Академический Документы
Профессиональный Документы
Культура Документы
ndice de contenido
INTRODUCCIN................................................................................................................................5 DEFINICIONES PREVIAS DE LAS METODOLOGAS:................................................................6 OWASP (manual de 349 pginas)...................................................................................................6 I. INFORMATION GATHERING:.................................................................................................6 Testing: spiders, robots, and crawlers (owasp-ig-001)...............................................................7 Search engine discovery/reconnaissance (owasp-ig-002)...........................................................7 Identify application entry points (owasp-ig-003).......................................................................7 Testing for web application fingerprint (owasp-ig-004).............................................................7 Application discovery (owasp-ig-005).......................................................................................7 Analysis of error codes (owasp-ig-006)......................................................................................7 II. CONFIGURATION MANAGEMENT TESTING.....................................................................7 SSL/TLS Testing (OWASP-CM-001).........................................................................................7 DB Listener Testing (OWASP-CM-002)....................................................................................7 Infrastructure Configuration Management Testing (OWASP-CM-03).......................................7 Application Configuration Management Testing (OWASP-CM-004)........................................8 Testing for File Extensions Handling (OWASP-CM-005).........................................................8 Old, Backup and Unreferenced Files (OWASP-CM-006)..........................................................8 Infrastructure and Application Admin Interfaces (OWASP-CM-007)........................................8 Testing for HTTP Methods and XST (OWASP-CM-008)..........................................................8 III. AUTHENTICATION TESTING...............................................................................................8 Credentials transport over an encrypted channel (OWASP-AT-001)..........................................8 Testing for user enumeration (OWASP-AT-002)........................................................................8 Testing for Guessable (Dictionary) User Account (OWASP-AT-003)........................................8 Brute Force Testing (OWASP-AT-004).......................................................................................8 Testing for bypassing authentication schema (OWASP-AT-005)...............................................9 Testing for vulnerable remember password and pwd reset (OWASP-AT-006)..........................9 Testing for Logout and Browser Cache Management (OWASP-AT-07)....................................9 Testing for CAPTCHA (OWASP-AT-008).................................................................................9 Testing Multiple Factors Authentication (OWASP-AT-009)......................................................9 Testing for Race Conditions (OWASP-AT-010).........................................................................9 IV. SESSION MANAGEMENT TESTING....................................................................................9 Testing for Session Management Schema (OWASP-SM-001)...................................................9 Testing for Cookies attributes (OWASP-SM-002)......................................................................9 Testing for Session Fixation (OWASP-SM_003).......................................................................9 Testing for Exposed Session Variables (OWASP-SM-004)........................................................9 Testing for CSRF (OWASP-SM-005).......................................................................................10 V. AUTHORIZATION TESTING.................................................................................................10 Testing for Path Traversal (OWASP-AZ-001)..........................................................................10 Testing for bypassing authorization schema (OWASP-AZ-002)..............................................10 Testing for Privilege Escalation (OWASP-AZ-003).................................................................10 VI. BUSINESS LOGIC TESTING (OWASP-BL-001)................................................................10 VII. DATA VALIDATION TESTING...........................................................................................10 Testing for Reflected Cross Site Scripting (OWASP-DV-001).................................................11 Testing for Stored Cross Site Scripting (OWASP-DV-002)......................................................11 Testing for DOM based Cross Site Scripting (OWASP-DV-003).............................................11 2
Testing for Cross Site Flashing (OWASP-DV004)...................................................................11 SQL Injection (OWASP-DV-005).............................................................................................11 LDAP Injection (OWASP-DV-006)..........................................................................................11 ORM Injection (OWASP-DV-007)...........................................................................................11 XML Injection (OWASP-DV-008)...........................................................................................11 SSI Injection (OWASP-DV-009)..............................................................................................11 XPath Injection (OWASP-DV-010)..........................................................................................11 IMAP/SMTP Injection (OWASP-DV-011)...............................................................................11 Code Injection (OWASP-DV-012)............................................................................................11 OS Commanding (OWASP-DV-013)........................................................................................11 Buffer overflow (OWASP-DV-014)..........................................................................................11 Testing for HTTP Spltting/Smuggling (OWASP-DV-016).......................................................11 VIII. DENIAL OF SERVICE TESTING.......................................................................................12 Testing_for_SQL_Wildcard_Attacks (OWASP-DS-001) ........................................................12 D Locking Customer Accounts (OWASP-DS-002) .................................................................12 Buffer Overflows (OWASP-DS-003) ......................................................................................12 User Specified Object Allocation (OWASP-DS-004) ..............................................................12 User Input as a Loop Counter (OWASP-DS-005) ...................................................................12 Writing User Provided Data to Disk (OWASP-DS-006) .........................................................12 Failure to Release Resources (OWASP-DS-007) ....................................................................12 Storing too Much Data in Session (OWASP-DS-008) ............................................................12 IX. WEB SERVICES TESTING...................................................................................................12 WS Information Gathering (OWASP-WS-001) .......................................................................13 Testing WSDL (OWASP-WS-002) ..........................................................................................13 XML Structural Testing (OWASP-WS-003) ............................................................................13 XML Content-level Testing (OWASP-WS-004) ......................................................................13 HTTP GET parameters/REST Testing (OWASP-WS-005) .....................................................13 Naughty SOAP attachments (OWASP-WS-006) .....................................................................13 Replay Testing (OWASP-WS-007) ..........................................................................................13 X. AJAX TESTING.......................................................................................................................13 AJAX Vulnerabilities (OWASP-AJ-001) .................................................................................13 How to test AJAX (OWASP-AJ-002) ......................................................................................13 XI. WRITING REPORTS: VALUE THE REAL RISK................................................................13 HOW TO VALUE THE REAL RISK.......................................................................................13 PTES (PENETRATION TESTING EXECUTION STANDARD)...............................................15 Pre-engagement Interactions:....................................................................................................15 Intelligence Gathering:..............................................................................................................16 Threat Modeling:......................................................................................................................17 Vulnerability Analysis:..............................................................................................................18 Exploitation:..............................................................................................................................19 Post Exploitation:......................................................................................................................20 Reporting:.................................................................................................................................21 ISSAF (manualillo de 845 pginas)...........................................................................................23 FASE 1: Planificacin y preparacin........................................................................................23 FASE 2: Evaluacin..................................................................................................................23 Information Gathering (obtener informacin)......................................................................24 Network Mapping (mapeo de la red)...................................................................................24 Vulnerability Identification (identificacin de vulnerabilidades)........................................24 Penetration (penetracin).....................................................................................................25 Gaining Access & Privilege Escalation (ganar acceso y escalado de privilegios)...............25 3
Enumerating Further (podemos traducir como extra enumeracin de objetivos)............25 Compromise Remote Users/Sites (usuarios y sitios remotos comprometidos)....................25 Maintaining Access (mantenimiento del acceso y privilegios ganados)..............................25 Covering Tracks (cubriendo pistas o borrado de huellas si se prefiere)...............................25 FASE 3: Informe, limpieza y destruccin de artefactos........................................................27 NETWORK SECURITY:.........................................................................................................27 SEGURIDAD DE CLIENTES DE RED (HOSTS):................................................................28 SEGURIDAD DE APLICACIONES:......................................................................................28 SEGURIDAD DE LAS BASES DE DATOS:..........................................................................28 ..................................................................................................................................................28 OSSTMM (Open Source Security Testing Methodology Manual)...............................................29 DEFINIR UN TEST DE SEGURIDAD:..................................................................................29 TIPOS DE TESTS DE SEGURIDAD:.....................................................................................30 EL ALCANCE (scope):............................................................................................................31 LAS REGLAS DE ACUERDOS (CONTRATOS):..................................................................32 RESULTADOS DE LOS TESTS:.............................................................................................32 COMPRENDIENDO LA METODOLOGA OSSTMM:.........................................................33 A. FASE REGULATORIA..................................................................................................33 B. FASE DE DEFINICIONES............................................................................................33 C. FASE DE INFORMACIN...........................................................................................33 D. FASE INTERACTIVA DE PRUEBA DE CONTROLES..............................................34 MTRICAS OPERATIVAS DE SEGURIDAD:......................................................................34 MAPA MENTAL DE OSSTMM (gracias a un ruso):..............................................................36 COMPARATIVA DE LAS METODOLOGAS EN CUESTIN:....................................................37
INTRODUCCIN
Comparar cuatro de las metodologas ms importantes de auditoras y pentesting no es fcil y es adems costoso de realizar. Tratar de enmarcarlas en un concepto general de seguridad de la informacin y partiendo de sus definiciones, pasaremos a centrarnos en los aspectos sugeridos (aunque est claro que no se puede profundizar mucho al respecto). Cul debemos elegir? cul es la adecuada? cules se aplican ms en la prctica? cules se adaptan mejor a las necesidades de las empresas y organizaciones? Tal y como se afirma en la introduccin de la metodologa OWASP, los pentest nunca sern una ciencia exacta. Dependen de mltiples factores y, adems, todo un listado de problemas y posibles riesgos deben ser tenidos en cuenta antes de ser probados. Qu es un pentest1? Es un mtodo de evaluacin de la seguridad de un sistema u organizacin, simulando un ataque tal y como la llevara a cabo cualquier hacker que pretendiera hacerse con el control del sistema, manipular la informacin o robarla, sobre todo aquella que podemos definir como sensible y crtica. Generalmente, este tipo de ataques se fundamentan en fallas y vulnerabilidades conocidas por los expertos en su mayora y no resueltas o mal parcheadas, incluso desconocidas, para aquellos responsables de esos sistemas. Qu es una vulnerabilidad? Una debilidad en el diseo de un sistema, en su implementacin, operabilidad y gestin que podra ser comprometido violando su poltica de seguridad2 (si es que la tuviera) Aqu es donde entran las distintas metodologas amparadas en las necesidades y el alcance que se quiera definir de antemano. Suelen ser procesos de larga duracin, siempre en funcin de esas necesidades. Las metodologas aqu explicadas estn al alcance de cualquiera; es decir, son de libre uso. Todas ellas ofrecen la posibilidad de ser usadas tanto para beneficio propio como para beneficio de la comunidad de Internet y, por supuesto, a peticin de la parte interesada en conocer el nivel de seguridad dentro de su organizacin. Lo habitual es que aquellas personas que vayan a utilizar estas metodologas sean personas que tienen no solo la preparacin precisa, sino tambin la madurez y prudencia moral que garantiza su objetividad, independencia y rigor tico. Todos hemos ledo algo al respecto... Cracking puro y duro o hacking tico. Que si white box (pentesting desde dentro, con todos los recursos a tu alcance), que si black box (pentesting consentido, a ciegas, desde fuera y desde dentro)... Ambas son elementos de dichas metodologas que podemos definir como dos modos de enfocar las tareas, pero curiosamente,
1 Extrado de OWASP testing guide v.3 2 Muchas organizaciones comienzan a interesarse por los SGSI (sistemas de gestin de seguridad de la informacin), pero no se ve una apuesta clara por proteger su informacin por parte de las PYMES especialmente.
alguna de ellas centra su metodologa en solo uno de esos enfoques: por ejemplo, OWASP usa black box...
I. INFORMATION GATHERING:
Recopilar el mximo de informacin acerca del objetivo. Se puede realizar de diferentes modos. Con herramientas pblicas y/o software especfico de libre uso la mayora. Se trata de forzar a la aplicacin objeto del anlisis a mostrar una o varias debilidades o vulnerabilidades.
el
archivo
robots.txt
(por
ejemplo:
wget
Remover el contenido asociado a un aweb. El robots.txt no ha sido actualizado (ejemplo: site:wasp.org, devuelve todas las pginas indexadas del sitio; cache:owasp.org, ).
Identify application entry points (owasp-ig-003)
Qu aplicaciones en particular corren sobre el servidor objetivo. Muchas tienen vulnerabilidades conocidas (tomcat, swat, webmin...)
Analysis of error codes (owasp-ig-006)
A menudo, las aplicaciones nos devuleven errores que revelan posibles vulnerabilidades. Ejemplo de error 404:
Not Found The requested URL /page.html was not found on this server. Apache/2.2.3 (Unix) mod_ssl/2.2.3 OpenSSL/0.9.7g DAV/2 PHP/5.1.2 Server at localhost Port 80
La complejidad de las infraestructuras web a veces juegan malas pasadas: un simple fallo en una sola de sus aplicaciones puede dejar en evidencia toda la infraestructura. 7
Datos no revelados en los procesos de configuracin, pueden quedar en evidencia a travs del cdigo fuente que se muestra en una web...
Testing for File Extensions Handling (OWASP-CM-005)
La extensin de los archivos que muestra la web (php, asp, jsp...) revelan el tipo de servidor sobre el que trabajan, as como posibles conexiones con otras aplicaciones (jsp con tomcat).
Old, Backup and Unreferenced Files (OWASP-CM-006)
Archivos legibles, descargables, copias de seguridad, etc... nos pueden mostrar rutas de instalacin, passwords, ususarios, etc...
Infrastructure and Application Admin Interfaces (OWASP-CM-007)
Muchas aplicaciones web como la mayora de CMS tienen una interfaz administrativa que puede ser objeto de ataques de fuerza bruta e, incluso, estar configuradas por defecto. Esto facilita el acceso. Es el caso de muchos routers con interfaz web tambin.
Testing for HTTP Methods and XST (OWASP-CM-008)
Revisar que el servidor no permite el uso de comandos http y que XST no es posible.
Probar que resiste los embates del uso de fuerza bruta en el registro y entrada al sistema.
Testing for Guessable (Dictionary) User Account (OWASP-AT-003)
Por si falla el ataque por diccionario, garantizar que el posible acceso por intentos de fuerza bruta, quede bloqueado.
Testing for bypassing authentication schema (OWASP-AT-005)
Pueden existir recursos no protegidos dentro del sistema a los que se puede acceder si pasar por el proceso de autenticacin (bypass).
Ya hay versiones de CAPTCHA que son vulnerables, con lo que los bots de registro masivo y ataque Ddos lo tienen ms fcil.
Testing Multiple Factors Authentication (OWASP-AT-009)
Probar dispositivos que contienen certificados para autenticacin y que son legtimos. Card reader y USB...
Testing for Race Conditions (OWASP-AT-010)
Difciles de probar e implementar. Resultados inesperados que nos muestran impacto en otras acciones (ejemplo, aplicaciones multihilo)
Comprender cmo trabaja el mecanismo de gestin de la sesin. Probar a hacer un bypass de sesin.
Testing for Cookies attributes (OWASP-SM-002)
Las cookies son a menudo un vector de ataque. Las cookies deben estar debidamente protegidas. Interceptar una cookie podra llevarnos a autenticarnos en un sistema sin ms.
Testing for Session Fixation (OWASP-SM_003)
Forzar a un usuario ya autenticado a hacer algo no previsto sobre una aplicacin web.
V. AUTHORIZATION TESTING
Autorizar significa que podemos usar y acceder a aquello para lo que estamos registrados... Qu roles y niveles de autorizacin existen... Escalar privilegios, acceso a rutas transversales, etc.
Testing for Path Traversal (OWASP-AZ-001)
Cmo ha sido implementado cada rol y privilegio para tratar de acceder a recursos reservados.
Testing for Privilege Escalation (OWASP-AZ-003)
Aplicaciones webmail que no trabajan adecuadamente. Podemos inyectar instrucciones para el servidor de correo.
Code Injection (OWASP-DV-012)
11
Testing_for_SQL_Wildcard_Attacks (OWASP-DS-001) D Locking Customer Accounts (OWASP-DS-002) Buffer Overflows (OWASP-DS-003) User Specified Object Allocation (OWASP-DS-004) User Input as a Loop Counter (OWASP-DS-005) Writing User Provided Data to Disk (OWASP-DS-006) Failure to Release Resources (OWASP-DS-007) Storing too Much Data in Session (OWASP-DS-008)
X. AJAX TESTING
Asynchronous JavaScript and XML, tcnica usada para dinamizar ms si cabe las respuestas de los servidores. Se trata de ofrecer a los usuarios una experiencia ms parecida al uso de aplicaciones de su escritorio. Son muy tiles, pero desde un punto de vista de un atacante, ofrecen una amplia superficie de vectores de ataque.
12
13
Pre-engagement Interactions:
En este apartado bsicamente se define el mbito y alcance del test de intrusin. Se llega a un acuerdo con el cliente acotando la profundidad de las pruebas a realizar, permisividad de ataques (ataques DOS, fuerza bruta....), enfoque del test (caja negra, gris o blanca) presentacin de evidencias (goals), etc.
14
He preferido poner la imagen del mapa mental a explicar cada una de las subcategoras de esta metodologa tal y como hice con OWASP. En esta primera fase podemos destacar la idea de establecer el marco de trabajo de la auditora, tomando acuerdos con el cliente: contrato, confidencialidad, entrevistas y alcances varios... Trato con terceras partes. Aunque no acierto a verlo claramente, se deduce que hay acuerdo de inmunidad para el tester ?
Intelligence Gathering:
Recopilacin de informacin de inteligencia competitiva publicada en motores de bsqueda que nos dar una idea del objetivo que estamos estudiando y de las personas que trabajan dentro de la empresa...
15
En esta fase se incluye informacin sobre el sistema, parte planificada de la organizacin a travs de buscadores de todo tipo (sin que caiga en la simplicidad). Hay un anlisis que yo defino como intenso en cuanto a la identificacin externa e interna de servicios, mapeo, VoIP, protocolos en general que aparezcan disponibles. Y ms profundizacin si cabe en averiguar perfiles tanto de empleados como corporativos. Hasta la localizacin fsica de empleados, uso de redes sociales, etc. Aspectos competitivos pueden ser tenidos en cuenta, planes de mrketing, visin de productos...
Threat Modeling:
Con la informacin proporcionada por las dos fases anteriores, se definen lineas de negocios existentes, importancia de los activos IT (accesibles) visibles en nuestro estudio para definir vectores de ataques posteriores.
16
Una vuelta de tuerca ms: secretos comerciales, roles y privilegios, niveles ejecutivos, datos de usuarios, proveedores, clientes, etc. Perspectivas de negocio: I + D. Hasta el anlisis de los competidores es tenido en cuenta para ver si hay posibilidad de fuga de informacin.
Vulnerability Analysis:
Como su propio nombre indica entramos en materia. De forma activa y ya 'tocando' el objetivo, se identifican puertos y servicios existentes en busca, de forma manual y automtica vulnerabilidades existentes.
17
Dividida esta fase en testeo (activo y pasivo), validacin e investigacin. Recopilamos la informacin referida a servicios, network y web scanner, VoIP, etc. Identificados los puertos, esquemas posibles de ataques, validamos las posibles opciones reales de ataque y comprobamos que, efectivamente, pueden ser llevados a la prctica (Investigacin) con el consiguiente riesgo derivado. En la subfase de Investigacin llama la atencin la revisin de todo cuanto haya recopilado en internet acerca de las posibles brechas de seguridad y vulnerabilidades. Se sugiere la rplica del entorno de pruebas para garantizar, probablemente, que toda la infraestructura no se tocar hasta estar seguros de la viabilidad y verdadero alcance de la auditora.
Exploitation:
La fase de verificacin y explotacin de vulnerabilidades. Se contempla la forma de evasin de NIDS, HIPS, Antivirus y otras contramedidas existentes a nivel de red o EndPoint.
18
Un repaso a los vectores de explotacin real de los fallos del sistema. Aqu se revisan prcticamente todas las posibilidades (dependiendo de los servicios activos en la organizacin), desde el acceso fsico (localizacin, USBs, Man in the middle, etc) hasta las redes wireless, ataques web, asegurar contramedidas de bypass, una vez detectados...
Post Exploitation:
Esta fase se centra en la recopilacin de evidencias y en cmo valorar el impacto real de la intrusin y hasta donde podemos llegar desde el sistema comprometido. Se contempla borrado de huellas y hacer persistente el ataque (puertas traseras, conexin inversa o rootkits).
19
Qu se pueden llevar de nuestra organizacin? Conscientes de las posibilidades de explotar las fallas, debemos centrar los esfuerzos en proteger nuestra infraestructura de red, asegurar que no hay elementos que puedan proporcionar salida de datos (voz, vdeo, cintas, discos, etc). Recintos asegurados para esos elementos sealados, ms los Backups, documentacin, etc... Ojo a los ataques dirigidos contra el impacto directo en el negocio (listas de clientes por ejemplo, copias de seguridad borradas, discos daados, etc). Aqu no hay que escatimar recursos para la proteccin de estos elementos crticos. Atencin especial merece el hecho de que nuestra auditora debe ser limpia y no dejar rastro, como si no hubiramos estado por all. Garantizar que todo el sistema sea recuperable !! Por ltimo, muy significativa la referencia a la posible persistencia del dao en forma de control de certificados, backdoors, rootkits, conexiones inversas y otras formas de postexplotacin de la intrusin.
Reporting:
Explica qu deben contener los reportes (ejecutivo y tcnico) que entreguemos como conclusin de nuestro estudio.
20
Las razones para las que se solicit el test deben ser los primeros aspectos relevantes del informe final. Seguido de los posibles riesgos y su valoracin. Las mtricas utilizadas y las contramedidas propuestas para los riesgos analizados. Especial incidencia en la informacin obtenida o robada. La evaluacin de las vulnerabilidades encontradas, la confirmacin de que esas fallas han podido ser explotadas, junto con las contramedidas propuestas y probadas y otras derivadas Qu grado de exposicin podemos deducir que tienen los activos de la empresa u organizacin? Podemos calcularlo en funcin de la frecuencia, magnitud y riesgos derivados. Para aclarar: frecuencia y posibilidad van de la mano. Por ltimo, no pueden faltar en el informe nuestras conclusiones finales. Y no est de ms que el CEO de la empresa nos d su bendicin :-)
21
FASE 2: Evaluacin.
Es donde se lleva a cabo el test de penetracin propiamente dicho. Digamos que utiliza un enfoque por capas y cada una de ellas nos lleva a un nivel de acceso ms grande a los activos. Las capas podemos enumerarlas como sigue:
22
Information Gathering (obtener informacin). Explorar las posibilidades de ataques. Tanto desde dentro como desde fuera. Vale cualquier documento que pueda desembocar en una posibilidad de comprometer los sistemas. Incluso se sugiere: empleados, partners de negocio, de tecnologas, inversiones, presencia web, topologa de red, implementacin de tecnologas, datos como telfonos, e-mails, informacin personal, bloqueo de propiedad de IP (de modo que no se conozcan datos precisos sobre los dueos de los dominios). Quede claro que esta capa de trabajo puede hacerse de forma activa o pasiva (vemos similitudes con OWASP y PTES). Es importante resear que ISSAF hace, adems de una explicacin detallada de estas capas, acopio y ejemplo de herramientas posibles de uso, muchas de ellas contrastadas por expertos (dig, nslookup, nmap y otras herramientas disponibles como herramientas de adquisicin de informacin en la web, inclusive P2P, IRC, foros underground, etc). Network Mapping (mapeo de la red) Esta seccin se centra en aspectos ms tcnicos casi en exclusiva. El mapero de la red incluye las topologas, los routers, dispositivos de red, firewalls, nombres de hosts, Netbios, servidores activos, puertos abiertos en los distintos ordenadores, uso que se hace de cada uno de ellos, traceroute, sistemas operativos, acceso de cuentas de invitado, etc... Vulnerability Identification (identificacin de vulnerabilidades) Es un paso ms all en la profundizacin del conocimiento de los sistemas objetivos. Precisamos el alcance de los tests de intrusin al poseer un conocimiento casi exhaustivo de todo cuanto se cuece en la organizacin. Es decir, vamos a refinar, a tunear el ataque como un sistema planificado. Todas las armas de intrusin masiva deben estar preparadas para el despliegue (nikto, nessus, openvas, whisker, etc). servicios vulnerables ajustar los scanners de vulnerabilidades identificar fallas no conocidas o errores en las vulnerabilidades listar las vulnerabilidades Ojo con falsos positivos y falsos negativos medidas inmediatas de minimizacin de los fallos clasificar los riesgos tcnicos en funcin de las vulnerabilidades halaldas posible impacto
Las vulnerabilidades deben ser clasificadas como: de alto riesgo (rojo), riesgo medio (naranja) y riesgo bajo (azul)... Realizar una plantilla o matriz donde se valora el riesgo y el impacto en los activos de la organizacin.
23
Penetration (penetracin) Una vez tenemos las armas de penetracin listas, probamos a ver qu resultados nos ofrecen a travs de pruebas de concepto conocidas, manipuladas o hechas a medida por nosotros mismos (cdigo + herramientas). Gaining Access & Privilege Escalation (ganar acceso y escalado de privilegios) Ganar privilegios: desde el ms elemental hasta el root para asegurarnos de controlar y comprometer los sistemas. Probamos hasta el mximo de control posible. Enumerating Further (podemos traducir como extra enumeracin de objetivos) Ataque a passwords, esnifar trfico de red y analizarlo, hacernos con cookies, direcciones de correo (mensajes incluidos), routers y redes (passwords por defecto), maper completo de la red). Compromise Remote Users/Sites (usuarios y sitios remotos comprometidos) El auditor y asesor debera tratar de comprometer los sistemas y hacerse con el mximo de contarseas y sistemas... Una vez conseguido le dar acceso a sistemas tanto dentro como fuera de la red objetivo. Usar firewall en escritorios remotos de los usuarios... para tratar de contener el acceso a cualquier parte de la red. Maintaining Access (mantenimiento del acceso y privilegios ganados) Se trata de lograr que el control sobre los sistemas comprometidos sea eficaz y pase desapercibido para el resto de usuarios y/o Administradores. Para ello, se habla de canales disimulados o secretos (a prueba de detecciones?). Estos canales ocultos pueden ser descritos como la escritura de datos ocultos en un medio o varios de almacenamiento no descrito, no publicado. Elegir el modo de comunicacin encubierto es el objetivo de esta accin. Usaremos SSL tneles, proxys, ssh, etc... En general, se controla de forma oculta una o varias mquinas del sistema objetivo. Con troyanos, backdoors, rootkits, etc. Covering Tracks (cubriendo pistas o borrado de huellas si se prefiere). Cubrir las pistas... Todas a ser posible. Conocer todos los posibles mtodos de ocultacin de pruebas, ocultar keyloggers, herramientas, exploits, archivos, etc. Mtodos esteganogrficos. Carpetas ocultas en sistemas windows y GNU/linux... Limpiar logs (si es que no estn en otro sitio replicados). Manipular logs en windows y en GNU/Linux. La imagen que nos muestra el esquema de reas a tener en cuenta en la fase de evaluacin es 24
muy explcita. Hay que aclarar que estas reas son cclicas e iterativas; es decir, que se repiten y se revisan en el mismo proceso de evaluacin. No obstante, el proceso de pentesting y auditora no termina aqu. Dejar claro que hay diferencias entre auditar y penetrar el sistema. Siempre la auditora establece mecanismos amplios de trabajo, mientras que la penetracin es una parte de la auditora.
25
Por ltimo, remover archivos, rastro de intervencin, manipulacin de sistemas y explotacin de fallas... Si algo no se puede limpiar, hay que advertirlo para que en otro momento se proceda a ello. ANEXO IMPORTANTE: Manejo de medidas de falsos positivos. Podemos, antes de seguir profundizando en esta metodologa, afirmar que las tres fases anteriores quedan establecidas como estrategia y que lo que a continuacin se relata y se enumera brevemente (por falta de tiempo y no ser objeto del trabajo), se puede considerar como una metodologa entendida como un todo agrupada en 4 reas de aplicacin de tests que poseen a su vez subreas de aplicacin de tests ms especficas:
NETWORK SECURITY:
Passwords audit Seguridad en switchs Seguridad en routers Evaluar seguridad de los firewall Evaluar seguridad de deteccin de intrusiones Evaluar la seguridad de las VPN Evaluar la gestin y estrategia en uso antivirus. Seguridad del rea de almacenamiento de red (y en red). Evaluar seguridad Wireless Seguridad del usuario de Internet 26
Seguridad servidores AS-400 (IBM?). Entiendo que extensivo a otros tipos de servidores. Seguridad Lotus-Notes (entiendo que es aplicable a cualquier otro tipo de software de gestin y ofimtica en intranet)
SEGURIDAD DE APLICACIONES:
Evaluacin de la seguridad de las aplicaciones web en general Evaluacin de la seguridad de las aplicaciones web (SQL injection) Auditar el cdigo fuente de sistemas (kernel Linux puede ser, pero Windows estamos apaaos) y aplicaciones. Auditora de binarios Checklist de evaluacin de seguridad en las aplicaciones
27
especfica. Asegurar que las pruebas de cada test cumplen o estn conformes con las Reglas de Acuerdos (contratos) previos. No hay que crear falsas expectativas, incomprensiones y malos entendidos.
El resultado final ser lo que denominamos: Superficie de ataque (extensin y profundidad del ataque es ms correcto).
29
EL ALCANCE (scope):
El alcance comprende 3 canales (vas de acceso) posibles de actuacin e interaccin: COMSEC (communications security), PHYSSEC (physical security), and SPECSEC (spectrum security) . Una meticulosa auditora requiere de pruebas en los tres canales, en realidad, las auditoras van a depender de la pericia del auditor y los medios y equipamiento requerido. Este manual disecciona estos 3 canales en 5 secciones lgicas:
Queda representada as la estructura de canales y secciones: CHANNEL SECCIN HUMANO PHYSSEC (entorno fsico) FSICO DESCRIPCIN
Comprende el elemento humano de comunicacin donde la interaccin puede ser fsica o sicolgica. Pruebas de seguridad fsica los canales son ambos a la vez fsicos y no electrnicos. Comprende elementos tangibles donde es necesario esfuerzo fsico o un transmisor de enrga para manipulacin. ELSEC (comunicaciones electrnicas) SIGSEC (seales) EMSEC (emanaciones no encadenadas por cable)
Wireless communications
30
Redes de datos COMSEC Telecomunicaciones Comunicaciones digitales o analgicas, telefnicas sobre redes
de lineas.
cualquier asunto considerando la validez del test y los resultados procesos que puedan influenciar limitaciones en la seguridad cualquier anomala detectada
El uso completo de OSSTMM muestra una actualizado medicin de los controles de seguridad. La no representacin de los informes puede inducir a una fraudulenta verificacin de los controles de seguridad. El analista debe aceptar su responsabilidad en los informes inapropiados e imprecisos.
Cada viaje empieza en una sola direccin. A menudo el tipo de test se decide aqu. Habr que tener en cuenta los requerimientos y los lmites de la auditora, as como el alcance y las restricciones del alcance. Me salto los apartados dentro de esta fase...
B. FASE DE DEFINICIONES
Conocimiento del alcance interactuando con los objetivos (blancos de la auditora) y los activos. Aqu s se tiene constancia de la definicin clara del alcance de la auditora. Me salto los apartados dentro de esta fase...
C. FASE DE INFORMACIN
Muchas de las auditoras son sobre la informacin que no est cubierta. Los varios tipos de valores, as como los activos mal ubicados y desatendidos y mal gestionados, son sacados a la luz. 32
Centrada en la penetracin misma y en los trastornos que conlleva. Suele ser la fase final de los tests. Asegurarse de que las perturbaciones son poco invasivas y que el efecto de la informacin extrada no pueda ser conocida hasta que otras fases hayan sido llevadas a efecto. Hay que verificar que las conclusiones son ciertas.
33
En el resto del apartado del manual se hacen sesudas consideraciones para ensear a hacer clculos Rav. En otra versin de este documento podramos ocuparnos de ello. El esquema es elocuente ya que nos dice qu factores debemos tener en cuenta para hacer los clculos en funcin de la permeabilidad de nuestros activos, si existen o no controles y los lmites de acceso a los mismos. Las frmulas derivan del esquema anterior y del siguiente:
En la imagen inferior aparece visible como se calcula la porosidad (trmino de penetracin) de un activo como parte de la frmula de un Rav:
34
La metodologa se resume en separar lo que se necesitar hacer en: CANAL MDULO TAREAS Esto se puede revisar al principio del apartado de esta metodologa. Hay buenas razones para usar Ravs y proteger los activos...
PTES
OWASP
OSSTMM
Niveles de detalle
Facilidad de uso
Alta. Muy tcnico, Media. Muy tcnico. aunque muestra uso Requiere de herramientas, entrenamiento y sugiere usos y muestra prctica. ejemplos. Certificaciones.
mbitos de aplicacin
GENERAL. PYMES, ORGANIZACIONES TODO TIPO DE TODO TIPO DE ORGANIZACIONES COMPLEJAS. ORGANIZACIONES ORGANIZACIONES E INSTITUCIONES PYMES, financieras. CON PRESENCIA Y PYMES. VARIAS WEB INSTITUCIONES EDUCATIVAS Todos. Genrico para auditoras de todo tipo. Servidores IBM nicamente? Fcil. Es lineal y cubre las etapas tpicas de una auditora con test de intrusin. Ampliamente usado ya que respeta los modelos NIST (que se tienen muy en cuenta en USA) Todos. En combinacin con otra metodologa como OWASP, sera ideal. Solo web y Todos. Incluso los que aplicaciones todava no se han enfocadas a la web. implementado. Es Servidores. dinmica y potente en su diseo. Muy usado tambin en combinacin con el resto de metodologas por su precisin y nivel de detalle. Detrs hay muy importantes empresas e instituciones que quieren que esta metodologa se desarrolle plenamente El ms usado por lo que he podido averiguar en Internet, aunque la tendencia es simplificar (tipo ISSAF), su uso supone un conocimiento y experiencia alto.
Entornos de aplicabilidad
Menos usado. Creo que el que menos, aunque he averiguado que hay empresas que combinan esta y otras metodologas.
36
PTES
OWASP
OSSTMM
Ventajas
Inconvenientes
Falta concretar acuerdos, no seala lmites en el uso de los tests. Menos rigurosa que el resto. Podra escaparse de las manos el uso de los tests de intrusin. Inmaduro en cuanto a desarrollo. Estancado y menos dinmico que el resto.
Proyecto incompleto pero con buenas perspectivas. Se ha hecho un llamamiento a la colaboracin, pero parece que este intento de estndar est condenado a dormirse.
Habra que combinar con otras herramientas y metodologas para que la auditora fuera ms completa. No olvidemos que la infraestructura de la web y los servidores no son auditados. Se basa ms en la Debe actualizarse o, al creatividad del auditor menos, revisarse. y tambin en su experiencia. No permite o es reacia a combinar su metodologa con otras. Loables y detalladsimos procesos y controles. Podra combinarse con otras metodologas porque su nivel de precisin es excelente. Junto con OWASP podra ser el primer paso en el aprendizaje de las auditoras. Menos agresiva e intrusiva, fcilmente se pueden borrar las huellas de paso. Al igual que ISSAF es agresiva y muy intrusiva, pero deja muy clara su postura en cuanto a los lmites en los acuerdos con el cliente (objetivo)... Echo de menos un listado de herramientas sugeridas para cada fase.
Un poco desactualizada. Al ser una metodologa lineal (aunque se seale como cclica), es de fcil uso y la prctica puede aplicarla auditor sin experiencia. Metodologa agresiva e intrusiva