Mariano Mariano NuNuññezez Di CroceDi Crocemnunez@cybsec.commnunez@cybsec.com

Febrero 11Febrero 11--13, 200913, 2009IX Seminario Iberoamericano de Seguridad en las TecnologIX Seminario Iberoamericano de Seguridad en las Tecnologíías de la Informacias de la Informacióónn

La La HabanaHabana, Cuba, Cuba

©© Copyright 2009 CYBSEC. Todos los derechos reservadosCopyright 2009 CYBSEC. Todos los derechos reservados

Hacking Ético y

Frameworks Opensource

2

¿¿ QuiQuiéén es CYBSEC ?n es CYBSEC ?

¿ Quien es Cybsec? ¿ Quién soy yo?

Empresa fundada en 1996, dedicada integralmente a Seguridad de la Información.

Más de 320 clientes. Oficinas en AR, PY, EC, PA y ES.

Servicios y productos para proteger el negocio de las empresas.

¿¿ QuiQuiéén soy yo ?n soy yo ?

Senior Security Researcher en CYBSEC. Ingeniero en Sistemas de UTN.

Formado en Penetration Testing e Investigación de Vulnerabilidades.

He descubierto vulnerabilidades en productos Microsoft, Oracle, SAP,…

Actualmente especializado en Seguridad en SAP.

Desarrollador del framework sapyto.

3

Introducción al Hacking Ético

La necesidad de Automatización

Nuevos Frameworks OpenSource

w3af

Netifera

sapyto

Conclusiones

Agenda

4

Introducción al Hacking Ético

5

¿¿ QuQuéé es el es el HackingHacking ÉÉtico ?tico ?

Introducción al Hacking Ético

“Se refiere en general a los proyectos orientados a objetivos en los cuales dicho objetivo es obtener un trofeo, que incluye ganar acceso privilegiado con medios pre-condicionales”

(Fuente: OSSTM - www.isecom.org)

¿¿ QuQuéé es el es el TestTest de Intruside Intrusióón ?n ?

“Se refiere generalmente a los Tests de Intrusiónen los cuales el objetivo es obtener trofeos en la red dentro del tiempo predeterminado de duración del proyecto.”

6

Traduciendo...Traduciendo...

Introducción al Hacking Ético

El "Hacking Ético" es el arte de simular el comportamiento de un potencial atacante informático, con el objetivo de detectar (y explotar) las vulnerabilidades existentes en la plataforma tecnológica de una Organización.

El objetivo final es elevar el nivel de seguridad de la plataforma.

Hacking Ético = Test de Intrusión + “Marketing”

7

Un Poco de Historia ...Un Poco de Historia ...

Introducción al Hacking Ético

Años ’70: Primeros casos de phreaking.

Años ’80: Ataques a sistemas de defensa y comerciales.

Años ’90: Comienza a nacer el Test de Intrusión.

Años ’00: Estandarización – Proceso “formal”

OSSTM - Open-Source Security Testing Methodology Manual

ISSAF – Information Systems Security Assessment Framework

OWASP – Open Web Application Security Project

8

Tipos de Tipos de TestTest de Intruside Intrusióón/n/HackingHacking ÉÉticotico

Introducción al Hacking Ético

Modelo: Externos vs. Internos.

Alcance: Caja negra / Caja gris / Caja blanca.

Objetivo:

Infraestructura

Aplicaciones Web

Wireless

Sistemas Criticos (SCADA, SAP)

Factor Humano – Ingeniería Social

…

9

La Necesidad de Automatización

10

Algunas Actividades y Tareas Involucradas:Algunas Actividades y Tareas Involucradas:

La Necesidad de Automatización

Análisis de rangos IP

Detección de sistemas activosScanning de puertos TCP

Scanning de puertos UDP

Detección de enlaces Wireless

Fingerprinting de servicios y SOsAnálisis de reglas de Firewalls

Bypass de IDSs/IPSs

Análisis de código HTML

Descubrimiento de directorios

Explotación de SQL Injection

Explotación de vulnerabilidades

Enumeración de usuarios

Wardialing

Cracking de WEP/WPA

Ingeniería SocialBruteforcing

OpenSource Intelligence

11

AutomatizaciAutomatizacióón n –– Ventajas y DesventajasVentajas y Desventajas

La Necesidad de Automatización

La Necesidad de Automatización es concreta.

Muchas de las actividades pueden (y deben) automatizarse.

Existe una GRAN variedad de herramientas y utilidades para actividades puntuales del proceso

Integración de Resultados y Redundancia

Necesidad de Actualización

Ej: Para un Test de Intrusión Web, el consultor utiliza más de 10 herramientas distintas para tareas puntuales.

12

Del Del ScriptScript al al FrameworkFramework

La Necesidad de Automatización

Es necesario desarrollar las soluciones en forma de Frameworks:

Plataforma única.

Actualización centralizada.

Extensibilidad (!!!)

“Inteligencia”

Base de conocimiento compartida.

Integración de Resultados.

Combinación y comportamiento “Experto”.

13

Nuevos FrameworksOpenSource

14

ATENCIONATENCION

Al presenciar las siguientes diapositivas y Al presenciar las siguientes diapositivas y

demostraciones usted declara que demostraciones usted declara que

comprende que comprende que ningningúúnn FrameworkFramework puede puede

reemplazar la inteligencia y criterio de un reemplazar la inteligencia y criterio de un

especialista especialista ““humanohumano”” =)=)

Nuevos Frameworks OpenSource

15

Nuevos Frameworks OpenSource

++Auditor sin experiencia Auditor sin experiencia

Herramienta Automatizada Herramienta Automatizada

de de HackingHacking ÉÉticotico

16

Nuevos Frameworks OpenSource

++Auditor sin experiencia Auditor sin experiencia

Herramienta Automatizada Herramienta Automatizada

de de HackingHacking ÉÉticotico

17

18

w3af w3af –– Web Web ApplicationApplication AttackAttack andand AuditAudit FrameworkFramework

Nuevos Frameworks OpenSource – w3af

Creado por Andres Riancho.

Auspiciado por CYBSEC.

Objetivo: Detectar y Explotar vulnerabilidades en Aplicaciones Web.

Licencia GPLv2.

Desarrollado en Python.

19

Arquitectura de Arquitectura de PluginsPlugins

Nuevos Frameworks OpenSource – w3af

Discovery: Descubren la superficie de análisis de la aplicación objetivo.

•Audit: Intentan detectar una vulnerabilidad específica en el sitio Web.

•Bruteforce: Realizan ataques de fuerza bruta contra módulos de autenticación.

•Grep: Buscan información en el contenido de las páginas del sitio.

•Evasion: Modifican las peticiones para evadir filtros de seguridad.

•Output: Definen el formato de salida de la información generada.

•Mangle: Permiten que el usuario modifique secciones de las peticiones realizadas.

20

Funcionalidades PrincipalesFuncionalidades Principales

Nuevos Frameworks OpenSource – w3af

Scannings Automáticos

Envío de Peticiones HTTP “artesanales”

Codificador / Decodificador

Comparador

Proxy Local

21

22

NetiferaNetifera

Nuevos Frameworks OpenSource – Netifera

Creado por Netifera.

Objetivo: Analizar la Seguridad de redes informáticas.

Desarrollado en JAVA.

23

Funcionalidades PrincipalesFuncionalidades Principales

Nuevos Frameworks OpenSource – Netifera

Scannings de puertos

Identificación de servicios activos

Consultas DNS

Terminales

Análisis de Aplicaciones Web

Captura de tráfico

Probes

24

25

sapytosapyto

Nuevos Frameworks OpenSource – sapyto

Creado por CYBSEC - Mariano Nuñez Di Croce.

Objetivo: Plataforma de Penetration Test a sistemas SAP.

Licencia GPLv2.

Desarrollado en Python/C.

Primera versión publicada en Blackhat EU 07.

26

Arquitectura de Arquitectura de TargetsTargets/Conectores/Conectores

Nuevos Frameworks OpenSource – sapyto

SAPRFC: Permite conectarse utilizando el protocolo RFC con un Servidor de Aplicación SAP.

•SAPRFC_EXT: Establece la comunicación con servidores RFC externos.

•SAPGATEWAY: Conexión con el servicio SAP Gateway de losServidores de Aplicación SAP.

•SAPROUTER: Permite establecer conexiones con dispositivosSAProuters que restringuen el acceso a la plataforma SAP objetivo.

27

Arquitectura de Arquitectura de PluginsPlugins

Nuevos Frameworks OpenSource – sapyto

Discovery: Intentan descubrir nuevos targets a partir de los targets configurados inicialmente.

•Audit: Chequean si el servidor SAP remoto es suceptible de poseervulnerabilidades específicas.

•Exploit: Aprovechan una vulnerabilidad detectada para intentarobtener algún grado de acceso sobre los sistemas o informaciónremota.

•Output: Definen el formato de salida de la información generada.

28

Funcionalidades PrincipalesFuncionalidades Principales

Nuevos Frameworks OpenSource – sapyto

Obtención de información remota

Análisis de Vulnerabilidades de interfaz RFC

De-ofuscación de tráfico

Enumeración de mandantes

Bruteforce de usuarios

Explotación – Generación de SHELLs remotas

Explotación – Arquitectura de Agentes

29

Conclusiones

30

ConclusionesConclusiones

Conclusiones

El Hacking Ético permite analizar el nivel de Seguridad de una Organización o plataforma informática y debe convertirse en una práctica regular. El objetivo final es proteger la información.

La metodología involucra actividades en las que ciertas tareas pueden ser automatizadas para mejorar la eficiencia del proceso.

Las herramientas a utilizar deben proveer un Entorno o Framework, introduciendo extensibilidad, robustez e “inteligencia”.

De nada sirve una herramienta automatizada sin un auditor que pueda analizar la información contextual asociada. El criterio es irremplazable.

Recuerde que los Frameworks Opensource evolucionan gracias a las contribuciones de la comunidad!

No hay nada mas peligroso que un chimpancé con un arma! =P

31

¿¿ Preguntas ?Preguntas ?

Hacking Etico y Frameworks Opensource

32

ReferenciasReferencias

Nuevos Frameworks OpenSource

w3af – http://w3af.sourceforge.net

Netifera – http://www.netifera.com

sapyto – http://www.cybsec.com/ES/investigacion/sapyto.php

www.cybsec.com

Muchas Gracias!