La presentación introduce la metodología EHVA para la realización de pentests. La metodología consta de 5 fases: recolección de información, análisis de vulnerabilidades, explotación, post-explotación e informe de resultados. Se explican las diferentes etapas de la metodología así como las herramientas utilizadas en cada fase del proceso de pentesting.

1. 1
Desmitificando el Pentest…
1

2. 3/11/2015 2
Introducción - Que es un Pentest?
¿Qué es un pentest en realidad?
Proceso de la Investigación de la Metodología
Etapas de realización de la Metodología
Metodologia EHVA
¿Qué veremos?

3. ¿Qué es un pentest?
“Se conoce como pentest a un sistema de evaluación de la
seguridad de sistemas informáticos que consiste en la
realización de un ataque informático controlado y ejecutado
por parte de un equipo de auditores (pentesters) acordado
con el propietario del sistema analizado (cliente)”
O dicho de otra forma:
“¿Que le pueden hacer los chicos malos a mi
sistema/infraestructura informatica?
* Todo trabajo/proyecto que se precie y tenga que ver con el
Hacking debe incorporar una imagen de Matrix, resultando
todo el trabajo mucho más “Hack” a la par que molón
3

4. 3/11/2015 4
Diccionario Cliente – auditor
En la mayoría de los casos se ha de utilizar el diccionario Cliente-Auditor:
El cliente solicita un pentest -> Realmente quiere una auditoria
El cliente quiere una revisión en caja negra -> Realmente la revisión se hará en
caja gris
El cliente quiere un “Hacker” -> Realmente el cliente se imagina que los hackers
son gente con poderes ocultos obtenidos en Aquelarres capaces de hacer que
se derrita un ordenador con solo mirarlo. Hay que explicarle que no es así, y que
todo tiene una metodología y un trabajo a realizar.
¿Que es un pentest en la realidad?
4

5. El Hacker “real”

6. Y el de verdad…

7. 3/11/2015 7
La realización de la investigación para la creación de la metodología ha seguido las
pautas de la Taxonomía de Bloom aplicada a un pentest:
Definición: Obtención de conocimientos (información)
Aplicación: ¿Como se pueden aplicar los conocimientos? (pruebas)
Explicación: ¿Por qué? ¿Cómo se hace?
Síntesis: Análisis de los resultados obtenidos
Evaluación: ¿Es valida la metodología? Los resultados son correctos?
Proceso de la Investigación
7

8. 3/11/2015 8
El objetivo de esta etapa fue la obtención de conocimiento a partir de la lectura de
metodologías actuales:
OWASP: Open Web Application Security Project
CEH: Certified Ethical Hacking
OSSTMM: Open Source Security Testing Methodology Manual (ISECOM)
ISSAF: Information Systems Security Assessment Framework (OISSG)
PTES: Penetration Testing Execution Standard
Etapa de investigación y lectura

9. 3/11/2015 9
PTES: Penetration Testing Execution Standard
División de las fases de un Pentest
Explicaciones de conceptos teóricos
Explicaciones de pruebas practicas
Uso de herramientas Open Source
And the Oscar goes to…
9

10. 3/11/2015 10
Los objetivos de esta etapa son:
Analizar todo el conocimiento adquirido en la anterior etapa
Complementar la metodología PTES con teoría y conceptos validos de otras
metodologías
Definir pruebas y herramientas a utilizar en la metodología (libros técnicos)
Realizar pruebas
Etapa de desarrollo y laboratorio
10

11. 3/11/2015 11
Y la “Magia” es…

12. 3/11/2015 12
Los objetivos de esta fase son los siguientes:
Realizar la documentación de la metodología EHVA
Evaluar resultados de aplicar la metodología EHVA a un pentest real
Etapa de documentación

13. 3/11/2015 13
– HD Moore & Valsmith “Tactical Exploitation – The other way to Pen-Test”
(2007)
“ The best attack tool is still the human brain ”
13

14. 3/11/2015 14
La metodologia EHVA se divide en 5 fases:
Information Gathering
Análisis de vulnerabilidades
Explotación
Post Explotación
Informe de resultados
Metodologia EHVA
14

15. 3/11/2015 15
“Información es poder”
La fase de "Information" Gathering se divide en dos:
Metodología OSINT: Consultas en busca de información en fuentes de acceso
publicas
Ingeniería Social: El arte del engaño como método de obtener información. Los
eslabones más débiles de una infraestructura son sus usuarios.
Enumeración de servicios: Aunque se podría considerar una etapa diferente,
podríamos decir que su realización se divide en la fase de Information Gathering
y en la fase de Analisis de vulnerabilidades.
Herramientas: Set, dnsenum, nmap, FOCA….
Information Gathering
15

16. 3/11/2015 16
Reportando una vul de Windows…en Linux

17. 3/11/2015 17
“La informática no deja de ser el conjunto de datos y las operaciones que se
definen sobre ellos, las vulnerabilidad consisten en la posibilidad de corromper
los datos o bien poder realizar operaciones diferentes a las ideadas
inicialmente“
Juan Vázquez – Rapid 7 (Metasploit)
En la fase de análisis de vulnerabilidad el pentester deberá analizar la
información obtenida en la fase de “Information Gathering” para detectar
todas las posibles vulnerabilidad del sistema objetivo:
Se define el proceso de análisis de vulnerabilidades:
Pruebas + Validación + Investigación
Herramientas: Nessus, Nmap…
Análisis de vulnerabilidades
17

18. 3/11/2015 18
Herramienta Nessus
18

19. 3/11/2015 19
Encontrando un 0-day en un producto…

20. 3/11/2015 20
“El objetivo son los datos, no ser
root”
HD Moore
Explotación
20

21. 3/11/2015 21 21

22. 3/11/2015 22
El principal propósito de la fase de “Post Explotación” es determinar el valor
de la máquina comprometida y mantenerla bajo control del pentester para su
uso posterior.
El fin de esta fase no es otro que conseguir llegar a otros objetivos y realizar
un pentest lo más profundo y detallado posible.
En esta fase se definen los siguientes procesos:
Control del objetivo
Obtención de información
Normas éticas
Post Explotación
22

23. 3/11/2015 23
Herramienta Metasploit
23

24. 3/11/2015 24
Un pentest no es únicamente ejecutar herramientas, para realizar un buen
pentest hay que seguir 3 pasos:
Comprender + Pensar + Imaginar
Y no olvidar, que tenemos la suerte que nuestro hobby es también nuestro
trabajo…y el resultado del pentest se habrá de reportar a personal no
técnico, por lo que tendrá que ser comprensible por ellos y demostrar todo
el trabajo que se ha realizado
Conclusiones

25. 3/11/2015 25
Cliente leyendo nuestro report…

26. 3/11/2015 26
Gràcies!!
¿Preguntas?