Presentación oficial del proyecto Anubis desarrollado por Juan Antonio Calles Garcia para automatizar los procesos de Footprinting y Fingerprinting durante las auditorías de seguridad informática
1. Anubis Herramienta para automatizar los procesos de footprinting y fingerprinting durante las auditorías de seguridad informática Autor: juan antonio calles garcía Dirige: javiergarzás parra
2. Índice El estado de la informática en la actualidad Auditorías de seguridad Demo Conclusiones y trabajos futuros 2
3. Índice El estado de la informática en la actualidad Auditorías de seguridad Demo Conclusiones y trabajos futuros 3
4. El Estado de la informática en la actualidad Estudio DigiWorld Analiza los beneficios producidos en el mercado económico de las Tecnologías de la Información y las Telecomunicaciones en Europa En el año 2009: Beneficios de mas de 900.000 Millones de euros en el mercado económico basado en las TIC. Subida frente a 2008 de casi un 6% 4
5. ¿Estos beneficios están seguros? NO. Los beneficios producidos por las empresas del sector de las TIC están constantemente en peligro, debido a los numerosos ataques de “hackers” que reciben. 5
7. ¿Quién puede ayudar a proteger los beneficios? Las empresas especializadas en seguridad. Estas empresas generaron solo en España 640.000.000€ en 2008 7
8. Soluciones Auditorías de seguridad anuales. Seguimiento de guías de buenas prácticas OWASP y OSSTMM Certificación ISO/IEC 27001 (SGSI) Concienciación de los miembros de la organización. Seguir los 10 mandamientos de la seguridad informática. 8
9. Los 10 mandamientos de la seguridad Cuidaras la seguridad del sistema operativo Aplicaras regularmente las actualizaciones de seguridad Emplearas chequeadores de integridad, antivirus y antispyware Encriptarás la información sensible Usarás sólo modos seguros de acceder al e-mail Utilizarás únicamente navegadores seguros para acceder a la web No abrirás enlaces ni archivos sospechosos Ingresarás datos críticos, sólo en sitios seguros Si debes correr riesgos, usarás sandboxing Te mantendrás informado sobre nuevas maneras de vulnerar tu seguridad 9
10. Índice El estado de la informática en la actualidad Auditorías de seguridad Demo Conclusiones y trabajos futuros 10
11. Tipos de auditoría Auditoría de aplicaciones web Auditoría Interna: Auditoría de caja negra Auditoría de caja gris Auditoría de caja blanca Test de intrusión Análisis forense Aplicación de la LOPD(con matices) 11
12. Auditoría de aplicaciones web Se comprueba la seguridad de las aplicaciones del sitio web de una organización. Vulnerabilidades mas importantes: sqlinjection (PHP+MySQL, JAVA,C#+SQL Server). ldapinjection. xpathinjection. cssp (connectionstringparameterpollution). local file inclusión. remote file inclusion (PHP). pathdisclosure. pathtraversal 12
14. Test de intrusión Auditoría de Caja Negra en la que solo interesa «obtener un premio» Se realiza para comprobar si el sistema es vulnerable, no para certificar su seguridad completa. 14
15. Análisis forense Sistema víctima de una intrusión, un ataque o desde él que se ha realizado alguna acción maliciosa Denuncia --> Intervienen en España el Grupo de Delitos Telemáticos de la Guardia Civil y/o la Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía Copia de seguridad. Forense sin alterar pruebas. Prueba en caso de juicio. 15
16. Aplicación de la LOPD La aplicación de la LOPD no es una auditoría como tal. Pero suele ir acompañada de una auditoría para proteger los posibles agujeros que podrían permitir el robo de información privada de los clientes de una organización 16
17. En este proyecto nos centramos en: Test de intrusión Auditoría de caja negra 17
18. Fases de un test de intrusión y de una auditoría de caja negra Fases: Obtención de información. Enumeración. Footpringting. Fingerprinting. Análisis de datos. Identificación de arquitectura. Identificación de servicios. Identificación de vulnerabilidades. Explotación. Expedientes de seguridad. Exploits. MetaExploit. Documentación final de un test Informe técnico. Informe ejecutivo. 18
19. Búsqueda de información Footprinting Dominios y subdominios Zonas de administración ocultas en un sitio web Cuentas de usuario y de correo Ficheros con contraseñas Máquinas internas, servidores, cámaras IP, impresoras, discos duros IP, etc. Fingerprinting Sistema operativo de los servidores y máquinas 19
20. Anubis C#+.Net Interface gráfica Distribución de herramientas en pestañas Funcionamiento: Herramientas: 20
21. Telnet Google Hacking Zone Transfer Scanwith Google Fuzzing DNS Scan IP withBing Scan IP against DNS 404 attack Fuzzing HTTP Nmap Whois Tracert 21
22. Scan IP against DNS Google Sets Google Sets Scan IP with Bing Nmap Scan IP with Bing Final Audit Report 22
24. Índice El estado de la informática en la actualidad Auditorías de seguridad Demo Conclusiones y trabajos futuros 24
25. Conclusiones Ayuda en los procesos de Implantación de un SGSI en la certificación con la norma ISO/IEC27001 Colaborar en la enseñanza de las técnicas de búsqueda de información en cursos de seguridad Automatización de las técnicas de búsqueda de información con uso directo en auditorías de caja negra y test de intrusión Permitir que los miembros de una organización prueben de una manera sencilla la seguridad de sus activos 25
26. Trabajos futuros Convertir Anubis de herramienta de escritorio a servicio web Ampliar su importancia en auditoria de caja negra y test de intrusión con el lanzamiento de analizadores y explotadores de vulnerabilidades SQL Injection XSS etc. Ampliar las Auditorías cubiertas a caja blanca: 26
27. Actual: uso en auditoría de caja negra y test de intrusión 27
28. Futuro: uso en auditoría de caja negra, test de intrusión y caja blanca 28
30. Todos las herramientas y técnicas utilizadas en Anubis son totalmente legales y alegales en el Estado Español por lo que no se incurre en ningún delito con su uso. El uso de la técnica de Transferencia de Zona puede estar penado en algunos países como EEUU. Certificamos que durante el desarrollo y el período de pruebas de Anubis no han sido revelados datos «privados» de ninguna de las organizaciones que han sido utilizadas para probar la herramienta, ni se ha incurrido en ningún delito. Ninguna empresa ha sido hackeada gracias a Anubis. 30