Metodologias Más Usadas en Pentesting. Estudio Comparativo.

MDULO 3: AUDITORAS Y SEGURIDAD. TEMA 4: COMPARATIVA METODOLOGAS AUDITORAS Y PENTESTING.
Maximiliano Camilo Prez Fernndez
Elche, Febrero de 2012
ndice de contenido
INTRODUCCIN................................................................................................................................5 DEFINICIONES PREVIAS DE LAS METODOLOGAS:................................................................6 OWASP (manual de 349 pginas)...................................................................................................6 I. INFORMATION GATHERING:.................................................................................................6 Testing: spiders, robots, and crawlers (owasp-ig-001)...............................................................7 Search engine discovery/reconnaissance (owasp-ig-002)...........................................................7 Identify application entry points (owasp-ig-003).......................................................................7 Testing for web application fingerprint (owasp-ig-004).............................................................7 Application discovery (owasp-ig-005).......................................................................................7 Analysis of error codes (owasp-ig-006)......................................................................................7 II. CONFIGURATION MANAGEMENT TESTING.....................................................................7 SSL/TLS Testing (OWASP-CM-001).........................................................................................7 DB Listener Testing (OWASP-CM-002)....................................................................................7 Infrastructure Configuration Management Testing (OWASP-CM-03).......................................7 Application Configuration Management Testing (OWASP-CM-004)........................................8 Testing for File Extensions Handling (OWASP-CM-005).........................................................8 Old, Backup and Unreferenced Files (OWASP-CM-006)..........................................................8 Infrastructure and Application Admin Interfaces (OWASP-CM-007)........................................8 Testing for HTTP Methods and XST (OWASP-CM-008)..........................................................8 III. AUTHENTICATION TESTING...............................................................................................8 Credentials transport over an encrypted channel (OWASP-AT-001)..........................................8 Testing for user enumeration (OWASP-AT-002)........................................................................8 Testing for Guessable (Dictionary) User Account (OWASP-AT-003)........................................8 Brute Force Testing (OWASP-AT-004).......................................................................................8 Testing for bypassing authentication schema (OWASP-AT-005)...............................................9 Testing for vulnerable remember password and pwd reset (OWASP-AT-006)..........................9 Testing for Logout and Browser Cache Management (OWASP-AT-07)....................................9 Testing for CAPTCHA (OWASP-AT-008).................................................................................9 Testing Multiple Factors Authentication (OWASP-AT-009)......................................................9 Testing for Race Conditions (OWASP-AT-010).........................................................................9 IV. SESSION MANAGEMENT TESTING....................................................................................9 Testing for Session Management Schema (OWASP-SM-001)...................................................9 Testing for Cookies attributes (OWASP-SM-002)......................................................................9 Testing for Session Fixation (OWASP-SM_003).......................................................................9 Testing for Exposed Session Variables (OWASP-SM-004)........................................................9 Testing for CSRF (OWASP-SM-005).......................................................................................10 V. AUTHORIZATION TESTING.................................................................................................10 Testing for Path Traversal (OWASP-AZ-001)..........................................................................10 Testing for bypassing authorization schema (OWASP-AZ-002)..............................................10 Testing for Privilege Escalation (OWASP-AZ-003).................................................................10 VI. BUSINESS LOGIC TESTING (OWASP-BL-001)................................................................10 VII. DATA VALIDATION TESTING...........................................................................................10 Testing for Reflected Cross Site Scripting (OWASP-DV-001).................................................11 Testing for Stored Cross Site Scripting (OWASP-DV-002)......................................................11 Testing for DOM based Cross Site Scripting (OWASP-DV-003).............................................11 2
Testing for Cross Site Flashing (OWASP-DV004)...................................................................11 SQL Injection (OWASP-DV-005).............................................................................................11 LDAP Injection (OWASP-DV-006)..........................................................................................11 ORM Injection (OWASP-DV-007)...........................................................................................11 XML Injection (OWASP-DV-008)...........................................................................................11 SSI Injection (OWASP-DV-009)..............................................................................................11 XPath Injection (OWASP-DV-010)..........................................................................................11 IMAP/SMTP Injection (OWASP-DV-011)...............................................................................11 Code Injection (OWASP-DV-012)............................................................................................11 OS Commanding (OWASP-DV-013)........................................................................................11 Buffer overflow (OWASP-DV-014)..........................................................................................11 Testing for HTTP Spltting/Smuggling (OWASP-DV-016).......................................................11 VIII. DENIAL OF SERVICE TESTING.......................................................................................12 Testing_for_SQL_Wildcard_Attacks (OWASP-DS-001) ........................................................12 D Locking Customer Accounts (OWASP-DS-002) .................................................................12 Buffer Overflows (OWASP-DS-003) ......................................................................................12 User Specified Object Allocation (OWASP-DS-004) ..............................................................12 User Input as a Loop Counter (OWASP-DS-005) ...................................................................12 Writing User Provided Data to Disk (OWASP-DS-006) .........................................................12 Failure to Release Resources (OWASP-DS-007) ....................................................................12 Storing too Much Data in Session (OWASP-DS-008) ............................................................12 IX. WEB SERVICES TESTING...................................................................................................12 WS Information Gathering (OWASP-WS-001) .......................................................................13 Testing WSDL (OWASP-WS-002) ..........................................................................................13 XML Structural Testing (OWASP-WS-003) ............................................................................13 XML Content-level Testing (OWASP-WS-004) ......................................................................13 HTTP GET parameters/REST Testing (OWASP-WS-005) .....................................................13 Naughty SOAP attachments (OWASP-WS-006) .....................................................................13 Replay Testing (OWASP-WS-007) ..........................................................................................13 X. AJAX TESTING.......................................................................................................................13 AJAX Vulnerabilities (OWASP-AJ-001) .................................................................................13 How to test AJAX (OWASP-AJ-002) ......................................................................................13 XI. WRITING REPORTS: VALUE THE REAL RISK................................................................13 HOW TO VALUE THE REAL RISK.......................................................................................13 PTES (PENETRATION TESTING EXECUTION STANDARD)...............................................15 Pre-engagement Interactions:....................................................................................................15 Intelligence Gathering:..............................................................................................................16 Threat Modeling:......................................................................................................................17 Vulnerability Analysis:..............................................................................................................18 Exploitation:..............................................................................................................................19 Post Exploitation:......................................................................................................................20 Reporting:.................................................................................................................................21 ISSAF (manualillo de 845 pginas)...........................................................................................23 FASE 1: Planificacin y preparacin........................................................................................23 FASE 2: Evaluacin..................................................................................................................23 Information Gathering (obtener informacin)......................................................................24 Network Mapping (mapeo de la red)...................................................................................24 Vulnerability Identification (identificacin de vulnerabilidades)........................................24 Penetration (penetracin).....................................................................................................25 Gaining Access & Privilege Escalation (ganar acceso y escalado de privilegios)...............25 3
Enumerating Further (podemos traducir como extra enumeracin de objetivos)............25 Compromise Remote Users/Sites (usuarios y sitios remotos comprometidos)....................25 Maintaining Access (mantenimiento del acceso y privilegios ganados)..............................25 Covering Tracks (cubriendo pistas o borrado de huellas si se prefiere)...............................25 FASE 3: Informe, limpieza y destruccin de artefactos........................................................27 NETWORK SECURITY:.........................................................................................................27 SEGURIDAD DE CLIENTES DE RED (HOSTS):................................................................28 SEGURIDAD DE APLICACIONES:......................................................................................28 SEGURIDAD DE LAS BASES DE DATOS:..........................................................................28 ..................................................................................................................................................28 OSSTMM (Open Source Security Testing Methodology Manual)...............................................29 DEFINIR UN TEST DE SEGURIDAD:..................................................................................29 TIPOS DE TESTS DE SEGURIDAD:.....................................................................................30 EL ALCANCE (scope):............................................................................................................31 LAS REGLAS DE ACUERDOS (CONTRATOS):..................................................................32 RESULTADOS DE LOS TESTS:.............................................................................................32 COMPRENDIENDO LA METODOLOGA OSSTMM:.........................................................33 A. FASE REGULATORIA..................................................................................................33 B. FASE DE DEFINICIONES............................................................................................33 C. FASE DE INFORMACIN...........................................................................................33 D. FASE INTERACTIVA DE PRUEBA DE CONTROLES..............................................34 MTRICAS OPERATIVAS DE SEGURIDAD:......................................................................34 MAPA MENTAL DE OSSTMM (gracias a un ruso):..............................................................36 COMPARATIVA DE LAS METODOLOGAS EN CUESTIN:....................................................37
INTRODUCCIN
Comparar cuatro de las metodologas ms importantes de auditoras y pentesting no es fcil y es adems costoso de realizar. Tratar de enmarcarlas en un concepto general de seguridad de la informacin y partiendo de sus definiciones, pasaremos a centrarnos en los aspectos sugeridos (aunque est claro que no se puede profundizar mucho al respecto). Cul debemos elegir? cul es la adecuada? cules se aplican ms en la prctica? cules se adaptan mejor a las necesidades de las empresas y organizaciones? Tal y como se afirma en la introduccin de la metodologa OWASP, los pentest nunca sern una ciencia exacta. Dependen de mltiples factores y, adems, todo un listado de problemas y posibles riesgos deben ser tenidos en cuenta antes de ser probados. Qu es un pentest1? Es un mtodo de evaluacin de la seguridad de un sistema u organizacin, simulando un ataque tal y como la llevara a cabo cualquier hacker que pretendiera hacerse con el control del sistema, manipular la informacin o robarla, sobre todo aquella que podemos definir como sensible y crtica. Generalmente, este tipo de ataques se fundamentan en fallas y vulnerabilidades conocidas por los expertos en su mayora y no resueltas o mal parcheadas, incluso desconocidas, para aquellos responsables de esos sistemas. Qu es una vulnerabilidad? Una debilidad en el diseo de un sistema, en su implementacin, operabilidad y gestin que podra ser comprometido violando su poltica de seguridad2 (si es que la tuviera) Aqu es donde entran las distintas metodologas amparadas en las necesidades y el alcance que se quiera definir de antemano. Suelen ser procesos de larga duracin, siempre en funcin de esas necesidades. Las metodologas aqu explicadas estn al alcance de cualquiera; es decir, son de libre uso. Todas ellas ofrecen la posibilidad de ser usadas tanto para beneficio propio como para beneficio de la comunidad de Internet y, por supuesto, a peticin de la parte interesada en conocer el nivel de seguridad dentro de su organizacin. Lo habitual es que aquellas personas que vayan a utilizar estas metodologas sean personas que tienen no solo la preparacin precisa, sino tambin la madurez y prudencia moral que garantiza su objetividad, independencia y rigor tico. Todos hemos ledo algo al respecto... Cracking puro y duro o hacking tico. Que si white box (pentesting desde dentro, con todos los recursos a tu alcance), que si black box (pentesting consentido, a ciegas, desde fuera y desde dentro)... Ambas son elementos de dichas metodologas que podemos definir como dos modos de enfocar las tareas, pero curiosamente,
1 Extrado de OWASP testing guide v.3 2 Muchas organizaciones comienzan a interesarse por los SGSI (sistemas de gestin de seguridad de la informacin), pero no se ve una apuesta clara por proteger su informacin por parte de las PYMES especialmente.
alguna de ellas centra su metodologa en solo uno de esos enfoques: por ejemplo, OWASP usa black box...
DEFINICIONES PREVIAS DE LAS METODOLOGAS:

OWASP (manual de 349 pginas)
Web application test methodology. Mtodo de test para aplicaciones web basado en dos fases: pasiva y activa. Como hemos explicado anteriormente su enfoque es black box preferentemente, se sabe poco o nada de la aplicacin que vamos a probar, incluso del contexto en el que se van a hacer las pruebas. Fase pasiva: Se trata de hacer pruebas hasta comprender la lgica de la aplicacin que est en fase de test y comprobar si arroja algn elemento que pueda significar una puerta abierta para su anlisis detallado. Fase activa: El tester comienza a probar todos los procesos recomendados en esta metodologa. Esta fase se centra, concretamente, en 9 subcategoras de 66 procesos: Configuration Management management). Authentication Testing Authorization testing Session Management Testing Business Logic Testing Data Validation Testing Denial of Service Testing Web Services Testing Ajax Testing Testing (Information gathering + configuration
I. INFORMATION GATHERING:
Recopilar el mximo de informacin acerca del objetivo. Se puede realizar de diferentes modos. Con herramientas pblicas y/o software especfico de libre uso la mayora. Se trata de forzar a la aplicacin objeto del anlisis a mostrar una o varias debilidades o vulnerabilidades.
Testing: spiders, robots, and crawlers (owasp-ig-001)
Cmo poner a prueba http://www.google.com/robots.txt).
el
archivo
robots.txt
(por
ejemplo:
wget
Search engine discovery/reconnaissance (owasp-ig-002)
Remover el contenido asociado a un aweb. El robots.txt no ha sido actualizado (ejemplo: site:wasp.org, devuelve todas las pginas indexadas del sitio; cache:owasp.org, ).
Identify application entry points (owasp-ig-003)
Abreviando: qu posibilidades de ataque ofrece la aplicacin objetivo (GET y POST).

Testing for web application fingerprint (owasp-ig-004)
Conocer la versin y tipo del servidor web es imprescindible.

Application discovery (owasp-ig-005)
Qu aplicaciones en particular corren sobre el servidor objetivo. Muchas tienen vulnerabilidades conocidas (tomcat, swat, webmin...)
Analysis of error codes (owasp-ig-006)
A menudo, las aplicaciones nos devuleven errores que revelan posibles vulnerabilidades. Ejemplo de error 404:
Not Found The requested URL /page.html was not found on this server. Apache/2.2.3 (Unix) mod_ssl/2.2.3 OpenSSL/0.9.7g DAV/2 PHP/5.1.2 Server at localhost Port 80
II. CONFIGURATION MANAGEMENT TESTING

A menudo, de la configuracin y topologa de la infraestructura de la aplicacin, se derivan o asoman fallas que ponen en evidencia la poca consistencia en la que est construida la aplicacin.
SSL/TLS Testing (OWASP-CM-001)
Verificar que el cifrado es fuerte!

DB Listener Testing (OWASP-CM-002)
Incorrecta configuracin de bases de datos.

Infrastructure Configuration Management Testing (OWASP-CM-03)
La complejidad de las infraestructuras web a veces juegan malas pasadas: un simple fallo en una sola de sus aplicaciones puede dejar en evidencia toda la infraestructura. 7
Application Configuration Management Testing (OWASP-CM-004)
Datos no revelados en los procesos de configuracin, pueden quedar en evidencia a travs del cdigo fuente que se muestra en una web...
Testing for File Extensions Handling (OWASP-CM-005)
La extensin de los archivos que muestra la web (php, asp, jsp...) revelan el tipo de servidor sobre el que trabajan, as como posibles conexiones con otras aplicaciones (jsp con tomcat).
Old, Backup and Unreferenced Files (OWASP-CM-006)
Archivos legibles, descargables, copias de seguridad, etc... nos pueden mostrar rutas de instalacin, passwords, ususarios, etc...
Infrastructure and Application Admin Interfaces (OWASP-CM-007)
Muchas aplicaciones web como la mayora de CMS tienen una interfaz administrativa que puede ser objeto de ataques de fuerza bruta e, incluso, estar configuradas por defecto. Esto facilita el acceso. Es el caso de muchos routers con interfaz web tambin.
Testing for HTTP Methods and XST (OWASP-CM-008)
Revisar que el servidor no permite el uso de comandos http y que XST no es posible.
III. AUTHENTICATION TESTING

Se trata de confirmar que todo cuanto nos presenta la aplicacin tiene integridad y dice ser lo que es y de quin es... Verificar la integridad digital y el proceso de entrada al sistema.
Credentials transport over an encrypted channel (OWASP-AT-001)
El uso de protocolos seguros que les protejan de un posible atacante.

Testing for user enumeration (OWASP-AT-002)
Probar que resiste los embates del uso de fuerza bruta en el registro y entrada al sistema.
Testing for Guessable (Dictionary) User Account (OWASP-AT-003)
Cuentas de usuario por defecto?

Brute Force Testing (OWASP-AT-004)
Por si falla el ataque por diccionario, garantizar que el posible acceso por intentos de fuerza bruta, quede bloqueado.
Testing for bypassing authentication schema (OWASP-AT-005)
Pueden existir recursos no protegidos dentro del sistema a los que se puede acceder si pasar por el proceso de autenticacin (bypass).
Testing for vulnerable remember password and pwd reset (OWASP-AT-006)
Ojo con la funcin password remember de los navegadores.

Testing for Logout and Browser Cache Management (OWASP-AT-07)
La salida del sistema se hace en las condiciones adecuadas.

Testing for CAPTCHA (OWASP-AT-008)
Ya hay versiones de CAPTCHA que son vulnerables, con lo que los bots de registro masivo y ataque Ddos lo tienen ms fcil.
Testing Multiple Factors Authentication (OWASP-AT-009)
Probar dispositivos que contienen certificados para autenticacin y que son legtimos. Card reader y USB...
Testing for Race Conditions (OWASP-AT-010)
Difciles de probar e implementar. Resultados inesperados que nos muestran impacto en otras acciones (ejemplo, aplicaciones multihilo)
IV. SESSION MANAGEMENT TESTING

Control de la sesin. Desde que el usuario se ha autenticado hasta que abandona la sesin.
Testing for Session Management Schema (OWASP-SM-001)
Comprender cmo trabaja el mecanismo de gestin de la sesin. Probar a hacer un bypass de sesin.
Testing for Cookies attributes (OWASP-SM-002)
Las cookies son a menudo un vector de ataque. Las cookies deben estar debidamente protegidas. Interceptar una cookie podra llevarnos a autenticarnos en un sistema sin ms.
Testing for Session Fixation (OWASP-SM_003)
Si no renuevas las cookies, se pueden reutilizar.

Testing for Exposed Session Variables (OWASP-SM-004)
Si podemos replicar los tokens de sesin, ya estamos dentro.

Testing for CSRF (OWASP-SM-005)
Forzar a un usuario ya autenticado a hacer algo no previsto sobre una aplicacin web.
V. AUTHORIZATION TESTING
Autorizar significa que podemos usar y acceder a aquello para lo que estamos registrados... Qu roles y niveles de autorizacin existen... Escalar privilegios, acceso a rutas transversales, etc.
Testing for Path Traversal (OWASP-AZ-001)
Acceder a informacin reservada a travs de ataque de ruta transversal.

Testing for bypassing authorization schema (OWASP-AZ-002)
Cmo ha sido implementado cada rol y privilegio para tratar de acceder a recursos reservados.
Testing for Privilege Escalation (OWASP-AZ-003)
Verificar que no es posible modificar roles y privilegios para cualquier usuario.
VI. BUSINESS LOGIC TESTING (OWASP-BL-001)

Este es el modo creativo para tratar de acceder a un sistema web. Digamos que se trata de buscar alternativas a las meramente tcnicas. Incluimos el conocimiento de documentacin, acceso a sistemas de mercadeo, productos, etc... Conocer las mejores prcticas o los documentos de seguridad de la empresa... Un poco de ingeniera social.
VII. DATA VALIDATION TESTING

Croos site scripting, SQL injection, interpreter injection, ataque a sistemas de archivos, etc... Tcnicas bien conocidas y documentadas.
Testing for Reflected Cross Site Scripting (OWASP-DV-001) Testing for Stored Cross Site Scripting (OWASP-DV-002) Testing for DOM based Cross Site Scripting (OWASP-DV-003) Testing for Cross Site Flashing (OWASP-DV004) SQL Injection (OWASP-DV-005)
Inyectar datos a travs de una consulta a la BD.

LDAP Injection (OWASP-DV-006)
Similar a SQL injection. 10
ORM Injection (OWASP-DV-007) XML Injection (OWASP-DV-008)
Probamos a inyectar un documento xml. Si falla el parser, tenemos vulnerabilidad.

SSI Injection (OWASP-DV-009)
Inyectar cdigo dentro de la pgina html.

XPath Injection (OWASP-DV-010)
Inyectar datos para bypass el mecanismo de autenticacin.

IMAP/SMTP Injection (OWASP-DV-011)
Aplicaciones webmail que no trabajan adecuadamente. Podemos inyectar instrucciones para el servidor de correo.
Code Injection (OWASP-DV-012)
Cdigo malicioso que pueda ser ejecutado.

OS Commanding (OWASP-DV-013)
Inyectar un comando de sistema a travs de una consulta http.

Buffer overflow (OWASP-DV-014) Testing for HTTP Spltting/Smuggling (OWASP-DV-016)
VIII. DENIAL OF SERVICE TESTING

Tratar de tumbar un servidor, inundar el servidor de trfico que no puede gestionar...
11
Testing_for_SQL_Wildcard_Attacks (OWASP-DS-001) D Locking Customer Accounts (OWASP-DS-002) Buffer Overflows (OWASP-DS-003) User Specified Object Allocation (OWASP-DS-004) User Input as a Loop Counter (OWASP-DS-005) Writing User Provided Data to Disk (OWASP-DS-006) Failure to Release Resources (OWASP-DS-007) Storing too Much Data in Session (OWASP-DS-008)
IX. WEB SERVICES TESTING

Vulnerabilidades en servicios web que estn dentro de la aplicacin web. Es similar a SQL injection y resto de tcnicas de inyeccin.
WS Information Gathering (OWASP-WS-001) Testing WSDL (OWASP-WS-002) XML Structural Testing (OWASP-WS-003) XML Content-level Testing (OWASP-WS-004) HTTP GET parameters/REST Testing (OWASP-WS-005) Naughty SOAP attachments (OWASP-WS-006) Replay Testing (OWASP-WS-007)
X. AJAX TESTING
Asynchronous JavaScript and XML, tcnica usada para dinamizar ms si cabe las respuestas de los servidores. Se trata de ofrecer a los usuarios una experiencia ms parecida al uso de aplicaciones de su escritorio. Son muy tiles, pero desde un punto de vista de un atacante, ofrecen una amplia superficie de vectores de ataque.
12
AJAX Vulnerabilities (OWASP-AJ-001)
Podemos combinar varias tcnicas de ataque (SQL injection, XSS, etc)

How to test AJAX (OWASP-AJ-002)
XI. WRITING REPORTS: VALUE THE REAL RISK

Tan importante como los tests, es el modo en que vamos a presentar nuestro informe. Este tambin tiene sus criterios. Debe ser una tabla con una imagen lo ms exacta posible de la evaluacin de la que ha sido objeto.
HOW TO VALUE THE REAL RISK

Descubrir fallas es importante, pero solamente en la medida que nos permite conocer los riesgos asociados a la informacin expuesta. Hacer un enfoque adecuado de la severidad de riesgos Riesgo = probabilidad de que suceda * impacto O sea, si algo puede suceder, despreciar el riesgo si no afecta a la continuidad o, por el contrario, tomar las medidas pertinentes para corregir esos fallos. 1. 2. 3. 4. 5. 6. Identificar el riesgo. Factores para determinar la probabilidad del riesgo Factores para estimar el impacto en el negocio, en los activos, etc... Determinar la gravedad del riesgo (valoracin numrica). Decidir qu corregir. Adaptar tu propio modelo de valoracin del riesgo.
13
PTES (PENETRATION TESTING EXECUTION STANDARD)

Interesante iniciativa que nos ofrece una gua que se une a las metodologas y guas de pruebas ya existentes. Pretende unir esfuerzos de analistas y expertos en seguridad para hacer un estndar que pueda completar una auditora en todos sus procesos ms habituales. En realidad, podemos asegurar que se enmarca en la metodologa OSSTMM, an sin depender de ella, siendo un proyecto nuevo. PTES divide la ejecucin de un test de intrusin en 7 fases, estas son:
Pre-engagement Interactions:
En este apartado bsicamente se define el mbito y alcance del test de intrusin. Se llega a un acuerdo con el cliente acotando la profundidad de las pruebas a realizar, permisividad de ataques (ataques DOS, fuerza bruta....), enfoque del test (caja negra, gris o blanca) presentacin de evidencias (goals), etc.
14
He preferido poner la imagen del mapa mental a explicar cada una de las subcategoras de esta metodologa tal y como hice con OWASP. En esta primera fase podemos destacar la idea de establecer el marco de trabajo de la auditora, tomando acuerdos con el cliente: contrato, confidencialidad, entrevistas y alcances varios... Trato con terceras partes. Aunque no acierto a verlo claramente, se deduce que hay acuerdo de inmunidad para el tester ?
Intelligence Gathering:
Recopilacin de informacin de inteligencia competitiva publicada en motores de bsqueda que nos dar una idea del objetivo que estamos estudiando y de las personas que trabajan dentro de la empresa...
15
En esta fase se incluye informacin sobre el sistema, parte planificada de la organizacin a travs de buscadores de todo tipo (sin que caiga en la simplicidad). Hay un anlisis que yo defino como intenso en cuanto a la identificacin externa e interna de servicios, mapeo, VoIP, protocolos en general que aparezcan disponibles. Y ms profundizacin si cabe en averiguar perfiles tanto de empleados como corporativos. Hasta la localizacin fsica de empleados, uso de redes sociales, etc. Aspectos competitivos pueden ser tenidos en cuenta, planes de mrketing, visin de productos...
Threat Modeling:
Con la informacin proporcionada por las dos fases anteriores, se definen lineas de negocios existentes, importancia de los activos IT (accesibles) visibles en nuestro estudio para definir vectores de ataques posteriores.
16
Una vuelta de tuerca ms: secretos comerciales, roles y privilegios, niveles ejecutivos, datos de usuarios, proveedores, clientes, etc. Perspectivas de negocio: I + D. Hasta el anlisis de los competidores es tenido en cuenta para ver si hay posibilidad de fuga de informacin.
Vulnerability Analysis:
Como su propio nombre indica entramos en materia. De forma activa y ya 'tocando' el objetivo, se identifican puertos y servicios existentes en busca, de forma manual y automtica vulnerabilidades existentes.
17
Dividida esta fase en testeo (activo y pasivo), validacin e investigacin. Recopilamos la informacin referida a servicios, network y web scanner, VoIP, etc. Identificados los puertos, esquemas posibles de ataques, validamos las posibles opciones reales de ataque y comprobamos que, efectivamente, pueden ser llevados a la prctica (Investigacin) con el consiguiente riesgo derivado. En la subfase de Investigacin llama la atencin la revisin de todo cuanto haya recopilado en internet acerca de las posibles brechas de seguridad y vulnerabilidades. Se sugiere la rplica del entorno de pruebas para garantizar, probablemente, que toda la infraestructura no se tocar hasta estar seguros de la viabilidad y verdadero alcance de la auditora.
Exploitation:
La fase de verificacin y explotacin de vulnerabilidades. Se contempla la forma de evasin de NIDS, HIPS, Antivirus y otras contramedidas existentes a nivel de red o EndPoint.
18
Un repaso a los vectores de explotacin real de los fallos del sistema. Aqu se revisan prcticamente todas las posibilidades (dependiendo de los servicios activos en la organizacin), desde el acceso fsico (localizacin, USBs, Man in the middle, etc) hasta las redes wireless, ataques web, asegurar contramedidas de bypass, una vez detectados...
Post Exploitation:
Esta fase se centra en la recopilacin de evidencias y en cmo valorar el impacto real de la intrusin y hasta donde podemos llegar desde el sistema comprometido. Se contempla borrado de huellas y hacer persistente el ataque (puertas traseras, conexin inversa o rootkits).
19
Qu se pueden llevar de nuestra organizacin? Conscientes de las posibilidades de explotar las fallas, debemos centrar los esfuerzos en proteger nuestra infraestructura de red, asegurar que no hay elementos que puedan proporcionar salida de datos (voz, vdeo, cintas, discos, etc). Recintos asegurados para esos elementos sealados, ms los Backups, documentacin, etc... Ojo a los ataques dirigidos contra el impacto directo en el negocio (listas de clientes por ejemplo, copias de seguridad borradas, discos daados, etc). Aqu no hay que escatimar recursos para la proteccin de estos elementos crticos. Atencin especial merece el hecho de que nuestra auditora debe ser limpia y no dejar rastro, como si no hubiramos estado por all. Garantizar que todo el sistema sea recuperable !! Por ltimo, muy significativa la referencia a la posible persistencia del dao en forma de control de certificados, backdoors, rootkits, conexiones inversas y otras formas de postexplotacin de la intrusin.
Reporting:
Explica qu deben contener los reportes (ejecutivo y tcnico) que entreguemos como conclusin de nuestro estudio.
20
Las razones para las que se solicit el test deben ser los primeros aspectos relevantes del informe final. Seguido de los posibles riesgos y su valoracin. Las mtricas utilizadas y las contramedidas propuestas para los riesgos analizados. Especial incidencia en la informacin obtenida o robada. La evaluacin de las vulnerabilidades encontradas, la confirmacin de que esas fallas han podido ser explotadas, junto con las contramedidas propuestas y probadas y otras derivadas Qu grado de exposicin podemos deducir que tienen los activos de la empresa u organizacin? Podemos calcularlo en funcin de la frecuencia, magnitud y riesgos derivados. Para aclarar: frecuencia y posibilidad van de la mano. Por ltimo, no pueden faltar en el informe nuestras conclusiones finales. Y no est de ms que el CEO de la empresa nos d su bendicin :-)
21
ISSAF (manualillo de 845 pginas)

La metodologa ISSAF est diseada para evaluar una red, los sistemas y la aplicacin de controles (segn la web OISSG, estos controles abarcan IEC/ISO 27001:2005(BS7799), Sarbanes Oxley SOX404, CoBIT, SAS70 and COSO). Curiosamente no est actualizada desde el ao 2006. Su objetivo es proporcionar procedimientos muy detallados para el testing de sistemas de informacin que reflejan situaciones reales. ISSAF es utilizado en su mayora para cumplir con los requisitos de evaluacin de las organizaciones y puede utilizarse adems como referencia para nuevas implementaciones relacionadas con la seguridad de la informacin. ISSAF est organizado segn unos criterios de evaluacin bien definidos, cada uno de estos ha sido revisado por expertos en la materia entre estos expertos podemos encontrarnos a Balwant Rathore, Mark Brunner, Piero Brunati, Arturo Busleiman (Buanzo), Hernn Marcelo Racciatti, Andrs Riancho, entre otros. Utiliza un enfoque que se lleva a la prctica en tres fases y se evala en 9 pasos. Las tres fases son las siguientes: Planificacin y Preparacin Evaluacin (impactos, riesgos, etc...) Informe, Limpieza (borrado de pistas) y destruccin de artefactos.
FASE 1: Planificacin y preparacin.

En esta fase se prepara el entorno de trabajo, el test. Antes de la planificacin se firmar un Acuerdo de Evaluacin o contrato en el que se delimitan las funciones y responsabilidades. Proteccin legal mutua en la que se dan mutuas garantas. Reuniones para decidir el alcance, el enfoque y las metodologas del test, lmites del mismo y rutas de escalamiento, as como las pruebas del test.
FASE 2: Evaluacin.
Es donde se lleva a cabo el test de penetracin propiamente dicho. Digamos que utiliza un enfoque por capas y cada una de ellas nos lleva a un nivel de acceso ms grande a los activos. Las capas podemos enumerarlas como sigue:
22
Information Gathering (obtener informacin). Explorar las posibilidades de ataques. Tanto desde dentro como desde fuera. Vale cualquier documento que pueda desembocar en una posibilidad de comprometer los sistemas. Incluso se sugiere: empleados, partners de negocio, de tecnologas, inversiones, presencia web, topologa de red, implementacin de tecnologas, datos como telfonos, e-mails, informacin personal, bloqueo de propiedad de IP (de modo que no se conozcan datos precisos sobre los dueos de los dominios). Quede claro que esta capa de trabajo puede hacerse de forma activa o pasiva (vemos similitudes con OWASP y PTES). Es importante resear que ISSAF hace, adems de una explicacin detallada de estas capas, acopio y ejemplo de herramientas posibles de uso, muchas de ellas contrastadas por expertos (dig, nslookup, nmap y otras herramientas disponibles como herramientas de adquisicin de informacin en la web, inclusive P2P, IRC, foros underground, etc). Network Mapping (mapeo de la red) Esta seccin se centra en aspectos ms tcnicos casi en exclusiva. El mapero de la red incluye las topologas, los routers, dispositivos de red, firewalls, nombres de hosts, Netbios, servidores activos, puertos abiertos en los distintos ordenadores, uso que se hace de cada uno de ellos, traceroute, sistemas operativos, acceso de cuentas de invitado, etc... Vulnerability Identification (identificacin de vulnerabilidades) Es un paso ms all en la profundizacin del conocimiento de los sistemas objetivos. Precisamos el alcance de los tests de intrusin al poseer un conocimiento casi exhaustivo de todo cuanto se cuece en la organizacin. Es decir, vamos a refinar, a tunear el ataque como un sistema planificado. Todas las armas de intrusin masiva deben estar preparadas para el despliegue (nikto, nessus, openvas, whisker, etc). servicios vulnerables ajustar los scanners de vulnerabilidades identificar fallas no conocidas o errores en las vulnerabilidades listar las vulnerabilidades Ojo con falsos positivos y falsos negativos medidas inmediatas de minimizacin de los fallos clasificar los riesgos tcnicos en funcin de las vulnerabilidades halaldas posible impacto
Las vulnerabilidades deben ser clasificadas como: de alto riesgo (rojo), riesgo medio (naranja) y riesgo bajo (azul)... Realizar una plantilla o matriz donde se valora el riesgo y el impacto en los activos de la organizacin.
23
Penetration (penetracin) Una vez tenemos las armas de penetracin listas, probamos a ver qu resultados nos ofrecen a travs de pruebas de concepto conocidas, manipuladas o hechas a medida por nosotros mismos (cdigo + herramientas). Gaining Access & Privilege Escalation (ganar acceso y escalado de privilegios) Ganar privilegios: desde el ms elemental hasta el root para asegurarnos de controlar y comprometer los sistemas. Probamos hasta el mximo de control posible. Enumerating Further (podemos traducir como extra enumeracin de objetivos) Ataque a passwords, esnifar trfico de red y analizarlo, hacernos con cookies, direcciones de correo (mensajes incluidos), routers y redes (passwords por defecto), maper completo de la red). Compromise Remote Users/Sites (usuarios y sitios remotos comprometidos) El auditor y asesor debera tratar de comprometer los sistemas y hacerse con el mximo de contarseas y sistemas... Una vez conseguido le dar acceso a sistemas tanto dentro como fuera de la red objetivo. Usar firewall en escritorios remotos de los usuarios... para tratar de contener el acceso a cualquier parte de la red. Maintaining Access (mantenimiento del acceso y privilegios ganados) Se trata de lograr que el control sobre los sistemas comprometidos sea eficaz y pase desapercibido para el resto de usuarios y/o Administradores. Para ello, se habla de canales disimulados o secretos (a prueba de detecciones?). Estos canales ocultos pueden ser descritos como la escritura de datos ocultos en un medio o varios de almacenamiento no descrito, no publicado. Elegir el modo de comunicacin encubierto es el objetivo de esta accin. Usaremos SSL tneles, proxys, ssh, etc... En general, se controla de forma oculta una o varias mquinas del sistema objetivo. Con troyanos, backdoors, rootkits, etc. Covering Tracks (cubriendo pistas o borrado de huellas si se prefiere). Cubrir las pistas... Todas a ser posible. Conocer todos los posibles mtodos de ocultacin de pruebas, ocultar keyloggers, herramientas, exploits, archivos, etc. Mtodos esteganogrficos. Carpetas ocultas en sistemas windows y GNU/linux... Limpiar logs (si es que no estn en otro sitio replicados). Manipular logs en windows y en GNU/Linux. La imagen que nos muestra el esquema de reas a tener en cuenta en la fase de evaluacin es 24
muy explcita. Hay que aclarar que estas reas son cclicas e iterativas; es decir, que se repiten y se revisan en el mismo proceso de evaluacin. No obstante, el proceso de pentesting y auditora no termina aqu. Dejar claro que hay diferencias entre auditar y penetrar el sistema. Siempre la auditora establece mecanismos amplios de trabajo, mientras que la penetracin es una parte de la auditora.
25
FASE 3: Informe, limpieza y destruccin de artefactos

La fase final en la que podemos y debemos hacer dos tipos de informes: Uno de ellos verbal, solamente si hay que informar de alguna vulnerabilidad grave. El otro al que denomina Informe final que, lgicamente, se ra una descripcin detallada al mximo. Debe contener apartados como: Sumario de la gestin llevada a cabo Alcance global del proyecto (y salida de las partes) Herramientas utilizadas (incluyendo exploits). Fechas y horas de los tests en los sistemas Todas las conclusiones de los tests diseados (incluyendo informes especficos de vulnerabilidades que se adjuntan como documentos aparte). Un listado de todas las fallas y vulnerabilidades encontradas, as como las recomendaciones y contramedidas para solucionarlas. Un listado de puntos de intervencin. Primero las mejoras y luego las propuestas de solucin.
Por ltimo, remover archivos, rastro de intervencin, manipulacin de sistemas y explotacin de fallas... Si algo no se puede limpiar, hay que advertirlo para que en otro momento se proceda a ello. ANEXO IMPORTANTE: Manejo de medidas de falsos positivos. Podemos, antes de seguir profundizando en esta metodologa, afirmar que las tres fases anteriores quedan establecidas como estrategia y que lo que a continuacin se relata y se enumera brevemente (por falta de tiempo y no ser objeto del trabajo), se puede considerar como una metodologa entendida como un todo agrupada en 4 reas de aplicacin de tests que poseen a su vez subreas de aplicacin de tests ms especficas:
NETWORK SECURITY:
Passwords audit Seguridad en switchs Seguridad en routers Evaluar seguridad de los firewall Evaluar seguridad de deteccin de intrusiones Evaluar la seguridad de las VPN Evaluar la gestin y estrategia en uso antivirus. Seguridad del rea de almacenamiento de red (y en red). Evaluar seguridad Wireless Seguridad del usuario de Internet 26
Seguridad servidores AS-400 (IBM?). Entiendo que extensivo a otros tipos de servidores. Seguridad Lotus-Notes (entiendo que es aplicable a cualquier otro tipo de software de gestin y ofimtica en intranet)
SEGURIDAD DE CLIENTES DE RED (HOSTS):

Evaluacin de la seguridad de los sistemas GNU/Linux) Evaluacin de la seguridad de los sistemas Windows Evaluacin de la seguridad de los sistemas Novell Netware Evaluacin de la seguridad de los servidores web
SEGURIDAD DE APLICACIONES:
Evaluacin de la seguridad de las aplicaciones web en general Evaluacin de la seguridad de las aplicaciones web (SQL injection) Auditar el cdigo fuente de sistemas (kernel Linux puede ser, pero Windows estamos apaaos) y aplicaciones. Auditora de binarios Checklist de evaluacin de seguridad en las aplicaciones
SEGURIDAD DE LAS BASES DE DATOS:

Evaluar la seguridad de las BD Ingeniera social
27
OSSTMM (Open Source Security Testing Methodology Manual).

Si la anterior metodologa la podemos considerar un framework, esta es una metodologa de libro, de manual. La ISSAF se explayaba en 845 pginas y sta, a pesar de tener solamente 213 pginas, es considerada meticulosa como ninguna. Revisada recientemente, se encuentra en la versin 3.0 lo que nos da una idea de su constante revisin y actualizacin tanto conceptual como estratgica. De momento, no hay traduccin espaola. Est diseada para ser consistente y repetible y ofrece al mismo tiempo que una estrategia, tests de evaluacin y medida de riesgos, una valoracin intrnseca en funcin de los resultados arrojados por los tests. Esto en si mismo es novedoso en comparacin a las otras metodologas y garantiza esa meticulosidad de la que hace gala y comentamos en la introduccin de este apartado. La valoracin de las versiones anteriores son incompatibles con la nueva versin. De hecho, ya establece de antemano la posibilidad de usar hasta 4 tipos de tests en funcin del alcance y necesidades programadas.
DEFINIR UN TEST DE SEGURIDAD:

Podemos establecer 7 pasos para la definicin de las pruebas que realizar el analista: Definir qu queremos proteger: los activos. Los mecanismos de proteccin son los controles que pondrs a prueba para encontrar sus limitaciones. Identificar la zona, el rea que denominaremos zona de acuerdos alrededor de la cual hay procesos , mecanismos y servicios construidos para proteger esos activos. Definir la zona externa que necesitas para proteger las operaciones de tus activos... hay aspectos sobre los que podremos incidir (electricidad, agua, aire, alimentacin, etc) y otros sobre los que no (humedad, sequedad, colegas, partners, socios, etc...). Esto es, definir el alcance del test. Definir como el alcance interacta dentro y fuera. Compartimentar los activos y la direccin desde la que se interacta con y hacia ellos: dentro-fuera, fuera-dentro, dentrodentro, fuera-fuera, desde el Departamento A hacia el B... Estos son los vectores. Cada vector debera ser de forma ideal un test separado para proteger cada test por separado y de corta duracin, antes de que pudiera incidir demasiado en cambios dentro del entorno de trabajo. Decidir qu equipamiento ser necesario para cada test. Dentro de cada vector puede suceder que la interaccin suceda a varios niveles. Estos niveles pueden ser muchos, pero hemos separado 5 canales por funcin. Cada canal debe ser probado separadamente para cada vector. Preparar qu informacin pretende extraer de cada prueba. La respuesta de los activos a cada medida de seguridad. Los tipos de test deben ser definidos para cada prueba 28
especfica. Asegurar que las pruebas de cada test cumplen o estn conformes con las Reglas de Acuerdos (contratos) previos. No hay que crear falsas expectativas, incomprensiones y malos entendidos.
El resultado final ser lo que denominamos: Superficie de ataque (extensin y profundidad del ataque es ms correcto).
TIPOS DE TESTS DE SEGURIDAD:

La eleccin del tipo de test no determina ni orienta la aplicacin de todo el sistema de la metodologa. La implementacin prctica de OSSTMM requiere la definicin individualizada de las pruebas prcticas. Esto significa que seguir esta metodologa su aplicacin y su tcnica reflejar el tipo de test que hayamos elegido. Estos pueden ser (y no se limita a estas combinaciones): Blind (a ciegas): el auditor interacta con el objetivo sin conocimiento previo de sus defensas, activos o canales (entendidos como vas de acceso)... El objetivo es preparado para ir avanzando en su conocimiento. Este tipo de test pone a prueba al propio auditor. Este conocimiento ser mayor cuanta mayor sea la preparacin del auditor. Unos le llaman hacking tico y otros juegos de guerra. Double blind (doblemente a ciegas): tambin conocido como tcnica black box (caja negra). No se sabe bien qu es lo que nos vamos a encontrar. Prcticamente no se sabe nada del objetivo y ser puesto a prueba de forma brusca a veces. Su xito depende de la calidad del auditor... Gray box (caja gris): el auditor tiene un conocimiento limitado de las defensas del objetivo y de sus activos, pero sabe todo acerca de sus canales. El objetivo conoce el alcance de la auditora, pero no las vas y vectores de ataque. La eficacia de este tipo de test depender de la calidad de la informacin provista al auditor antes de que el conocimiento del test revele su aplicabilidad (o no?). Double gray box (o tambin white box): El auditor tiene tambin un conocimiento limitado de sus defensas y activos y un completo conocimiento de sus canales. Le diferencia del anterior el hecho de que depender no solamente de la calidad de la informacin de la que sea provista el auditor, sino tambin de la que reciba el objetivo. Tndem: Ambas partes conocen todos los detalles de la auditora. Se pone a prueba la proteccin y los controles aplicados en el objetivo. La verdadera naturaleza de los tests depende de la meticulosidad con la que se preparen para tener una visin global de los tests y sus respuestas. Se le llama Cristal box o proceso transparente donde el auditor ya forma parte del equipo de seguridad y control de los procesos. Reversal (Reversible): el auditor trabaja con pleno conocimiento de todas las operativas, pero el objetivo (podemos traducirlo como cliente tambin) no sabe cmo, ni con qu, ni cuando el auditor le auditar... Todo el proceso depender de la creatividad y conocimientos del auditor. En el informe se har constar cul o cules tipos de tests han sido utilizados. Es importante comparar posibles desviaciones en comparacin con otros procesos en similares circunstancias.
29
EL ALCANCE (scope):
El alcance comprende 3 canales (vas de acceso) posibles de actuacin e interaccin: COMSEC (communications security), PHYSSEC (physical security), and SPECSEC (spectrum security) . Una meticulosa auditora requiere de pruebas en los tres canales, en realidad, las auditoras van a depender de la pericia del auditor y los medios y equipamiento requerido. Este manual disecciona estos 3 canales en 5 secciones lgicas:
Queda representada as la estructura de canales y secciones: CHANNEL SECCIN HUMANO PHYSSEC (entorno fsico) FSICO DESCRIPCIN
Comprende el elemento humano de comunicacin donde la interaccin puede ser fsica o sicolgica. Pruebas de seguridad fsica los canales son ambos a la vez fsicos y no electrnicos. Comprende elementos tangibles donde es necesario esfuerzo fsico o un transmisor de enrga para manipulacin. ELSEC (comunicaciones electrnicas) SIGSEC (seales) EMSEC (emanaciones no encadenadas por cable)
SPECSEC (espectro... wireless)
Wireless communications
30
Todos los sistemas y redes de datos sobre redes cableadas...
Redes de datos COMSEC Telecomunicaciones Comunicaciones digitales o analgicas, telefnicas sobre redes
de lineas.
LAS REGLAS DE ACUERDOS (CONTRATOS):

Para no extenderme en los apartados que definen los distintos acuerdos y sus contenidos, dir que OSSTMM es pulcro y claro en este terreno. Es tico hasta en el detalle. Ni ofrece ms de lo necesario, ni regala los odos del cliente. Hay ciertos lmites que todo auditor que use esta metodologa deber respetar... Para muestra, un botn: no usar el miedo, la duda y el engao como parte del marketing y el proceso de ventas..., si fallan los tests, est prohibido ofrecer servicios gratis, etc... El alcance debe estar perfectamente definido antes de proceder a la auditora... La planificacin de cada test debe estar limitada al rea de experiencia de cada miembro del equipo o a la del auditor encargado... Hay ms, pero no es objeto del estudio presente. Nos centraremos en los aspectos metodolgicos.
RESULTADOS DE LOS TESTS:

Los resultados de los tests van acompaados habitualmente de las soluciones recomendadas. stas a veces son un valor aadido en el trabajo de auditora, pero no son obligatorias. Ms incluso, las soluciones no forman parte de las auditoras OSSTMM. El uso de esta metodologa debera concluir con STAR (Security Test Audit Report), informe de la auditora del test de seguridad... Este tipo de certificacin para empresas, requiere la siguiente informacin: fecha y hora de los tests duracin nombre de los analistas responsables tipo de test alcance del test index o mtodo de enumeracin de objetivos canales testeados vector o vectores del test mtrica de la superficie de ataque (extensin del ataque) cules se han completado y cules no 31
cualquier asunto considerando la validez del test y los resultados procesos que puedan influenciar limitaciones en la seguridad cualquier anomala detectada
El uso completo de OSSTMM muestra una actualizado medicin de los controles de seguridad. La no representacin de los informes puede inducir a una fraudulenta verificacin de los controles de seguridad. El analista debe aceptar su responsabilidad en los informes inapropiados e imprecisos.
COMPRENDIENDO LA METODOLOGA OSSTMM:

OSSTMM no permite una separacin entre la recoleccin de datos activos y la verificacin a travs del efecto de la alteracin (el proceso de tests). No diferencia entre pruebas activas y pasivas. La metodologa requiere ambas cosas. Es ms, el auditor puede no ser capaz de diferenciarlas. Armonizar OSSTMM con otras metodologas puede ser contraproducente, solo en la medida que esas constrian el fluido de esta metodologa ralentizando el proceso ? Para elegir el tipo de test adecuado hay que comprender primeramente como estn diseados los MDULOS para trabajar. Dependiendo de la empresa, el tipo de negocio, el tiempo disponible, los requerimientos de la auditora, el auditor puede planificar y distribuir los detalles de la auditora por FASES. Hay cuatro fases para la ejecucin de esta metodologa:
A. FASE REGULATORIA
Cada viaje empieza en una sola direccin. A menudo el tipo de test se decide aqu. Habr que tener en cuenta los requerimientos y los lmites de la auditora, as como el alcance y las restricciones del alcance. Me salto los apartados dentro de esta fase...
B. FASE DE DEFINICIONES
Conocimiento del alcance interactuando con los objetivos (blancos de la auditora) y los activos. Aqu s se tiene constancia de la definicin clara del alcance de la auditora. Me salto los apartados dentro de esta fase...
C. FASE DE INFORMACIN
Muchas de las auditoras son sobre la informacin que no est cubierta. Los varios tipos de valores, as como los activos mal ubicados y desatendidos y mal gestionados, son sacados a la luz. 32
D. FASE INTERACTIVA DE PRUEBA DE CONTROLES
Centrada en la penetracin misma y en los trastornos que conlleva. Suele ser la fase final de los tests. Asegurarse de que las perturbaciones son poco invasivas y que el efecto de la informacin extrada no pueda ser conocida hasta que otras fases hayan sido llevadas a efecto. Hay que verificar que las conclusiones son ciertas.
MTRICAS OPERATIVAS DE SEGURIDAD:

Una mtrica operativa es una medida constante que nos informa cuantitativamente de la relacin de hechos que acontecen en nuestra vida, a nuestro alrededor. Por analoga, en OSSTMM las mtricas se usan para medir el grado de seguridad de nuestros activos. En el argot de esta metodologa, se usan unos patrones denominados Rav (Risk Assesment Values), valores de evaluacin de riesgos.
33
Cmo se hace y calcula un Rav:
En el resto del apartado del manual se hacen sesudas consideraciones para ensear a hacer clculos Rav. En otra versin de este documento podramos ocuparnos de ello. El esquema es elocuente ya que nos dice qu factores debemos tener en cuenta para hacer los clculos en funcin de la permeabilidad de nuestros activos, si existen o no controles y los lmites de acceso a los mismos. Las frmulas derivan del esquema anterior y del siguiente:
En la imagen inferior aparece visible como se calcula la porosidad (trmino de penetracin) de un activo como parte de la frmula de un Rav:
34
La metodologa se resume en separar lo que se necesitar hacer en: CANAL MDULO TAREAS Esto se puede revisar al principio del apartado de esta metodologa. Hay buenas razones para usar Ravs y proteger los activos...
MAPA MENTAL DE OSSTMM (gracias a un ruso):
Puedes verlo ms claramente en: http://img21.imageshack.us/img21/459/osstmm.png 35
COMPARATIVA DE LAS METODOLOGAS EN CUESTIN:

No quiero ser pretencioso en la comparativa. Del estudio realizado no podemos extraer sesudas conclusiones que reflejen gran profundidad de lectura y anlisis. Una aproximacin, s. MTODOS ISSAF PATRONES (TEMS)
Alta. Alta. Muy Alta. Muy Alta. Rigor de la Desactualizada. Ao Desactualizada. Ao Solo centrada en la Actualizada y en metodologa 2006. 2008 web, pero muy constante revisin (meticulosidad) didctica e instructiva Muy detallada, pero sencilla. Faltan elementos de cloud computing y Proteccin datos Perfectamente detallada. Los procesos en su aplicacin estn perfectamente definidos aunque no se tienen en cuenta novedades en la metodologa. Alta. Aparenta sencillez, pero requiere entrenamiento. Muy detallada. Su Menos detalle a mi enfoque web no le juicio. Parece como si resta ni un pice de la experiencia de uso meticulosidad. de anteriores versiones diera lugar a Orienta perfectamente crear la necesidad de el trabajo del auditor. formacin previa.
PTES
OWASP
OSSTMM
Niveles de detalle
Facilidad de uso
Muy Alta. Se puede usar con conocimientos medios.
Alta. Muy tcnico, Media. Muy tcnico. aunque muestra uso Requiere de herramientas, entrenamiento y sugiere usos y muestra prctica. ejemplos. Certificaciones.
mbitos de aplicacin
GENERAL. PYMES, ORGANIZACIONES TODO TIPO DE TODO TIPO DE ORGANIZACIONES COMPLEJAS. ORGANIZACIONES ORGANIZACIONES E INSTITUCIONES PYMES, financieras. CON PRESENCIA Y PYMES. VARIAS WEB INSTITUCIONES EDUCATIVAS Todos. Genrico para auditoras de todo tipo. Servidores IBM nicamente? Fcil. Es lineal y cubre las etapas tpicas de una auditora con test de intrusin. Ampliamente usado ya que respeta los modelos NIST (que se tienen muy en cuenta en USA) Todos. En combinacin con otra metodologa como OWASP, sera ideal. Solo web y Todos. Incluso los que aplicaciones todava no se han enfocadas a la web. implementado. Es Servidores. dinmica y potente en su diseo. Muy usado tambin en combinacin con el resto de metodologas por su precisin y nivel de detalle. Detrs hay muy importantes empresas e instituciones que quieren que esta metodologa se desarrolle plenamente El ms usado por lo que he podido averiguar en Internet, aunque la tendencia es simplificar (tipo ISSAF), su uso supone un conocimiento y experiencia alto.
Entornos de aplicabilidad
Uso por los auditores
Menos usado. Creo que el que menos, aunque he averiguado que hay empresas que combinan esta y otras metodologas.
36
MTODOS ISSAF PATRONES (TEMS)

Fase de evaluacin conocida. Uso frecuente del mtodo. Pasos ms desgranados en el pentest. Facilita el informe en funcin de los pasos seguidos y los resultados obtenidos. Recomienda herramientas para la evaluacin. Metodologa archiconocida como ISSAF. Similitudes con OSSTMM 2.1 Muy definidos los controles y las maniobras de pentesting. Ofrece una buena gua de como deben ser conducidas las necesidades del testeo. Facilidad de uso de los controles ms conocidos Top Ten. Novedoso y bien estructurado. Se preocupa de las auditoras de la web = elemento centrado en el marketing y el negocio. Propone hasta las herramientas de uso. Muy didctico podra servir para aprender los fundamentos de las auditoras y pentesting. Ampliamente documentada, soporte de la Comunidad. Pone a punto plantillas de uso y medidas. Se integra y tiene en cuenta todos los estndares de seguridad de la informacin. Ofrece una calidad incuestionable de resultados. No se hace referencia a qu tipo de objetivos para cada tipo de test. El cambio con respecto a la 2.1 supone una lectura y prctica intensa. No recomienda ninguna herramienta.
PTES
OWASP
OSSTMM
Ventajas
Inconvenientes
Falta concretar acuerdos, no seala lmites en el uso de los tests. Menos rigurosa que el resto. Podra escaparse de las manos el uso de los tests de intrusin. Inmaduro en cuanto a desarrollo. Estancado y menos dinmico que el resto.
Proyecto incompleto pero con buenas perspectivas. Se ha hecho un llamamiento a la colaboracin, pero parece que este intento de estndar est condenado a dormirse.
Habra que combinar con otras herramientas y metodologas para que la auditora fuera ms completa. No olvidemos que la infraestructura de la web y los servidores no son auditados. Se basa ms en la Debe actualizarse o, al creatividad del auditor menos, revisarse. y tambin en su experiencia. No permite o es reacia a combinar su metodologa con otras. Loables y detalladsimos procesos y controles. Podra combinarse con otras metodologas porque su nivel de precisin es excelente. Junto con OWASP podra ser el primer paso en el aprendizaje de las auditoras. Menos agresiva e intrusiva, fcilmente se pueden borrar las huellas de paso. Al igual que ISSAF es agresiva y muy intrusiva, pero deja muy clara su postura en cuanto a los lmites en los acuerdos con el cliente (objetivo)... Echo de menos un listado de herramientas sugeridas para cada fase.
Comentario y valoracin personal
Un poco desactualizada. Al ser una metodologa lineal (aunque se seale como cclica), es de fcil uso y la prctica puede aplicarla auditor sin experiencia. Metodologa agresiva e intrusiva
Maximiliano Prez Elche, Marzo 2012 37

Metodologias Más Usadas en Pentesting. Estudio Comparativo.

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Metodologias Más Usadas en Pentesting. Estudio Comparativo.

Загружено:

Авторское право:

Доступные форматы

MDULO 3: AUDITORAS Y SEGURIDAD. TEMA 4: COMPARATIVA METODOLOGAS AUDITORAS Y PENTESTING.

Maximiliano Camilo Prez Fernndez

Elche, Febrero de 2012

DEFINICIONES PREVIAS DE LAS METODOLOGAS:

Testing: spiders, robots, and crawlers (owasp-ig-001)

Cmo poner a prueba http://www.google.com/robots.txt).

Search engine discovery/reconnaissance (owasp-ig-002)

Abreviando: qu posibilidades de ataque ofrece la aplicacin objetivo (GET y POST).

Conocer la versin y tipo del servidor web es imprescindible.

II. CONFIGURATION MANAGEMENT TESTING

Verificar que el cifrado es fuerte!

Incorrecta configuracin de bases de datos.

Application Configuration Management Testing (OWASP-CM-004)

III. AUTHENTICATION TESTING

El uso de protocolos seguros que les protejan de un posible atacante.

Cuentas de usuario por defecto?

Testing for vulnerable remember password and pwd reset (OWASP-AT-006)

Ojo con la funcin password remember de los navegadores.

La salida del sistema se hace en las condiciones adecuadas.

IV. SESSION MANAGEMENT TESTING

Si no renuevas las cookies, se pueden reutilizar.

Si podemos replicar los tokens de sesin, ya estamos dentro.

Acceder a informacin reservada a travs de ataque de ruta transversal.

Verificar que no es posible modificar roles y privilegios para cualquier usuario.

VI. BUSINESS LOGIC TESTING (OWASP-BL-001)

VII. DATA VALIDATION TESTING

Inyectar datos a travs de una consulta a la BD.

Similar a SQL injection. 10

ORM Injection (OWASP-DV-007) XML Injection (OWASP-DV-008)

Probamos a inyectar un documento xml. Si falla el parser, tenemos vulnerabilidad.

Inyectar cdigo dentro de la pgina html.

Inyectar datos para bypass el mecanismo de autenticacin.

Cdigo malicioso que pueda ser ejecutado.

Inyectar un comando de sistema a travs de una consulta http.

VIII. DENIAL OF SERVICE TESTING

IX. WEB SERVICES TESTING

AJAX Vulnerabilities (OWASP-AJ-001)

Podemos combinar varias tcnicas de ataque (SQL injection, XSS, etc)

XI. WRITING REPORTS: VALUE THE REAL RISK

HOW TO VALUE THE REAL RISK

PTES (PENETRATION TESTING EXECUTION STANDARD)

ISSAF (manualillo de 845 pginas)

FASE 1: Planificacin y preparacin.

FASE 3: Informe, limpieza y destruccin de artefactos

SEGURIDAD DE CLIENTES DE RED (HOSTS):

SEGURIDAD DE LAS BASES DE DATOS:

OSSTMM (Open Source Security Testing Methodology Manual).

DEFINIR UN TEST DE SEGURIDAD:

TIPOS DE TESTS DE SEGURIDAD:

SPECSEC (espectro... wireless)

Todos los sistemas y redes de datos sobre redes cableadas...

LAS REGLAS DE ACUERDOS (CONTRATOS):

RESULTADOS DE LOS TESTS:

COMPRENDIENDO LA METODOLOGA OSSTMM:

D. FASE INTERACTIVA DE PRUEBA DE CONTROLES

MTRICAS OPERATIVAS DE SEGURIDAD:

Cmo se hace y calcula un Rav:

MAPA MENTAL DE OSSTMM (gracias a un ruso):

Puedes verlo ms claramente en: http://img21.imageshack.us/img21/459/osstmm.png 35

COMPARATIVA DE LAS METODOLOGAS EN CUESTIN:

Muy Alta. Se puede usar con conocimientos medios.

Uso por los auditores

MTODOS ISSAF PATRONES (TEMS)