Introducción al pentesting free security

Introducción alPentesting

@ingbruxo

2do. Día del Software LibreFree Security, Tuxtepec Oaxaca

Antonio TorizIng. en computación

Marzo 2012.

¿Qué es un pentesting?Un Penetration Testing o pentesting, es un procedimiento metodológico y sistemático en el que se simula un ataque real a una red o sistema, con el fin de descubrir y reparar problemas de seguridad.

¿Has sido penetrado?

@ingbruxo

Introducción al pentesting.

El proceso implica un análisis activo del sistema de las vulnerabilidades potenciales que podrían resultar de mala o incorrecta configuración del sistema, tanto conocidas como desconocidas fallas de hardware o software.

@ingbruxo


Este análisis se lleva a cabo desde la posición de un atacante potencial y puede implicar la explotación activa de vulnerabilidades de seguridad.Los problemas de seguridad descubiertos a través de la prueba de penetración se presentan para el dueño del sistema.

@ingbruxo


@ingbruxo


El pentester debe tener conocimientos en programación para la creación de herramientas y códigos, procesamientos sistemáticos de pruebas, creación de documentaciones, escritura de reportes y presentar resultados de sus investigaciones a técnicos y áreas de administración.

@ingbruxo


¿Para qué se hacen las pruebas?

Las pruebas de penetración son valiosas y necesarias por varias razones: Determinar la viabilidad de un determinado conjunto de vectores de ataque.La identificación de las vulnerabilidades de alto riesgo que resultan de una combinación de menor riesgo vulnerabilidades explotadasen una secuencia particular.

@ingbruxo


Pruebas de Penetración vs Auditoría•

• Auditoría- Análisis.• Los archivos de configuración.• Arquitectura.• Código fuente.- Política de conformidad.• Planes y Procedimientos Operacionales.

@ingbruxo


Pruebas de Penetración vs Auditoría• Pruebas de Penetración

- Simulación de un atacante motivado por una cantidad específica de tiempo.

- Caja Negra (procedimientos de auditoria a una aplicación sin conocimiento del código fuente y sin información privilegiada).

- Caja Blanca (cuando se tiene información total sobre la aplicación auditada, incluye también saber el código fuente).

- Es más como una instantánea de la seguridad actual de un sistema o un de procesos de negocio.@ingbruxo


¿Dónde aplica?Una prueba de penetración debe llevarse a cabo en cualquier sistema informático que se va a implementar en un entorno hostil, en particular, los de Internet previo a que este se implemente (hay excepciones).

@ingbruxo


Esto proporciona un nivel de aseguramiento contra cualquier usuario malicioso, el cual no será capaz de penetrar en el sistema.

Las pruebas de penetración se pueden realizar de varias maneras.

La forma más común es la cantidad de conocimiento de los detalles de implementación del sistema que se prueba, los cuales deben conocer los pentesters.

Existen estándares como ISO/IEC 17799 para correcto uso de la seguridad de la información y metodologías como NIST SP 800-42.

@ingbruxo


@ingbruxo


Cliente solo da dominio o IP.

Por ejemplo:Telmex.com200.33.146.193

Identificar puertosprendidos y servicios que esta corriendo: puede ser TCP/UDP

@ingbruxo


Conocer la información de la configuración del equipo, para ello usamos un Dirlist (lista de directorios) por equipo en especifíco.

@ingbruxo


Usamos Nessus, retina o algún otro scanner de puertos para conocer vulnerabilidades en puertos activos.

Posteriormente hacemos pruebas específicas para cada tipo de servicio o puerto.

@ingbruxo


Si hay puertos web sehacen pruebas manuales o automáticas para saber que métodos están permitidos .

@ingbruxo


Obtención de versión de servidor, páginas de bienvenida, IP, http, https, conocer subdominios y todo lo que se pueda sacar.

Hacer Ingeniería reversa y/o ataques al servidor, por ejemplo con XSS, DDOS entre otros.

Al final se hace un reporte el cual se entrega a la empresa que nos contrato para saber si es segura su web, en la cual se redactan las recomendaciónes y prioridades en caso deque existan.

Identificación de las vulnerabilidades que pueden ser difíciles o imposibles de detectar con la red automatizada.

Debe existir capacidad de los defensores de la red para detectar con éxito y responder a los ataques.

Elementos de prueba de apoyar una mayor inversión en personal de seguridad y tecnología.

@ingbruxo


Cada día hay más empresas preocupadas por capacitar a su personal informático, actualmente existen cursos incluso en línea para aprender técnicas de pentesting.En México ya es común encontrar vía Internet ofertas laborales donde se solicita expertos en seguridad informáticaespecializados en pruebas de penetración web.

Curso Back°Track 5Hector Lópezhttp://vimeo.com/cursobacktrack5

@ingbruxo


Lo que debes de saber o hacer• Idioma inglés.• Al menos manejar 3 lenguajes de

programación.• Conocer al menos 3 sistemas operativos.• Estar consciente de que nada es

realmente seguro.• Hacer diversas pruebas de ataque a tus

propios equipos.• Leer libros serios sobre seguridad

informática.• Conocer leyes de seguridad informática.

@ingbruxo


Oportunidades laborales• Ser un pentester en México aún no esta

saturado.

• El pago a un pentester es alto en México, pero se requiere mucha habilidad, experiencia y certificaciones.

• Las empresas que contratan a hackers éticos «(pentester), facilitan la capacitación en el extranjero.

@ingbruxo


¿A quién seguir?

Andréz Velázquez@cibercrimen

Héctor López@hlixaya

Código Verde@codigoverde

Roberto Martínez@r0bertmart1nez

Enrique Sánchez@nahualito

´Pedro Joaquín@_HKM

Paulino Calderon@calderpwn

Sandino Araico@kbrown

Alejandro Hernández@nitr0usmx

@ingbruxo


¿Preguntas?

@ingbruxo


www.antoniotoriz.com

[email protected]

@ingbruxo@ingbruxo


Free Security

Introducción al pentesting free security

Technology