Presentación del proyecto Anubis desarrollado por Juan Antonio Calles García para automatizar los procesos de Footprinting y Fingerprinting durante las auditorías de seguridad informática.
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
Presentación de anubis
1.
2. 1. El estado de la informática en la actualidad
2. Auditorías de seguridad
3. Demo
4. Conclusiones y trabajos futuros
2
3. 1. El estado de la informática en la actualidad
2. Auditorías de seguridad
3. Demo
4. Conclusiones y trabajos futuros
3
4. Estudio DigiWorld
Analiza los beneficios producidos en el mercado
económico de las Tecnologías de la Información y
las Telecomunicaciones en Europa
En el año 2009: Beneficios de mas de 900.000
Millones de euros en el mercado económico
basado en las TIC.
Subida frente a 2008 de casi un 6%
4
5. NO.
Los beneficios producidos por las empresas del
sector de las TIC están constantemente en peligro,
debido a los numerosos ataques de “hackers” que
reciben.
5
7. Las empresas especializadas en seguridad.
Estas empresas generaron solo en España
640.000.000€ en 2008
7
8. Auditorías de seguridad anuales.
Seguimiento de guías de buenas prácticas
OWASP y OSSTMM
Certificación ISO/IEC 27001 (SGSI)
Concienciación de los miembros de la
organización.
Seguir los 10 mandamientos de la seguridad
informática.
8
9. 1. Cuidaras la seguridad del sistema operativo
2. Aplicaras regularmente las actualizaciones de
seguridad
3. Emplearas chequeadores de integridad, antivirus y
antispyware
4. Encriptarás la información sensible
5. Usarás sólo modos seguros de acceder al e-mail
6. Utilizarás únicamente navegadores seguros para
acceder a la web
7. No abrirás enlaces ni archivos sospechosos
8. Ingresarás datos críticos, sólo en sitios seguros
9. Si debes correr riesgos, usarás sandboxing
10. Te mantendrás informado sobre nuevas maneras de
vulnerar tu seguridad 9
10. 1. El estado de la informática en la actualidad
2. Auditorías de seguridad
3. Demo
4. Conclusiones y trabajos futuros
10
11. Auditoría de aplicaciones web
Auditoría Interna:
Auditoría de caja negra
Auditoría de caja gris
Auditoría de caja blanca
Test de intrusión
Análisis forense
Aplicación de la LOPD(con matices)
11
12. Se comprueba la seguridad de las aplicaciones
del sitio web de una organización.
Vulnerabilidades mas importantes:
sql injection (PHP+MySQL, JAVA,C#+SQL Server).
ldap injection.
xpath injection.
cssp (connection string parameter pollution).
local file inclusión.
remote file inclusion (PHP).
path disclosure.
path traversal
12
13. Caja Negra
No poseemos conocimiento ninguno sobre la organización. Se realiza
desde fuera de la red interna. Objetivo: averiguar que puede conseguir un
“hacker” desde fuera de la empresa
Caja Gris
Entre auditoría de caja negra y caja blanca. Se realiza desde la red interna
pero con credenciales de usuario corriente. Objetivo: escalar privilegios a
Administrador y proseguir con auditoría de caja blanca.
Caja Blanca
Tenemos conocimientos y credenciales de administrador interno de la
empresa. Se realiza desde la red interna. Objetivo: averiguar que puede
conseguir un empleado malintencionado desde dentro de la empresa y
poner soluciones.
13
14. Auditoría de Caja Negra en la que solo
interesa «obtener un premio»
Se realiza para comprobar si el sistema es
vulnerable, no para certificar su seguridad
completa.
14
15. Sistema víctima de una intrusión, un ataque o
desde él que se ha realizado alguna acción
maliciosa
Denuncia --> Intervienen en España el Grupo de
Delitos Telemáticos de la Guardia Civil y/o la
Brigada de Investigación Tecnológica del Cuerpo
Nacional de Policía
Copia de seguridad.
Forense sin alterar pruebas.
Prueba en caso de juicio.
15
16. La aplicación de la LOPD no es una auditoría
como tal. Pero suele ir acompañada de una
auditoría para proteger los posibles agujeros
que podrían permitir el robo de información
privada de los clientes de una organización
16
17. Test de intrusión
Auditoría de caja negra
17
18. Fases:
Obtención de información.
Enumeración.
Footpringting.
Fingerprinting.
Análisis de datos.
Identificación de arquitectura.
Identificación de servicios.
Identificación de vulnerabilidades.
Explotación.
Expedientes de seguridad.
Exploits.
MetaExploit.
Documentación final de un test
Informe técnico.
Informe ejecutivo. 18
19. Footprinting
Dominios y subdominios
Zonas de administración ocultas en un sitio web
Cuentas de usuario y de correo
Ficheros con contraseñas
Máquinas internas, servidores, cámaras IP,
impresoras, discos duros IP, etc.
Fingerprinting
Sistema operativo de los servidores y máquinas
19
20. C#+.Net
Interface gráfica
Distribución de herramientas en pestañas
Funcionamiento:
Búsqueda de información
Recopilación de datos obtenidos
Estructuración lógica de información
Generación de informe
Herramientas:
20
21. Telnet
Módulo
Telnet Google
Hacking
Zone Transfer
Scan with
Google
Fuzzing DNS
Módulo
DNS Gui Módulo
HTTP
Scan IP with
Bing
Scan IP
against DNS
404 attack
Módulo
CMD
Fuzzing HTTP Nmap
Whois Tracert
21
22. Tracert
Banner
404 attack
Attack
Google Scan with
Hacking Google
Fuzzing
Whois Against
DNS
Fuzzing Zone
Http Summary Transfer
Scan IP
Google against
Sets DNS
Scan IP Nmap
with Bing
Final Audit Report
22
24. 1. El estado de la informática en la actualidad
2. Auditorías de seguridad
3. Demo
4. Conclusiones y trabajos futuros
24
25. Ayuda en los procesos de Implantación de un SGSI en la
certificación con la norma ISO/IEC27001
Colaborar en la enseñanza de las técnicas de búsqueda
de información en cursos de seguridad
Automatización de las técnicas de búsqueda de
información con uso directo en auditorías de caja negra
y test de intrusión
Permitir que los miembros de una organización prueben
de una manera sencilla la seguridad de sus activos
25
26. Convertir Anubis de herramienta de escritorio a
servicio web
Ampliar su importancia en auditoria de caja
negra y test de intrusión con el lanzamiento de
analizadores y explotadores de vulnerabilidades
SQL Injection
XSS
etc.
Ampliar las Auditorías cubiertas a caja blanca:
26
30. Todos las herramientas y técnicas utilizadas en
Anubis son totalmente legales y alegales en el
Estado Español por lo que no se incurre en ningún
delito con su uso. El uso de la técnica de
Transferencia de Zona puede estar penado en
algunos países como EEUU. Certificamos que
durante el desarrollo y el período de pruebas de
Anubis no han sido revelados datos «privados» de
ninguna de las organizaciones que han sido
utilizadas para probar la herramienta, ni se ha
incurrido en ningún delito. Ninguna empresa ha
sido hackeada gracias a Anubis.
30