Introducción al Pentesting @ingbruxo 2do. Día del Software Libre Free Security, Tuxtepec Oaxaca Antonio Toriz Ing. en computación Marzo 2012.
Introducción alPentesting
@ingbruxo
2do. Día del Software LibreFree Security, Tuxtepec Oaxaca
Antonio TorizIng. en computación
Marzo 2012.
¿Qué es un pentesting?Un Penetration Testing o pentesting, es un procedimiento metodológico y sistemático en el que se simula un ataque real a una red o sistema, con el fin de descubrir y reparar problemas de seguridad.
¿Has sido penetrado?
@ingbruxo
Introducción al pentesting.
El proceso implica un análisis activo del sistema de las vulnerabilidades potenciales que podrían resultar de mala o incorrecta configuración del sistema, tanto conocidas como desconocidas fallas de hardware o software.
@ingbruxo
Introducción al pentesting.
Este análisis se lleva a cabo desde la posición de un atacante potencial y puede implicar la explotación activa de vulnerabilidades de seguridad.Los problemas de seguridad descubiertos a través de la prueba de penetración se presentan para el dueño del sistema.
@ingbruxo
Introducción al pentesting.
@ingbruxo
Introducción al pentesting.
El pentester debe tener conocimientos en programación para la creación de herramientas y códigos, procesamientos sistemáticos de pruebas, creación de documentaciones, escritura de reportes y presentar resultados de sus investigaciones a técnicos y áreas de administración.
@ingbruxo
Introducción al pentesting.
¿Para qué se hacen las pruebas?
Las pruebas de penetración son valiosas y necesarias por varias razones: Determinar la viabilidad de un determinado conjunto de vectores de ataque.La identificación de las vulnerabilidades de alto riesgo que resultan de una combinación de menor riesgo vulnerabilidades explotadasen una secuencia particular.
@ingbruxo
Introducción al pentesting.
Pruebas de Penetración vs Auditoría•
• Auditoría- Análisis.• Los archivos de configuración.• Arquitectura.• Código fuente.- Política de conformidad.• Planes y Procedimientos Operacionales.
@ingbruxo
Introducción al pentesting.
Pruebas de Penetración vs Auditoría• Pruebas de Penetración
- Simulación de un atacante motivado por una cantidad específica de tiempo.
- Caja Negra (procedimientos de auditoria a una aplicación sin conocimiento del código fuente y sin información privilegiada).
- Caja Blanca (cuando se tiene información total sobre la aplicación auditada, incluye también saber el código fuente).
- Es más como una instantánea de la seguridad actual de un sistema o un de procesos de negocio.@ingbruxo
Introducción al pentesting.
¿Dónde aplica?Una prueba de penetración debe llevarse a cabo en cualquier sistema informático que se va a implementar en un entorno hostil, en particular, los de Internet previo a que este se implemente (hay excepciones).
@ingbruxo
Introducción al pentesting.
Esto proporciona un nivel de aseguramiento contra cualquier usuario malicioso, el cual no será capaz de penetrar en el sistema.
Las pruebas de penetración se pueden realizar de varias maneras.
La forma más común es la cantidad de conocimiento de los detalles de implementación del sistema que se prueba, los cuales deben conocer los pentesters.
Existen estándares como ISO/IEC 17799 para correcto uso de la seguridad de la información y metodologías como NIST SP 800-42.
@ingbruxo
Introducción al pentesting.
@ingbruxo
Introducción al pentesting.
Cliente solo da dominio o IP.
Por ejemplo:Telmex.com200.33.146.193
Identificar puertosprendidos y servicios que esta corriendo: puede ser TCP/UDP
@ingbruxo
Introducción al pentesting.
Conocer la información de la configuración del equipo, para ello usamos un Dirlist (lista de directorios) por equipo en especifíco.
@ingbruxo
Introducción al pentesting.
Usamos Nessus, retina o algún otro scanner de puertos para conocer vulnerabilidades en puertos activos.
Posteriormente hacemos pruebas específicas para cada tipo de servicio o puerto.
@ingbruxo
Introducción al pentesting.
Si hay puertos web sehacen pruebas manuales o automáticas para saber que métodos están permitidos .
@ingbruxo
Introducción al pentesting.
Obtención de versión de servidor, páginas de bienvenida, IP, http, https, conocer subdominios y todo lo que se pueda sacar.
Hacer Ingeniería reversa y/o ataques al servidor, por ejemplo con XSS, DDOS entre otros.
Al final se hace un reporte el cual se entrega a la empresa que nos contrato para saber si es segura su web, en la cual se redactan las recomendaciónes y prioridades en caso deque existan.
Identificación de las vulnerabilidades que pueden ser difíciles o imposibles de detectar con la red automatizada.
Debe existir capacidad de los defensores de la red para detectar con éxito y responder a los ataques.
Elementos de prueba de apoyar una mayor inversión en personal de seguridad y tecnología.
@ingbruxo
Introducción al pentesting.
Cada día hay más empresas preocupadas por capacitar a su personal informático, actualmente existen cursos incluso en línea para aprender técnicas de pentesting.En México ya es común encontrar vía Internet ofertas laborales donde se solicita expertos en seguridad informáticaespecializados en pruebas de penetración web.
Curso Back°Track 5Hector Lópezhttp://vimeo.com/cursobacktrack5
@ingbruxo
Introducción al pentesting.
Lo que debes de saber o hacer• Idioma inglés.• Al menos manejar 3 lenguajes de
programación.• Conocer al menos 3 sistemas operativos.• Estar consciente de que nada es
realmente seguro.• Hacer diversas pruebas de ataque a tus
propios equipos.• Leer libros serios sobre seguridad
informática.• Conocer leyes de seguridad informática.
@ingbruxo
Introducción al pentesting.
Oportunidades laborales• Ser un pentester en México aún no esta
saturado.
• El pago a un pentester es alto en México, pero se requiere mucha habilidad, experiencia y certificaciones.
• Las empresas que contratan a hackers éticos «(pentester), facilitan la capacitación en el extranjero.
@ingbruxo
Introducción al pentesting.
¿A quién seguir?
Andréz Velázquez@cibercrimen
Héctor López@hlixaya
Código Verde@codigoverde
Roberto Martínez@r0bertmart1nez
Enrique Sánchez@nahualito
´Pedro Joaquín@_HKM
Paulino Calderon@calderpwn
Sandino Araico@kbrown
Alejandro Hernández@nitr0usmx
@ingbruxo
Introducción al pentesting.
¿Preguntas?
@ingbruxo
Introducción al pentesting.