguridad de la información: Preservación de la confidencialidad, integridad, y disponibilidad de la información. (ISO/IEC 27000
SQLi: Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar operaciones sobre una base de datos.
O
42 43
SYN Escaneo: Es un escaneo de red en el que se envía un paquete SYN, y después se espera una respuesta. Si se recibe un paquete SYN/ACK esto indica que el puerto está en escucha (abierto).
Vulnerabilidad: Debilidad de un activo o de un control que puede ser explotada por una o más amenazas. [ISO/IEC 27000:2017]
Three Way Handshake: Es el método utilizado por TCP para configurar una conexión TCP/IP a través de una red basada en el Protocolo de Internet. (SYN -> SYN/ACK -> ACK).
Zero-day Attack (Ataque de día cero): Es un ataque contra una aplicación o sistema que tiene como objetivo la ejecución de código malicioso gracias al conocimiento de vulnerabilidades que, por lo general, son desconocidas para la gente y el fabricante del producto.
12BIBLIOGRAFÍA
Aprendeahackear.com. (2018). MetaSploit, tomar control de equipos remotos. Obtenido de http://www.cursodehackers.com/metasploit.html
Catoira, F. (2013). Pruebas de penetración para principiantes: explotando una vulnerabilidad con metasploit framework. Obtenido de https://revista.seguridad.unam.mx/numero-19/pruebas-de-penetraci%C3%B3n-para-principiantes-explotando-una-vulnerabilidad-con-metasploit-fra
Congreso de Colombia. (1999). LEY 527 DE 1999. Obtenido de https://www.mintic.gov.co/portal/604/articles-3679_documento.pdf
ISECOM. (2010). The Open Source Security Testing methodology Manual. Obtenido de http://www.isecom.org/mirror/OSSTMM.3.pdf
Lacnic. (2018). Acerca de LACNIC. Obtenido de http://www.lacnic.net/966/1/lacnic/acerca-de-lacnic
Ministerio de Tecnologías de la Información y las Comunicaciones. (2015). Modelo de Seguridad y Privacidad de la Información. Bogotá D.C. Recuperado a partir de https://www.mintic.gov.co/gestionti/615/articles-5482_Modelo_de_Seguridad_Privacidad.pdf
MinTIC. (2016). Guía Metodológica de Pruebas de Efectividad. Obtenido de https://www.mintic.gov.co/gestionti/615/articles-5482_G1_Metodologia_pruebas_efectividad.pdf
PTES Standard. (2012). PTES Technical Guidelines. Obtenido de http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines
45
ANEXOS
Anexo 1.Herramientas
alternativas
1. Infiltración de correo electrónico
Burp Suite
Burp o Burp Suite es una herramienta gráfica para probar la seguridad de las aplicaciones web. Está escrita en Java y desarrollada por PortSwigger Web Security.
Esta herramienta forma parte de la suite de Kali Linux y es descargable de la URL: https://www.kali.org/downloads/
Burp es descargable desde la URL: https://portswigger.net/burp/communitydownload
El procedimiento para configurar Burp Suite es el siguiente:
Configurar el proxy
Se accede a la pestaña Proxy, en donde se aplican los cambios necesarios. El puerto 8080 viene predefinido y se configura como se muestra en la siguiente imagen.
46 47
Figura 1. Configuración proxy Figura 3. Configuración navegador
Figura 4. Configuración navegador
Figura 2. Configuración navegador
Fuente: ADALID CORP
Fuente: ADALID CORP
Fuente: ADALID CORP
Fuente: ADALID CORP
Configurar el navegador
En segundo lugar, se debe configurar el navegador para usar Burp Proxy como su servidor proxy explícito y de esta manera interceptar toda la comunicación con la herramienta. Para el ejemplo se usa Mozilla Firefox.
Se debe cambiar la configuración del proxy del navegador para usar la dirección del host proxy (de forma predeterminada, 127.0.0.1) y el puerto (de forma predeterminada, 8080) para los protocolos HTTP y HTTPS, sin excepciones.
48 49
Verificación de ejecución de Burp Suite en el navegador
En tercer lugar, con Burp Suit ejecutándose visite el sitio http://burp en su navegador y haga clic en el enlace “Certificado de CA” para descargar y guardar su certificado de CA Burp.
Seleccione la pestaña “Autoridades” (Authorities) y haga clic en “Importar” (Import), posteriormente seleccione el archivo de certificado de CA de Burp que guardó previamente y haga clic en “Abrir”.
Configuración del certificado
Ir a la opción de configuración avanzada y en la opción “certificados” (Certificates) hacer clic en “Ver certificados” (View Certificates).
En el cuadro de diálogo se debe marcar la casilla “Confiar en esta CA para identificar sitios web” -En inglés, You have been asked to trust a new Certificate Authority (CA)- y luego, hacer clic en “ OK “.
Figura 5. Verificación Burp Suite
Figura 7. Configuración del certificado
Figura 8. Configuración del certificado
Figura 6. Configuración del certificado
Fuente: ADALID CORP
Fuente: ADALID CORP
Fuente: ADALID CORP
Fuente: ADALID CORP
50 51
Verificación de ejecución de Burp Suite en el navegador
Se deben cerrar todos los cuadros de diálogo y reiniciar el navegador Firefox. Si todo ha funcionado bien, ahora se debería poder visitar cualquier URL HTTPS a través de Burp sin advertencias de seguridad.
En la pantalla principal de Burp Suit, en la pestaña Proxy “Intercept”, se debe asegurar que la interceptación esta activada: “Intercept is on”.
FOCA (Fingerprinting Organizations with Collected Archives) es una herramienta que se utiliza para encontrar metadatos e información oculta en los documentos que escanea. Estos documentos pueden estar en páginas web, y pueden descargarse para analizarse con FOCA.
Foca tiene la capacidad de analizar una amplia variedad de documentos, siendo los más comunes los archivos de la suite Microsoft Office, Open Office o formato PDF.
Los documentos se buscan utilizando tres posibles motores de búsqueda: Google, Bing y DuckDuckGo. También es posible agregar archivos locales para extraer la información EXIF de los archivos gráficos. Sirve para realizar un análisis completo de la información descubierta a través de la URL, incluso antes de descargar el archivo.
FOCA es descargable de la URL: https://github.com/ElevenPaths/FOCA
SecureDrop es un sistema de envío de denuncias de código abierto que las organizaciones de medios pueden instalar para aceptar de forma segura documentos de fuentes anónimas (Anteriormente Wikileaks). Originalmente fue codificado por el difunto Aaron Swartz y ahora es administrado por la Fundación Libertad de Prensa.
Está disponible en la siguiente URL: https://securedrop.org/
Figura 9. Burp Suite
Figura 10. FOCA
Fuente: ADALID CORP
Fuente: ADALID CORP
2. Información crítica publicada en internet 3. Información crítica publicada en la Deep Web
Burp Suite SecureDrop
Anexo 1Anexo 1
52 53
Figura 11. SecureDrop
Figura 13. Twitonomy
Figura 12. Pastebin
Fuente: ADALID CORP
Fuente: ADALID CORP
Fuente: ADALID CORP
Pastebin
Twitonomy
Pastebin es un sitio web en el cual se puede almacenar cualquier texto en línea para compartir fácilmente. El sitio web es utilizado principalmente por programadores para almacenar piezas de código fuente o información de configuración, pero cualquiera puede pegar texto en él.
La idea detrás del sitio es hacer que sea conveniente para las personas compartir grandes cantidades de texto en línea. Disponible en la URL: https://pastebin.com/
Esta herramienta permite realizar análisis de información en cuentas de Twitter, para tener métricas visuales de los tweets, retweets, respuestas, menciones, hashtags de cualquier persona explorando y obteniendo información sobre las cuentas que se sigue y las cuentas que siguen a la cuenta analizada.
Lo anterior permite monitorear las interacciones con otros usuarios con el fin de obtener información que pueda contener datos sensibles, así como un análisis detallado de la afinidad hacia la cuenta analizada.
Disponible en la URL: http://www.twitonomy.com
4. Publicación en redes sociales por parte de empleados
54 55
5. Análisis de red LAN y Wifi
Advanced IP Scanner
Fern Wifi Cracker Sparta
Escáner de red para analizar redes. El programa escanea todos los dispositivos de red, otorga acceso a las carpetas compartidas y a los servidores FTP, proporciona control remoto a las computadoras (mediante RDP y Radmin) e incluso puede apagar las computadoras de manera remota.
Disponible en la URL: https://www.advanced-ip-scanner.com/es/
Esta herramienta utiliza aircrack para las tareas de ruptura criptográfica de credenciales Wifi. Permite de forma simple y ordenada ejecutar de forma automatizada un ataque a redes Wifi con seguridad Wired Equivalent Privacy (WEP) y Wi-Fi Protected Access (WPA).
SPARTA es una aplicación que simplifica las pruebas de penetración de red, y que ayuda al pentester en la fase de escaneo y enumeración. Permite ahorrar tiempo al tener acceso rápido al kit de herramientas del analista y mostrar los resultados de una manera conveniente.
Disponible en la URL: https://github.com/SECFORCE/sparta/archive/master.zip
Figura 14. Advanced IP Scanner
Figura15. Fern Wifi Cracker
Fuente: ADALID CORP Fuente: ADALID CORP
Esta herramienta está incluida dentro de la Suite de Kali Linux, descargable en la siguiente URL: https://www.kali.org/downloads/.
Disponible en la URL: https://github.com/savio-code/fern-wifi-cracker
56
Figura 16. Sparta
Fuente: ADALID CORP
60
Reconocimiento del Área
Documento MetodológicoÁmbito 1
Elaborado por: