Chequeo de Vulnerabilidades de Seguridad en Entidades de una Red

Texto completo

(1)Universidad Central “Marta Abreu” de Las Villas Facultad de Ingeniería Eléctrica Departamento de Telecomunicaciones y Electrónica. TRABAJO DE DIPLOMA. Chequeo de Vulnerabilidades de Seguridad en Entidades de una Red. Autor: Redner Licea Vera Tutor: Erisbel Orozco Crespo. Santa Clara 2012.

(2) Universidad Central “Marta Abreu” de Las Villas Facultad de Ingeniería Eléctrica Departamento de Telecomunicaciones y Electrónica. TRABAJO DE DIPLOMA. Chequeo de Vulnerabilidades de Seguridad en Entidades de una Red. Autor: Redner Licea Vera Tutor: Erisbel Orozco Crespo Profesor del Dpto. Electrónica y Telecomunicaciones. Santa Clara 2012.

(3) Hago constar que el presente trabajo de diploma fue realizado en la Universidad Central “Marta Abreu” de Las Villas como parte de la culminación de estudios de la especialidad de Ingeniería en Telecomunicaciones y Electrónica, autorizando a que el mismo sea utilizado por la Institución, para los fines que estime conveniente, tanto de forma parcial como total y que además no podrá ser presentado en eventos, ni publicados sin autorización de la Universidad.. Firma del Autor Los abajo firmantes certificamos que el presente trabajo ha sido realizado según acuerdo de la dirección de nuestro centro y el mismo cumple con los requisitos que debe tener un trabajo de esta envergadura referido a la temática señalada.. Firma del Tutor. Firma del Jefe de Departamento donde se defiende el trabajo. Firma del Responsable de Información Científico-Técnica.

(4) PENSAMIENTO. Tú puedes ser lo que deseas, solo hay un obstáculo, tú mismo Ch.Ch..

(5) AGRADECIMIENTOS. A mis padres porque en todo tiempo han sido mi apoyo y sostén. A mi hermano por ser incondicional. A mi esposa Arianna por siempre confiar en mí y amarme inmensamente. A mi tutor Erisbel (X) que más que tutor fue hombre y amigo. A mi suegra por ser como una madre para mí. A todos los que hicieron posible que este sueño se hiciera realidad. A mis amigos que siempre me apoyaron, en especial a: René, Ramón, McQueen, el Billy, Toyo, Ariel, Sandor, Fariña, Alfredo y otros por no necesitar mencionarlos, porque se saben agradecidos. Gracias.

(6) DEDICATORIA. A mis padres, mi hermano, mi sobrina y mi esposa quienes están más orgullosos de mis pequeños logros que yo mismo. A mi familia toda, los que están conmigo y los que siempre estarán en mí A mis amigos quienes tanto confían en mi y a quienes tanto molesto. Y en especial a la que fue mí guía, mi faro, mi viejita linda, a ti Mamá..

(7) i. TAREA TÉCNICA. 1. Se estudió lo relacionado a las vulnerabilidades de seguridad y su tratamiento, basado en la bibliografía más actualizada posible. Se consultó pues gran cantidad de sitios web de instituciones certificadoras y empresas dedicadas a la seguridad. 2. Se instalaron y se entrenó en el uso de los escáneres de vulnerabilidades disponibles, en este caso Nmap, Nessus, GFI LANguard y MBSA; aunque fueron contemplados otros como Retina CS Community. 3. Se realizó el chequeo de vulnerabilidades en entidades sensibles de la Intranet UCLV. Esto permitió conformar una experiencia en el trabajo con las herramientas y contemplar la funcionalidad de las mismas.. Firma del Autor. Firma del Tutor.

(8) ii. RESUMEN. Este trabajo aborda el tema del empleo de herramientas de software para atender el estado de vulnerabilidades de seguridad en una red de computadoras. Para ello se consultó una gran cantidad de información en Internet y se tuvo en cuenta el criterio de los especialistas en el tema. En una primera parte del informe se expone lo relacionado a las vulnerabilidades de seguridad, su clasificación, los escáneres de vulnerabilidades, las empresas mejor establecidas en el tema y otros temas generales que ayudan a conformar un marco teórico en el tema. Después se presentaron los escáneres más importantes encontrados, así como sus posibilidades. Por último se informa de los resultados y las experiencias obtenidos a partir del uso de estas herramientas sobre objetivos sensibles en la Intranet UCLV. Estos resultados incluyen valoraciones de deficiencias encontradas y recomendaciones para solucionarlas. Además se valoró el empleo de los programas en uno u otro caso, así como la respuesta de ellos a los mismos. El informe de resultados es solo un resumen en realidad, es imposible expresarlos todos sin extenderse demasiado. Nessus resultó ser la herramienta mejor plantada y las demás se presentan como alternativas para distintos escenarios..

(9) iii. ÍNDICE. TAREA TÉCNICA ..................................................................................................................i RESUMEN ............................................................................................................................ ii INTRODUCCIÓN .................................................................................................................. 1 CAPÍTULO 1. 1.1. VULNERABILIDADES DE SEGURIDAD ............................................ 4. Vulnerabilidades de seguridad ................................................................................. 4. 1.1.1. Causas y publicación de vulnerabilidades ........................................................ 5. 1.1.2. Mitigación y corrección de vulnerabilidades .................................................... 7. 1.2. Tipos de vulnerabilidades ........................................................................................ 7. 1.3. Escáner de vulnerabilidades ................................................................................... 13. 1.4. La web: uno de los más difíciles recursos para cuidar ........................................... 14. 1.5. Dinámica de la producción de soluciones de seguridad......................................... 16. 1.5.1. Algunas empresas especializadas más relevantes por su rango en el mercado 16. 1.6. Las vulnerabilidades y las nuevas tendencias: la nube .......................................... 19. CAPÍTULO 2.. HERRAMIENTAS PARA EL CHEQUEO DE VULNERABILIDADES. DE SEGURIDAD ................................................................................................................. 20 2.1. Nmap ...................................................................................................................... 20. 2.1.1. Comandos básicos de Nmap y tipos de .......................................................... 21. 2.1.2. Reportes de resultados .................................................................................... 22. 2.1.3. Tipos de escaneo con Nmap ........................................................................... 23. 2.2. GFI LANguard Network Security Scanner ............................................................ 25. 2.2.1. Realización del proceso de auditoría .............................................................. 26.

(10) iv 2.2.2 2.3. Resultados de los chequeos con GFI LANguard ............................................ 29. Nessus .................................................................................................................... 29. 2.3.1. Principio de operación .................................................................................... 31. 2.4. OpenVAS ............................................................................................................... 32. 2.5. Retina ..................................................................................................................... 33. 2.6. Microsoft Baseline Security Analizer .................................................................... 34. CAPÍTULO 3.. ESCANEO DE VULNERABILIDADES EN ENTIDADES DE UNA. RED INSTITUCIONAL ....................................................................................................... 36 3.1. Instalación y configuración de Nessus Home Feed ............................................... 36. 3.2. Resultados del escaneo de algunos objetivos dentro de la red ............................... 40. 3.2.1. Vulnerabilidades del servicio de telefonía de la FIE ...................................... 40. 3.2.2. Vulnerabilidades del servicio de mensajería instantánea de la UCLV ........... 42. 3.2.3. Página web de la Intranet ................................................................................ 43. 3.2.4. Servidor proxy de Internet en 10.12.1.7 ......................................................... 45. 3.3. Resultados de Nmap ............................................................................................... 47. 3.3.1. Escaneo de reconocimiento ............................................................................ 47. 3.3.2. Escaneo ninja .................................................................................................. 53. 3.4 ..................................................................................................................................... 54 3.5 ..................................................................................................................................... 56 3.6 ..................................................................................................................................... 56 CONCLUSIONES ................................................................................................................ 57 RECOMENDACIONES ....................................................................................................... 58 REFERENCIAS BIBLIOGRÁFICAS ................................................................................. 59 GLOSARIO .......................................................................................................................... 62 ANEXOS .............................................................................................................................. 63.

(11) v Anexo 1 Lista de los escáneres de vulnerabilidades web hasta el 2011 según el Web Application Security Consortium ..................................................................................... 63 Anexo 2 ............................................................................ ¡Error! Marcador no definido. Anexo 3 ............................................................................ ¡Error! Marcador no definido..

(12) INTRODUCCIÓN. 1. INTRODUCCIÓN. El tema de la seguridad parece gastado u abarrotado de trabajos que, en su esencia pueden aburrir cuando se han leído varios. Esto sucede sobre todo cuando no hay un resultado de campo que ofrecer y los temas reflejados son un tanto reproductivos. El éxito de un trabajo sobre seguridad está en reflejar su aporte. El mundo de la seguridad en los sistemas de comunicaciones e informáticos es grande e intenso. La dinámica de cambio es diaria y es difícil estar al tanto de todo lo que sucede. Existen muchas instituciones en el mundo desarrollado dedicadas a este tema, que han desarrollado estándares y formas al respecto de cómo registrar y publicar información sobre seguridad. Estas empresas tienen un alto prestigio y son la base sobre la cual se traza toda la estrategia de registro y tratamiento de vulnerabilidades de seguridad, al menos de forma oficial. Las vulnerabilidades de seguridad se presentan como un asunto neurálgico a la hora de atender la seguridad como un proceso (LÓOPEZ, 2011). Para ello hay recomendaciones a seguir, pero en el aspecto práctico es requerido el trabajo de los especialistas más el empleo de herramientas de chequeo y reporte; que no pueden existir por separado pues ni las herramientas son suficientes en sí, ni los especialistas pueden realizar las tareas y mucho menos de forma desatendida. Las herramientas para el escaneo de vulnerabilidades son diversas y su uso podría tener varios objetivos, dígase de auditoría, valoración del estado de seguridad, detección automática de recomendaciones en función de las deficiencias existentes o incluso con fines poco éticos. Este trabajo se desarrolló con la intensión de reflejar la utilidad de estas herramientas y responder el problema de ¿cómo realizar chequeos automatizados y desatendidos a dispositivos de una Intranet, que permitan la determinación de deficiencias en la seguridad y trazar una estrategia al respecto? Otras preguntas a responder serían:.

(13) INTRODUCCIÓN. 2. o ¿Qué herramientas permiten la realización de exámenes del estado de seguridad de entidades en una red de computadoras? o ¿Qué posibilidades brindan estas herramientas? o ¿Cuáles son las más apropiadas y cuáles tienen mayor prestigio? o ¿Cómo se presentan los reportes? o ¿Qué características de las vulnerabilidades e información adicional se presentan en los reportes? Para ello se tomó como escenario la Intranet UCLV. Se escanearon algunos recursos de la Intranet UCLV con el previo permiso de los responsables de seguridad informática de la red. El objetivo general del trabajo es: realizar chequeos de vulnerabilidades de seguridad en dispositivos de la Intranet de la UCLV, que permitan conformar una experiencia en el trabajo con herramientas como Nessus, GFI LANguard Network Security Analizer y Nmap. Por objetivos específicos se tienen: 1. Reunir y estudiar bibliografía sobre vulnerabilidades de seguridad, su registro, clasificación, publicación, tratamiento e instituciones prestigiosas dedicadas al tema. 2. Estudiar los paquetes de programas dedicados al escaneo automático de vulnerabilidades de seguridad y a la realización desatendida de auditorías de seguridad. 3. Utilizar estos programas sobre blancos en la Intranet de la UCLV, presentar los resultados y su interpretación. Para ello se realizó la instalación del software en PCs de laboratorio, tratando siempre de contar con la última versión disponible. Algunos como el Nessus hubo conseguirlos mediante técnicas de engaño, pues compañías como Tenable Network Security hacen valer la lista negra de países en la que está Cuba y por lo tanto no permiten la utilización de sus productos a estos países. Para ello el informe de tesis cuenta con un cuerpo de tres capítulos con los contenidos resumidos a continuación:.

(14) INTRODUCCIÓN. 3. Capítulo 1: Vulnerabilidades de seguridad En este capítulo se presenta una revisión del estado actual del tema de las vulnerabilidades de seguridad en sistemas de redes y servicios. Se aborda lo más fundamental sobre los ataques de seguridad, noticias más actuales de deficiencias que imponen riesgos de seguridad, principios fundamentales sobre el aseguramiento de un entorno dado y buenas prácticas; todo desde la panorámica de la revisión bibliográfica primera. Capítulo 2: Herramientas para el chequeo de vulnerabilidades de seguridad En este capítulo se abordan las características de las herramientas de software para el chequeo de vulnerabilidades de seguridad en entidades de una red de computadoras. Las variantes descritas fueron obtenidas a partir del análisis sobre el estado actual al respecto. Entre las herramientas tratadas están: Tenable Nessus, GFI LANguard Network Security Scanner, Microsoft Baseline Network Security Analyzer, Nmap, etc. Capítulo 3: Diseño y montaje del escenario con el MISU En este capítulo se comentan los resultados de varias pruebas a elementos de la Intranet de la Universidad Central Marta Abreu de las Villas. Las pruebas se realizaron con varias de las herramientas comentadas en el capítulo 2, por lo que se verá reflejada la experiencia del empleo de cada una de ellas. Además se mencionarán asuntos de interés con el software, como algunos aspectos relevantes en la instalación y la configuración. El aporte de este trabajo de diploma estaría en la experiencia obtenida en la utilización de las herramientas por parte del autor, en crear una referencia sobre las poderosas herramientas utilizadas, tal y como se presentan en el 2012 y en ofrecer los resultados de los chequeos sobre servidores neurálgicos de la red de la Universidad Central Marta Abreu de Las Villas..

(15) CAPÍTULO 1. VULNERABILIDADES DE SEGURIDAD. 4. CAPÍTULO 1. VULNERABILIDADES DE SEGURIDAD. En este capítulo se presenta una revisión del estado actual del tema de las vulnerabilidades de seguridad en sistemas de redes y servicios. Este campo de trabajo es muy cambiante; cada mes aparecen centenares de asuntos al respecto. Por eso se aborda lo más fundamental sobre los ataques de seguridad, noticias más actuales de deficiencias que imponen riesgos de seguridad, principios fundamentales sobre el aseguramiento de un entorno dado y buenas prácticas; todo desde la panorámica de la revisión bibliográfica primera. 1.1. Vulnerabilidades de seguridad. Las vulnerabilidades de seguridad son errores que permiten realizar desde afuera actos sin permiso del administrador del equipo. Actualmente, hay muchos de estos errores que favorecen el acceso remoto a los ordenadores, ya sea para robar información o para suplantar su rol en la red. Entre los casos más famosos está el LSASS y el de SVSHOST, de los cuales se aprovecharon malwares como Sasser y Blaster, muy diseminados en su tiempo. (Thomson, 2010) (Trendmicro.com, 2005) (Microsoft, 2004) Es imposible evitar las vulnerabilidades al 100%, incluso si se tiene en operación programas especializados como cortafuegos, antispam, antivirus y otros detectores de código maligno. Sin embargo, es posible es evitarlas mediante chequeos constantes y actualizaciones del software. (MITRE, 2012d) Si se tiene en cuenta que las comunicaciones en la red constan de siete capas según el modelo OSI, y que las vulnerabilidades pueden estar presentes en varias capas o incluso dentro del núcleo del sistema operativo; no basta con un buen antivirus para estar libre de amenazas. No se trata solo de virus que radiquen en la computadora, sino que también pueden ser mediante ejecución de código mientras se accede a alguna página web, o cuando el atacante tiene privilegios de acceso a nivel administrativo. (INTECO-CERT, 2012a).

(16) CAPÍTULO 1. VULNERABILIDADES DE SEGURIDAD. 5. Aunque no siempre hay una regla general para explotar vulnerabilidades de los sistemas, se puede pensar en una serie de pasos para llegar a utilizarlas exitosamente: 1. Conocer de la existencia de la vulnerabilidad. 2. Documentarse a profundidad sobre la vulnerabilidad 3. Conocer las características del sistema, mientras más mejor. 4. Conseguir el acceso al sistema con privilegios suficientes. 5. En dependencia de la forma en que se acceda al sistema, será el poder que se tendrá sobre el mismo. El tema puede parecer coloquial en términos de la voz popular, pero es bastante difícil de caracterizar y mucho menos en poco espacio. 1.1.1. Causas y publicación de vulnerabilidades. Los agujeros de seguridad suelen generarse por negligencia o inexperiencia de los programadores, aunque puede haber otras causas ligadas al contexto. Otra variante es debido a la mala configuración y administración del sistema. Una vulnerabilidad por lo general permite que el atacante pueda engañar a la aplicación, por ejemplo, esquivando los controles de acceso o ejecutando comandos en el sistema donde se aloja la aplicación. (Microsoft, 2012) Algunas vulnerabilidades se producen cuando la entrada de un usuario no es controlada, permitiendo la ejecución de comandos o solicitudes, como en la Inyección SQL. Otras provienen de errores de un programador en la comprobación de los buffers de datos, que pueden ser desbordados, lo cual corrompe la pila de memoria y, por tanto, permite la ejecución de código suministrado por el atacante. (NIST, 2012) El método de publicación de la vulnerabilidad es un tema muy debatido en las comunidades de especialistas afines a la seguridad informática. Algunos afirman que es necesario publicar de inmediato toda la información acerca de una vulnerabilidad cuando se descubre, esto sería full disclosure. Otros sostienen que es preferible limitar la primera publicación a los usuarios que están necesitados de ella y, a continuación, tomarse un cierto tiempo para la publicación en detalle..

(17) CAPÍTULO 1. VULNERABILIDADES DE SEGURIDAD. 6. Este retraso permite dar tiempo a los desarrolladores para corregir la vulnerabilidad de la aplicación y la aplicación de los parches de seguridad necesarios, pero también puede aumentar los riesgos para los que no tienen esta información. La fecha de publicación es la primera fecha en la que la vulnerabilidad se describe en los medios, donde la información revelada tiene las siguientes condiciones: La información está disponible libre y públicamente. La información sobre la vulnerabilidad es publicada por una fuente independiente y de confianza. La vulnerabilidad ha sido analizada por expertos, incluida la estimación de los riesgos de la revelación. Sólo una publicación libre y completa puede asegurar que todas las partes interesadas reciban la información adecuada. La seguridad por oscuridad es un concepto que nunca ha funcionado. La fuente de la publicación debe ser independiente de un editor, de un fabricante o de un gobierno. Debe ser imparcial para permitir la difusión de información justa y crítica. Un medio de comunicación se considera como de confianza cuando se trata de una fuente de los sistemas de seguridad de información ampliamente aceptada en la industria. Algunos ejemplos son: CERT, Securityfocus y Secunia. El análisis y la estimación del riesgo deben garantizar la calidad de la información divulgada. Un solo debate de un posible agujero en una lista de difusión o una vaga información de un vendedor, no permiten calificar una vulnerabilidad. El análisis debe incluir suficientes detalles para permitir a un usuario determinar su propio riesgo individual o para permitirle tomar medidas inmediatas para protegerse. Cuando una vulnerabilidad ha sido publicada, el MITRE le atribuye una identificador CVE (MITRE, 2012b). Este identificador permite realizar búsquedas cruzadas entre las diversas fuentes de información (MITRE, 2012c). Hasta el 20 de junio de este año habían registrados 50571 CVEs. MITRE Corporation en su documentación define los Identificadores CVE, también llamados nombres CVE, números CVE, CVE-IDs y CVEs; como un identificador único y.

(18) CAPÍTULO 1. VULNERABILIDADES DE SEGURIDAD. 7. común para la publicación de vulnerabilidades de seguridad conocidas. Estos identificadores tienen estatus de entrante o candidato. El estatus entry indica la aceptación de un Identificador CVE en la lista, mientras que candidate indica que está en revisión para su posterior inclusión. En (MITRE, 2012a) se presenta una lista de productos compatibles con CVE. 1.1.2. Mitigación y corrección de vulnerabilidades. Hay muchas herramientas que pueden facilitar el descubrimiento de vulnerabilidades en sistemas informáticos, pero si bien estas herramientas pueden proporcionar a un auditor una buena visión general de este tipo de vulnerabilidades potenciales, no pueden sustituir el juicio humano. Confiar en escáneres automáticos de la vulnerabilidad producirá muchos falsos positivos y una visión limitada de los problemas presentes en el sistema. Los agujeros de seguridad han sido encontrados en todos los sistemas operativos. La única manera de reducir la probabilidad de que una vulnerabilidad puede ser explotada es mantener la vigilancia y desarrollar el mantenimiento del sistema mediante la aplicación de parches de seguridad, implementar una arquitectura de seguridad, controles de acceso y establecer auditorías de seguridad. 1.2. Tipos de vulnerabilidades. Con el avance del tiempo muchos autores han creado sus propias versiones acerca de la clasificación de vulnerabilidades. Recientemente con el surgimiento de nuevas categorías como la nube y las rede sociales, este tema se complica un poco más. De cualquier forma los clásicos se mantienen. Se comenta pues los tipos de vulnerabilidades según (INTECOCERT, 2012b). De configuración Si la gestión administrable por el usuario es tal que hace que el sistema sea vulnerable, la vulnerabilidad no es debida al diseño del mismo, sino a cómo el usuario final configura el sistema. También se considera error de este tipo cuando la configuración por defecto del sistema es insegura, por ejemplo, una aplicación recién instalada que cuenta con usuarios de base por defecto..

(19) CAPÍTULO 1. VULNERABILIDADES DE SEGURIDAD. 8. Validación de entrada Este tipo de vulnerabilidad se produce cuando la entrada que procesa un sistema no es comprobada adecuadamente, de forma que puede ser aprovechada por una cierta secuencia de entrada. Salto de directorio Esta aprovecha la falta de seguridad de un servicio de red, para desplazarse por el árbol de directorios hasta la raíz del volumen del sistema. El atacante podrá entonces desplazarse a través de las carpetas de archivos del sistema operativo, para ejecutar una aplicación de forma remota. Seguimiento de enlaces Se producen cuando no existe una protección lo suficientemente robusta que evite el acceso a un directorio o archivo desde un enlace simbólico o acceso directo. Inyección de comandos en el sistema operativo Este tipo de vulnerabilidad se refiere a la capacidad de un usuario que controla la entrada de comandos, bien a través de un terminal de UNIX/Linux o del cmd de Windows, para ejecutar instrucciones que puedan comprometer la integridad del sistema. Secuencias de comandos en sitios cruzados (XSS) Este tipo de vulnerabilidad abarca cualquier ataque que permita ejecutar código de scripting, como VBScript o javascript, en el contexto de otro dominio. Estos errores se pueden encontrar en cualquier aplicación HTML y no se limita a sitios web, ya que puede haber aplicaciones locales vulnerables a XSS o incluso el navegador en sí. El problema está en que normalmente no se validan correctamente los datos de entrada que son usados en cierta aplicación. Hay dos tipos: Indirecta: consiste en modificar valores que la aplicación web utiliza para pasar variables entre dos páginas, sin usar sesiones. Directa: consiste en localizar puntos débiles en la programación de los filtros..

(20) CAPÍTULO 1. VULNERABILIDADES DE SEGURIDAD. 9. Inyección SQL Inyección SQL es una vulnerabilidad informática en el nivel de base de datos de una aplicación. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. Una inyección de código SQL sucede cuando se inserta un trozo de código SQL dentro de otro código SQL con el fin de modificar su comportamiento, haciendo que ejecute el código malicioso en la base de datos. Un ejemplo es cuando un programa realiza una sentencia SQL sin querer con parámetros dados por el usuario para luego hacer una consulta de base de datos. En dichos parámetros que da el usuario estaría el código malicioso. Con estas inyecciones de código se pueden obtener múltiples resultados tales como datos escondidos, eliminar o sobrescribir datos en la base de datos y hasta lograr ejecutar comandos peligrosos en la máquina donde está la base de datos. El hecho de que un servidor pueda verse afectado por las inyecciones SQL, se debe a la falta de medidas de seguridad por parte de sus diseñadores o programadores, especialmente por una mala filtración de las entradas; ya sea por formularios, cookies o parámetros. Inyección de código Hay distintos sub-tipos dentro de esta clase de vulnerabilidad, estos son algunos ejemplos: Inyección directa de código estático: el software permite que las entradas sean introducidas directamente en un archivo de salida que se procese más adelante como código, un archivo de la biblioteca o una plantilla. En una inyección de código de tipo estático o también llamada permanente, una vez inyectado el código en una determinada parte de la aplicación web, este código queda almacenado en una base de datos. Una de las soluciones más apropiadas es asumir que toda la entrada es malévola. También es posible utilizar una combinación apropiada de listas negras y listas blancas para asegurar que solamente las entradas válidas y previstas son procesadas por el sistema. Evaluación directa de código dinámico: el software permite que las entradas sean introducidas directamente en una función que evalúa y ejecuta dinámicamente la entrada como código, generalmente en el mismo lenguaje del producto. En una inyección de código de tipo dinámico o no permanente la inyección tiene un tiempo de vida limitado y no se.

(21) CAPÍTULO 1. VULNERABILIDADES DE SEGURIDAD. 10. almacena, al menos permanentemente, en ningún sitio. Las soluciones más apropiadas son las mismas que para la inyección directa de código estático. Inclusión remota de archivo PHP: vulnerabilidad existente únicamente en páginas dinámicas escritas en PHP. Está debida a la inclusión de la función include(), la cual permite el enlace de archivos situados en otros servidores, mediante los cuales se puede ejecutar código PHP en el servidor. Se utilizan las funciones include, include_once, require y require_once, las cuales son utilizadas para incluir en una página web otras páginas; por tanto el atacante podrá obtener una interfaz con el sistema operativo, gracias a la cual se podrán dar las órdenes y mandatos para que el sistema realice las tareas deseadas en el servidor de la víctima y ejecutar un archivo. Para que se pueda ejecutar dicho archivo debe tener una extensión diferente a .php ya que con esta extensión el archivo se ejecutaría en el servidor del atacante y no en el de la víctima, así un archivo .txt o .gif serían algunos de los más adecuados. Error de búfer Un búfer es una ubicación de la memoria en una computadora o en un instrumento digital, reservada para el almacenamiento temporal de información digital mientras que está esperando ser procesada. Desbordamiento de búfer, buffer overflow u overrun: un búfer se desborda cuando, de forma incontrolada, al intentar meter en él más datos de los que caben, ese exceso se vierte en zonas de memoria del sistema causando daños. Son defectos de programación y existen algunos lenguajes que impiden que los desbordamientos puedan ocurrir. Agotamiento del búfer, buffer underflow o underrun: es un estado que ocurre cuando un búfer usado para comunicarse entre dos dispositivos o procesos se alimenta con datos a una velocidad más baja que los datos se están leyendo en ellos. Esto requiere que la lectura del programa o del dispositivo del búfer detenga brevemente su proceso. Formato de cadena Este tipo de vulnerabilidad tiene lugar cuando se produce a través de cadenas de formato controladas externamente, como el tipo de funciones printf en el lenguaje C que pueden.

(22) CAPÍTULO 1. VULNERABILIDADES DE SEGURIDAD. 11. conducir a provocar desbordamientos de búfer o problemas en la representación de los datos. Errores numéricos Desbordamiento de entero o integer overflow: un desbordamiento del número entero ocurre cuando una operación aritmética procura crear un valor numérico que sea más grande del que se puede representar dentro del espacio de almacenaje disponible. Por ejemplo, la adición de 1 al valor más grande que puede ser representado constituye un desbordamiento de número entero. Agotamiento de entero o integer underflow: consiste en que un valor se resta de otro, que es menor que el valor mínimo del número entero, y que produce un valor que no es igual que el resultado correcto. Revelación o Filtrado de información Un filtrado o fuga de información puede ser intencionado o no intencionado. En este aspecto los atacantes pueden aprovechar esta vulnerabilidad para descubrir el directorio de instalación de una aplicación, la visualización de mensajes privados, etc. La severidad de esta vulnerabilidad depende del tipo de información que se puede filtrar. Gestión de credenciales Este tipo de vulnerabilidad tiene que ver con la gestión de usuarios, contraseñas y los ficheros que almacenan este tipo de información. Cualquier debilidad en estos elementos es considerado como una vulnerabilidad que puede ser explotada por un atacante. Permisos, privilegios y/o control de acceso Se produce cuando el mecanismo de control de acceso o asignación de permisos es defectuoso. Hay que tener en cuenta que se trata del sistema en sí y no se debe confundir con una mala gestión por parte del administrador. Fallo de autenticación Esta vulnerabilidad se produce cuando la aplicación o el sistema no es capaz de autenticar correctamente al usuario, proceso, etc..

(23) CAPÍTULO 1. VULNERABILIDADES DE SEGURIDAD. 12. De carácter criptográfico La generación de números aleatorios para generar secuencias criptográficas, la debilidad o distintos fallos en los algoritmos de encriptación, así como defectos en su implementación estarían ubicados dentro de este tipo de vulnerabilidad. Falsificación de petición en sitios cruzados (CSRF) Este tipo de vulnerabilidad afecta a las aplicaciones web con una estructura de invocación predecible. El agresor puede colocar en la página cualquier código, el cual posteriormente puede servir para la ejecución de operaciones no planificadas por el creador del sitio web, por ejemplo: capturar archivos cookies sin que el usuario se percate. El tipo de ataque CSRF más popular se basa en el uso de la etiqueta HTML <img>, la cual sirve para la visualización de gráficos. En vez del marcador con la URL del archivo gráfico, el agresor pone una etiqueta que lleva a un código JavaScript que es ejecutado en el navegador de la víctima. Condición de carrera Una condición de carrera se produce cuando varios procesos tratan de acceder y manipular los mismos datos simultáneamente. Los resultados de la ejecución dependerán del orden particular en que el acceso se lleva a cabo. Una condición de carrera puede ser interesante para un atacante cuando puede ser utilizada para obtener acceso al sistema. Error en la gestión de recursos El sistema o software que padece de este tipo de vulnerabilidad permite al atacante provocar un consumo excesivo en los recursos del sistema, ya sea disco, memoria o CPU. Esto puede causar que el sistema deje de responder y provocar denegaciones de servicio. Error de diseño En ocasiones los programadores, bien por culpa de los entornos de trabajo o bien por su metodología de programación, cometen errores en el diseño de las aplicaciones. Esto provoca que puedan aparecer fallos de seguridad y la consiguiente vulnerabilidad. También se puede aplicar el error de diseño si no hay fallos en la implementación ni en la configuración de un sistema, sino que el diseño inicial es erróneo..

(24) CAPÍTULO 1. VULNERABILIDADES DE SEGURIDAD. 1.3. 13. Escáner de vulnerabilidades. Un escáner de vulnerabilidades es un programa diseñado para valorar el estado de seguridad de computadoras, sistemas de computadoras, redes o aplicaciones. Hay varios tipos disponibles en la actualidad y aunque su funcionalidad varía con respecto muchos aspectos, comparten un principio común: enumerar las deficiencias de seguridad en uno o varios objetivos. La mayoría de los materiales bibliográficos consultados clasifican los tipos de escáneres de vulnerabilidades en: Escáner de puertos. De seguridad en bases de datos. Enumerador de red. Escáner ERP. Escáner de vulnerabilidades de red. Gusano de red. De seguridad en aplicaciones web. Escáner CGI. El escáner de puertos prueba a los objetivos, servidores o no, para la obtención de información sobre puertos abiertos. Son usados frecuentemente por los administradores para la verificación de las políticas de seguridad en su red y también por los atacantes para la identificación de servicios u otra información comprometedora. Quizás el mejor ejemplo de este tipo de escáner es el Nmap. La enumeración de red es una actividad en la que se busca información sobre nombres de usuario, grupos de usuarios, recursos compartidos y servicios en las computadoras en red. En esta clasificación también está Nmap y además otros como Nessus. Como su nombre lo indica, el de seguridad en aplicaciones web se comunica con una aplicación web en la búsqueda de brechas. Este realiza chequeos de caja negra o black-box test, o sea, se representan solo en términos de sus entradas y salidas. A diferencia de escáneres de código de fuente, los escáneres de aplicaciones web no tienen acceso al código de fuente y por lo tanto detecta las vulnerabilidades mediante ataques (WEBAPPSEC, 2009). El Anexo 1 contiene productos que cumplen los requisitos de un escáner de vulnerabilidades web, según (WEBAPPSEC, 2011)..

(25) CAPÍTULO 1. VULNERABILIDADES DE SEGURIDAD. 14. Los escáneres CGI son herramientas sencillas que buscan por vulnerabilidades comunes en aplicaciones CGI o web. Estos han sido reemplazados por escáneres de aplicaciones web, debido a sus pocas posibilidades. Algunos ejemplos productos que pertenecen incluso a varios de estos tipos serán tratados en el Capítulo 2 de este trabajo. 1.4. La web: uno de los más difíciles recursos para cuidar. Cualquier defensa a nivel de red, díganse cortafuegos, transporte seguro SSL, etc.; no proveen protección alguna contra ataques de aplicaciones web. Esto es debido a que utilizan el puerto 80 que debe permanecer abierto siempre por razones de funcionalidad. En adición, la mayoría de las aplicaciones web están hechas a la medida y por tanto, probadas menos que otro tipo de software, lo cual implica que es usual que contengan vulnerabilidades no descubiertas u ocultas. No alcanzaría una serie de libros para abarcar lo que concierne a las vulnerabilidades web. Algunos ejemplos se citan a continuación. (Mihailowitsch, 2011) Muchos de los componentes de aplicaciones web, como Javascript, corren del lado del cliente y no solo en el servidor proveedor, como los servlets. En la medida en que pasa el tiempo, crece la necesidad de más servicios web y a la vez la consistencia, facilidad en el uso e interactividad de los mismos. Por esta razón, incluso la más sencilla de las aplicaciones web obtiene y procesa una gran variedad de parámetros HTTP, lo cual puede resultar en la exposición a una extensa variedad de vulnerabilidades que pueden ser explotadas como: Cross-site scripting, inyección SQL e inyección de comandos. Los tipos antes mencionados son en la actualidad bien conocidos, y se ha investigado mucho al respecto. Sin embargo, una vulnerabilidad que ha existido durante mucho tiempo y ha comenzado a aumentar el estado de alerta en el mundo de la seguridad web es la contaminación de parámetros HTTP o HTTP Parameter Pollution (HPP). Esta vulnerabilidad fue presentada por primera vez por Stefano di Paola y Carettoni Luca en 2009 en la conferencia OWASP Polonia. En (Chrysostomos, 2012) se da una explicación bastante aceptable de este problema. De nuevo la seguridad del lado del cliente está afectada por la programación de scripts DOM (Document Object Model) que afectan el lado del navegador web. DOM es una.

(26) CAPÍTULO 1. VULNERABILIDADES DE SEGURIDAD. 15. forma en la que los scripts pueden acceder la estructura de una página web en la que residen y son usados para manipular el contenido de páginas en aplicaciones web 2.0. De igual manera que los scripts del lado del servidor, los del lado del cliente pueden aceptar la entrada de código malicioso. Es por esto que si los scripts del lado del cliente no inspeccionan apropiadamente, son propensos a vulnerabilidades DOM XSS (Cross-site scripting). (Grossman, 2006) En (Csonka, 2010) se presentan varios ejemplos de las posibles fuentes que pueden contener vectores de ataques: propiedad document.referer, propiedad window.name y la propiedad location. Desde un punto de vista más práctico y visible está el creciente número de robo de credenciales a partir de ataques a sitios web. Esto tiene un impacto particularmente grande en el sensible mundo de los sitios que manejan mecanismos de finanzas. Como en estadísticas el 70% de los sitios web presentan problemas de seguridad, es obvio que los problemas serán beneficios de otros capaces de aprovechar se estos. El artículo web (Wlasuk, 2012) no es tan técnico como tan ilustrativo al respecto. Este autor plantea refiriéndose al tema que las empresas financieras terminan con problemas de seguridad porque nunca preguntaron al respecto. De estos materiales se deriva que la seguridad de servicios web es en principio diferente a la seguridad de redes. La diferencia radica en lo particular. En (Abela, 2010) aparece una guía práctica para asegurar sitios web a partir de resultados de escaneos con la herramienta Acunetix. Cross-site request forgery, CSRF, XRSF, sea-surf, conocido también como ataque de un clic, es el mismo tipo de exploit malicioso para sitios web que consiste en comandos no autorizados transmitidos desde un usuario de confianza. A diferencia de XSS que explota la confianza que un usuario tiene en un sitio web particular, CSRF explota la confianza que tiene el sitio web en el navegador del usuario. Se tiene conocimiento de este tipo de vulnerabilidades desde el 2001. Como se lleva a cabo desde el IP del usuario, mucho sitios web no registran la ocurrencia de un CSRF. Al menos 18 millones de usuarios de eBay en Korea, dígase Auction.co.kr perdieron información personal en febrero del 2008. Otro ejemplo fue en México en el mismo año, cuando clientes de un banco fueron atacados por.

(27) CAPÍTULO 1. VULNERABILIDADES DE SEGURIDAD. 16. una imagen adjunta a un e-mail. La imagen contenía un enlace que cambiaba el nombre de dominio del banco en el router ADSL, apuntando a un sitio web malicioso que se hacía pasar por el del banco. De acuerdo con el United States Department Of Homeland Security, la posición de esta vulnerabilidad en la escala es la 909, lo cual la hace más peligrosa que muchos desbordamientos de buffer. 1.5. Dinámica de la producción de soluciones de seguridad. Para que se tenga una idea de la cantidad de información que se genera al respecto de la producción de información sobre seguridad, hay que decir que fue imposible revisar toda la disponible en Internet en un período de 5 meses de trabajo continuo y variado; mucho más cuando noticias y materiales publicados aparecen diariamente. No obstante, fue posible encontrar ejemplos de empresas importantes y equipos dedicados a esta área con gran grado de actividad y reconocimiento. Es difícil certificar una comparación al respecto, solo es posible mencionar lo apreciado en la revisión de la bibliografía. Una fuente bien productiva en cuanto a las vulnerabilidades radica en cada empresa dedicada a la seguridad. Cada uno de los sitios web de estas empresas, trae acompañado un sistema de blogs, fórums, listas de correos y publicaciones web de gran movimiento. En este caso están Acunetix, Tenable Security, White hack Security Company, VUPEN Security, Security Week Network, Help Net Security, Cisco, las empresas de antivirus, Microsoft, etc. Otros sitios web especializados en reportes de vulnerabilidades son: SecurityFocus, SecurityVulns, COMPUTERWORLD. 1.5.1. Algunas empresas especializadas más relevantes por su rango en el mercado. Gracias a Google Finance se pudo obtener información detallada de las empresas relacionadas en el campo de la seguridad en la informática y las comunicaciones. El número de estas instituciones comerciales es enorme, de todas formas lo más importante fue notar la estrecha relación entre su éxito comercial y las herramientas que proponen. A continuación se presentan anotaciones tomadas de esta fuente, sobre el rol de algunas de las empresas más relevantes..

(28) CAPÍTULO 1. VULNERABILIDADES DE SEGURIDAD. 17. Tenable Network Security Tenable Network Security cuenta con un enfoque unificado de monitoreo de seguridad de red. La compañía proporciona software utilizado para administrar las políticas de seguridad y escaneo de vulnerabilidades. La Suite Unificada de Monitoreo de Seguridad de Tenable incluye cuatro aplicaciones integradas, con buque insignia en su escáner de vulnerabilidades Nessus. Las otras aplicaciones son para evaluar las amenazas entre las exploraciones (Passive Vulnerability Scanner), monitor de seguridad y el cumplimiento de políticas (Centro de seguridad), para manejar y analizar los datos del registro de eventos (Log Correlation Engine). Los clientes de Tanable provienen de una variedad de industrias que incluyen servicios financieros, manufactura, bienes de consumo y la salud. Un poco más de información se puede acceder en (HOOVERS, 2012d). RSA Security LLC RSA Security quiere que muestren una identificación. La compañía, que opera como RSA, la División de Seguridad de EMC, ofrece software y hardware que se utiliza para proteger, controlar y administrar el acceso a las redes de ordenadores y al software empresarial. Como filial del fabricante de sistemas de almacenamiento de datos EMC, ofrece acceso a Internet y software de gestión de certificados digitales, así como herramientas de desarrollo para herramientas de cifrado. El segmento de servicios creciente de la empresa ofrece consultoría en seguridad, diseño e integración de sistemas, mantenimiento y capacitación. RSA vende directamente a través de revendedores, distribuidores y fabricantes. Los clientes provienen de una variedad de industrias, incluyendo telecomunicaciones, salud y servicios financieros. (HOOVERS, 2012c) SafeNet Holding Corporation La compañía ofrece productos de seguridad que protegen las comunicaciones de red, propiedad intelectual, las aplicaciones de software, y la identidad personal. Su software y sistemas de hardware emplean la tecnología de encriptación en tokens USB de identidad y tarjetas inteligentes, redes privadas virtuales (VPN) y dispositivos de seguridad contra la piratería de software y productos digitales y de gestión de derechos. Los clientes de SafeNet incluyen instituciones financieras, agencias gubernamentales y empresas. Algunos de los clientes han sido Adobe, Nokia, Cisco, Departamento de Defensa y el IRS..

(29) CAPÍTULO 1. VULNERABILIDADES DE SEGURIDAD. 18. Intellitactics, Inc. Intellitactics ofrece un plan integral para gestionar la seguridad de la empresa. La compañía proporciona software y hardware que utilizan las empresas para gestionar las amenazas de seguridad a los activos de TI, el cumplimiento de la dirección de las políticas internas y reglamentarias, y medida de seguridad la respuesta a incidentes y resolución. Comercializa sus productos a las entidades gubernamentales, empresas de servicios financieros y proveedores de servicios gestionados de seguridad. Además de sus productos de software, la compañía ofrece servicios tales como consultoría, mantenimiento, capacitación y apoyo. Intellitactics ha recibido capital de riesgo de la JMI Equity Fund y Lazard Technology Partners. En 2010, la compañía fue adquirida por Chicago-based Trustwave Holdings, Inc. McAfee, Inc. McAfee ofrece productos de seguridad de red que protegen a las computadoras, redes y dispositivos móviles. Su software y hardware se utilizan para protegerse contra virus, spam y spyware, así como para gestionar la prevención de pérdida de datos, seguridad móvil, prevención de intrusiones en el host, cifrado y seguridad de correo electrónico. McAfee obtiene la mayor parte de sus ventas mediante servicios de seguimiento, apoyo y suscripciones para su software. La compañía vende directamente ya través de distribuidores a las empresas y los consumidores, principalmente en los EE.UU., su mayor mercado internacional es Europa, y registra las ventas en Asia (especialmente Japón) y América Latina. McAfee fue adquirida en 2011 por Intel por el precio de alrededor de $ 7,68 mil millones. (HOOVERS, 2012b) eEye Digital Security eEye Digital Security ofrece los productos insignia Retina de seguridad que las empresas y agencias gubernamentales utilizan para evaluar las vulnerabilidades de la red y proteger contra los ataques. Sus ofertas incluyen el hardware y el software de escaneado en red, así como software de protección de punto final, el análisis de tráfico de red y aplicaciones de seguridad de servidor Web. eEye también proporciona servicios profesionales, tales como consultoría, análisis de vulnerabilidad, y la investigación personalizada. Los clientes de la compañía provienen de una variedad de campos, incluyendo educación, servicios.

(30) CAPÍTULO 1. VULNERABILIDADES DE SEGURIDAD. 19. financieros y la salud. eEye fue fundada en 1998 y actualmente ha sido adquirida por BeyondTrust. (Hickey, 2012) (HOOVERS, 2012a) 1.5.2. Las vulnerabilidades y las nuevas tendencias: la nube. El amplio uso de la virtualización en la implementación de infraestructura en la nube, trae preocupaciones de seguridad únicas para los clientes de un servicio de nube pública. La virtualización altera la relación entre el sistema operativo y el hardware subyacente. Esto introduce una capa adicional: la de virtualización. Este nivel debe estar correctamente configurado para su administración segura. Las preocupaciones específicas incluyen el potencial de comprometer el software de virtualización o hypervisor. Si bien estas preocupaciones son en gran parte teóricas, existen. La visión de las vulnerabilidades de la nube no es completamente diferente, solo que ahora se aborda desde un sistema con las características antes mencionadas. Hace buen tiempo que aparecen artículos y noticias como en (Wilson and Reading, 2011) y en (Karena, 2011), que comentan sobre este ángulo nuevo de la seguridad de servicios virtuales. En el artículo (Beckman, 2012), el autor expone según él cinco aspectos relevantes en la seguridad de la nube. También muchos fabricantes de soluciones de virtualización como VMWare han atendido la aparición de deficiencias en sus productos. BM por ejemplo tiene servicios para el manejo de vulnerabilidades. En (IBM, 2012) la empresa expone este servicio. Los escáneres de vulnerabilidades más importantes ya incluyeron es sus bases lo necesario para realizar chequeos al ambiente de la nube..

(31) CAPÍTULO 2. HERRAMIENTAS PARA EL CHEQUEO DE VULNERABILIDADES DE SEGURIDAD. 20. CAPÍTULO 2. HERRAMIENTAS PARA EL CHEQUEO DE VULNERABILIDADES DE SEGURIDAD. En este capítulo se abordan las características de las herramientas de software para el chequeo de vulnerabilidades de seguridad, en entidades de una red de computadoras. Las variantes descritas fueron obtenidas a partir del análisis sobre el estado actual al respecto. Entre las herramientas tratadas están: Tenable Nessus, GFI LANguard Network Security Scanner, Microsoft Baseline Network Security Analyzer, Nmap, etc. 2.1. Nmap. Nmap viene de Network Mapper y es una herramienta de código abierto para el escaneo de red y auditoría de seguridad con más de cincuenta tipos de técnicas para ello. Muchos administradores de redes y sistemas encuentran útil este programa para tareas tales como inventarios de red y el monitoreo del tiempo de actividad de un servicio. (Lyon, 2012a) Nmap usa paquetes IP conformados en una forma especial para determinar las estaciones presentes en una red, qué servicios ofrecen (con nombre y versión), qué sistema operativo está corriendo, qué tipo de filtro o cortafuegos está presente y muchas otras características. Funciona en muchos sistemas operativos e incluye en su conjunto a Zenmap una GUI y visor de resultados; Ncat, una herramienta flexible para re direccionar tráfico; Ndiff, una herramienta para comparar resultados y Nping para la generación de paquetes y respuesta. Zenmap de Adriano Monteiro Marques, reemplazó a NmapFE de la versión 4.50 en adelante. La Figura 2.1 muestra la GUI de Zenmap. Está muy bien documentada por su propio autor Gordon Lyon. El mantenimiento del código de fuente es constante, esto pone a la herramienta en constante desarrollo. Ha sido titulada como Producto de Seguridad del Año por Linux Journal, Info World, LinuxQuestions.org y CodeTalker Digest. (Lyon, 2012b).

(32) CAPÍTULO 2. HERRAMIENTAS PARA EL CHEQUEO DE VULNERABILIDADES DE SEGURIDAD. 21. Figura 2.1 GUI de Zenmap tomada de Ubuntu 10.04 LTS por captura de pantalla.. Como la mayoría de las herramientas, Nmap puede usarse para fines no éticos. Es estos casos es típico la determinación de puertos abiertos, por los que corren programas con vulnerabilidades. Esta información se utiliza después para ataques de penetración. 2.1.1. Comandos básicos de Nmap y tipos de. Las opciones más básicas de Nmap no son precisamente las que mejor se ajustan a la mayoría de las necesidades. Esto sería para principiantes o para una análisis muy coloquial. Para especificación de objetivos: nmap < URLs o IPs separados por espacio (puede ser en notación CIDR)> Para detección de sistema operativo: nmap –O <URL o IP del o de los objetivos> Para la detección de versión: nmap -sV <URL o IP del o de los objetivos> Para la configuración de tiempos de respuesta, desde T0 hasta T5: nmap -T0 -sV -O < URL o IP del o de los objetivos > En los módulos del curso (Messer and Messer, 2007), se exponen estas y otras opciones de escaneo muy útiles de manera muy didáctica. En este mismo recurso se pueden estudiar.

(33) CAPÍTULO 2. HERRAMIENTAS PARA EL CHEQUEO DE VULNERABILIDADES DE SEGURIDAD. 22. variantes de escaneo con exclusiones, escaneo ninja, escaneo de reconocimiento y otras técnicas que serán expuestas más adelante. Se sabe de la existencia de versiones más actuales de este curso, pero no se tuvo acceso a ellas. De cualquier forma, las técnicas expuestas son universales en el mundo de este programa, solo el hecho de que GUI Zenmap no estaba presente se puede señalar como faltante. 2.1.2. Reportes de resultados. Nmap puede entregar los resultados de escaneos en cinco formas posibles: interactivo, XML, Grepable, normal y Script kiddie. Las opciones para configurar esta capacidad del programa son: Formato normal. -oN <log_file_name>. Grepable. -oG <log_file_name>. XML/XSL. -oX <log_file_name>. Todos los formatos en un solo archivo. -oN <log_file_name>. La presentación del formato normal es muy clara y limpia en pantalla. Se presenta en texto plano, valga la redundancia y es ideal para imprimir. No obstante se hace difícil en un proceso automático de procesamiento de resultados con herramientas como AWK o grep. Esto se debe principalmente a que el resultado varía con cada tipo de escaneo. Los autores de (Messer and Messer, 2007) dicen de manera jovial y en inglés: solo recuerde que si es humano, Ud. pereferirá el formato normal. Grepable está diseñado específicamente para el empleo de Global Regular Expression Print o grep. Esta es una herramienta poderosa y fácil de usar para la búsqueda de expresiones en archivos o en el disco duro. Para este formato cada salida para una entidad está en una sola línea, lo cual se presenta difícil de leer para el ojo humano. Este es también un formato variable de acuerdo con el tipo de escaneo. El formato XML también tiene un nivel de estandarización en lo que se refiere a su empleo con la herramienta Nmap. Estó está recogido en archivo Nmap XML Document Type Definition o DTD. El grado de estandarización de XML al respecto está bien establecido. Quizás la principal aplicabilidad que tiene este formato es la conversión a archivo HTML con la utilización del lenguaje XSL (Extensible Stylesheet Language). Esto es muy.

(34) CAPÍTULO 2. HERRAMIENTAS PARA EL CHEQUEO DE VULNERABILIDADES DE SEGURIDAD. 23. deseable pues se pueden crear reportes de muy buena presencia, fáciles de leer y de publicar en páginas web. Una de las funcionalidades que tiene este programa, es la capacidad de continuar una tarea interrumpida a partir de la lectura de archivo de eventos. Esta habilidad solo está disponible, hasta lo que se sabe de las versiones en Ubuntu 10.04 LTS, con los formatos Normal y Grepable. Script kiddie es quizás una firma del autor que lo caracteriza con un buen sentido del humor. Es un formato sin sentido práctico, solo jovial para quizás compartir los reportes con compañeros de equipo o algo más ocurrente. En (Messer and Messer, 2007) dicen al respecto: don´t be a n00b. 2.1.3. Tipos de escaneo con Nmap. Si no se es un experto en Nmap, se debe iniciar por entender los siguientes tipos de escaneo: TCP SYN scan (-sS) TCP connect() scan (-sT) Ping scan (-sP) UDP scan (-sU) El TCP SYN scan (-sS) es la configuración por defecto cuando se opera Nmap con usuarios administrativos. Es la más deseable y popular para muchas ocasiones pues puede escanear cientos de puertos con rapidez, en una red no obstaculizada por cortafuegos. Es relativamente sigiloso pues nuca completa conexiones TCP, lo que implica que no sale en archivos de eventos (ver Figura 2.2). Puede informar de puertos abiertos, cerrados o filtrados; si se necesita de otra información entonces no es este tipo de escaneo el que hay que efectuar. Funciona en cualquier escenario con TCP. Otras desventajas son el hecho de que requiere de privilegios y genera un gran número de RSTs..

(35) CAPÍTULO 2. HERRAMIENTAS PARA EL CHEQUEO DE VULNERABILIDADES DE SEGURIDAD. SYN + Port 1. 24. 13. RS T. Fuente. Destino. Figura 2.2 Representación de un escaneo SYN. Elaboración propia.. El TCP connect() es mejor cuando se necesita más detalles sobre los puertos o para cuando no hay privilegios de súper usuarios. Cuando un puerto abierto se encuentra en un dispositivo remoto, la tarea realiza la operación TCP típica de conexión de la Figura 2.3. Para esto le pide al sistema operativo que establezca la conexión con el objetivo; el sistema operativo hará la misma operación que realiza para navegadores web, clientes P2P y otras aplicaciones que utilizan conexión TCP.. SYN + Port 80 SYN ACK. A CK RS T Fuente. Destino. Figura 2.3 Representación del funcionamiento de SYN TCP connect() en la determinación de puertos abiertos con el puerto 80. Elaboración propia.. TCP connet() scan tiene otro comportamiento cuando el puerto resulta estar cerrado, similar a la Figura 2.2. En cualquier caso, Nmap tiene menos control de la llamada de alto nivel connet() que de los paquetes en bruto, lo cual hace que este tipo de escaneo sea menos eficiente. Además no es solo el hecho de la cantidad de tiempo y de paquetes requeridos, sino también que las entidades objetivo pueden registrar los eventos de conexión y sufren de una pequeña demanda de recursos. Aunque en apariencia los resultados son iguales, es más usual que la primera variante, el SYN scan, sea más apropiada Ping scan (-sP) es uno de los más rápidos que Nmap puede realizar. Algunas veces solo es requerido si una estación está presente en la red o no. Para ello se realiza un proceso análogo al de la Figura 2.2, solo que esta vez involucra una petición ICMP y un eco ICMP. Es una de las técnicas de escaneo más comunes, por lo que se presenta como un patrón de.

(36) CAPÍTULO 2. HERRAMIENTAS PARA EL CHEQUEO DE VULNERABILIDADES DE SEGURIDAD. 25. tráfico bastante común. No requiere de credenciales ni de privilegios administrativos, sin embargo su información es limitada y no puede usarse en unión a los otros tipos de escaneo. No ofrece información de los puertos del objetivo y no puede distinguir si la falta de respuesta es debido a un cortafuego o a que la entidad está apagada. Es útil cuando se quiere un inventario de estaciones activas en la red o en algunos casos donde no se necesita de información de puertos. El UDP scan (-sU) presenta resultados bastante diferentes que la forma en que los presenta TCP connect() scan. Desde el punto de vista de la popularidad que han ganado las aplicaciones de multimedia y otras que utilizan este protocolo de transporte, se ha vuelto muy útil esta faceta de Nmap. Entre sus ventajas está el hecho de la poca sobrecarga de tráfico y su efectividad en objetivos con productos de Microsoft, pues no limitan los puertos de UDP. Este tipo también necesita de privilegios dentro del sistema operativo para poderse ejecutar y además puede incrementar el tráfico cuando los paquetes ICMP indiquen que el puerto está inalcanzable. Muchos de los sistemas operativos emparentados con UNIX limitan el throughput a través de puertos UDP, lo cual influye en que tome más tiempo en resolverse el scan en estos casos. Muchos más modos de escaneo y técnicas avanzadas se pueden estudiar en (Lyon, 2012a) 2.2. GFI LANguard Network Security Scanner. GFI LANguard es una aplicación para requisar el estado de seguridad de la red, los dispositivos y aplicaciones. Se complementa con funciones de auditoría y solucionador de problemas. La identificación de vulnerabilidades se apoya en una base de datos muy completa, que incluye pruebas basadas en directivas de las instituciones especializadas en el tema como: OVAL, CVE, y SANS (SANS, 2009). El sistema de auditoría permite un alto grado de detalle pues puede enumerar desde, los programas instalados hasta los dispositivos USB asociados a la entidad conectada a la red. Permite además la descarga automática de parches de seguridad y actualizaciones para sistemas operativos de Microsoft, así como la eliminación automática de software no autorizado. Está construida sobre una arquitectura que fiable y escalable que puede atender redes medianas y grandes. Está construido con los siguientes componentes: la consola de administración, el servicio sirviente, el agente de actualizaciones y el depurador de scripts..

(37) CAPÍTULO 2. HERRAMIENTAS PARA EL CHEQUEO DE VULNERABILIDADES DE SEGURIDAD. 26. Opcionalmente se le integran otras aplicaciones emparentadas como el paquete de reportes, que sirve para construir reportes accesibles para los usuarios. La consola de administración es la GUI a través de la cual se opera toda la funcionalidad de GFI LANguard. Esto incluye: Desencadenar los escaneos de seguridad, despliegue de parches y sesiones de reparación de vulnerabilidades. Presentar resultados de chequeos de seguridad en curso o previamente salvados. Configuración de opciones de escaneo, perfiles y filtros de reportes. Uso de herramientas especializadas en la administración de seguridad. El GFI LANguard attendant service es el servicio de fondo que maneja todas las tareas programadas, ya sean chequeos u operaciones de despliegue parches y reparación de daños. El servicio agente para parches de seguridad, es el agente de fondo que maneja la instalación de estas mejoras. Asociado a esto comprueba por actualizaciones de programas y servicios en las computadoras analizadas. El depurador de scripts es el módulo que permite escribir scripts hechos a la medida de las necesidades. Estos códigos están escritos en un lenguaje VBScript compatible. La estrategia para el manejo de vulnerabilidades de GFI LANguard consiste de la siguiente secuencia recomendada por sus diseñadores en (Ltd., 2009): escaneo, análisis y reparación. 2.2.1. Realización del proceso de auditoría. La auditoría de seguridad implica cualquier tipo de chequeo que sea necesario realizar a la red. Esto incluye chequeo de puertos abiertos, de vulnerabilidades de Microsoft producto a la no instalación de actualizaciones de seguridad, información sobre servicios y procesos de los usuarios. Esta es la perspectiva de GFI LANguard Network Security Scanner. EL proceso automático de escaneo tiene tres estados distintos: Estado 1 Determinar la disponibilidad de la computadora objetivo.. Determinar si la computadora objetivo está visible y disponible para el escaneo de vulnerabilidad. Esto se determina mediante peticiones de conexión tramitadas por NetBIOS, SNMP o por ICMP ping..

(38) CAPÍTULO 2. HERRAMIENTAS PARA EL CHEQUEO DE VULNERABILIDADES DE SEGURIDAD. 27. Estado 2 Establecer conexión con el objetivo.. Establecer una conexión directa con la computadora destino, iniciando una sesión remota. Para ejecutar un chequeo GFI LANguard debe iniciar una sesión con privilegios administrativos.. Estado 3 Ejecutar el chequeo de vulnerabilidades.. Ejecutar el chequeo de vulnerabilidades configurado en el perfil de escaneo seleccionado, para identificar las debilidades de seguridad presentes.. Este programa es relativamente fácil de usa. Inmediatamente después de instalado permite, con la configuración por defecto, realizar las tareas. Estas opciones pre configuradas están localizadas dentro de la etiqueta Network Audit en la GUI. Inmediatamente que se abre el programa, esta etiqueta es lo que primero aparece en la consola (ver Figura 2.4).. Figura 2.4 Interfaz gráfica de usuario del GFI LANguard, tal y como inicia. Véase a simple vista las opciones que ofrece para el chequeo. Tomado por captura de pantalla.. Los parámetros pre configurados en estas opciones incluyen el perfil para el chequeo. El perfil no es más que la colección que chequeos que determinan las vulnerabilidades que se buscan y qué información será requisada en el objetivo. Las opciones por defecto proveen.

(39) CAPÍTULO 2. HERRAMIENTAS PARA EL CHEQUEO DE VULNERABILIDADES DE SEGURIDAD. 28. acceso a los siguientes modos de escaneo: Quick scan, Full scan, Launch a custom scan y Set up a scheduled scan. El primero de los tipos de escaneo, audita las computadoras en búsqueda solamente de información del sistema y de vulnerabilidades críticas de seguridad. El perfil de chequeo usado en esta opción es puesto por defecto a High Security Vulnerabilities. Este tipo de escaneo es relativamente corto en tiempo, en comparación con el modo completo. Esto se debe principalmente a que solo un subconjunto de la base datos para los chequeos es utilizado. Se recomienda el empleo de Quick scan en los siguientes casos: La primera vez que se realiza un chequeo, pues en breve espacio de tiempo presenta una muestra de la información que GFI LANguard puede obtener del objetivo. Para auditorías frecuentes pues es un método menos intrusivo y no genera tanta sobrecarga en la red y los dispositivos. Para recibir información del sistema o para obtener solamente las vulnerabilidades críticas. El modo de escaneo completo o Full scan, audita las computadoras en búsqueda de información detallada del sistema y de todas las vulnerabilidades de seguridad posibles. Por defecto el perfil de escaneo es el mismo que en la variante rápida. Este es el método más demorado en tiempo, debido a la gran cantidad de información a obtener de los objetivos. Pro estas características, GFI Ltd. Recomienda que se emplee con menos frecuencia, en situaciones como: en el surgimiento de nuevas amenazas, ante actividad sospechosa en el medio o cuando se necesite toda la información posible. El tercer modo permite configurar los parámetros a usar en el chequeo. La configuración se realiza con un asistente y los parámetros incluyen el perfil a elegir, los objetivos y las credenciales. Los perfiles están organizados en tres grupos: Valoración de vulnerabilidades: especializado en chequear las computadoras por amenazas basadas en directivas de OVAL/CVE y en el boletín SANS Top 20. Auditoría de red y software: este grupo contiene perfiles para chequear las computadoras en búsqueda de información del sistema como: tipo de sistema operativo, dispositivos USB conectados y aplicaciones instaladas..

(40) CAPÍTULO 2. HERRAMIENTAS PARA EL CHEQUEO DE VULNERABILIDADES DE SEGURIDAD. 29. Complete/Combination: este contiene perfiles para chequeo completo tanto de información del sistema como de deficiencias de seguridad. GFI Ltd. recomienda el empleo del modo personalizado en chequeos poco frecuentes con parámetros o perfiles específicos. El último modo funciona como una tarea programada, que puede ser realizada incluso a intervalos. Con este tipo de chequeos se puede descargar automáticamente las actualizaciones de seguridad requeridas para Windows, en función de la brecha que se detecte; puede enviar correos con notificaciones sobre amenazas encontradas; puede generar y distribuir vía e-mail reportes comparativos sobre escaneos consecutivos; por último, puede desinstalar automáticamente aplicaciones no autorizadas. 2.2.2. Resultados de los chequeos con GFI LANguard. Lo más importante a realizar después que se efectuó un análisis de seguridad, es determinar qué puntos requieren la atención inmediata. Esto implica interpretar correctamente la información colectada. Luego que se completa una tarea, GFI LANguard muestra inmediatamente un resumen del resultado donde se representa gráficamente el nivel de vulnerabilidad del sistema. El color rojo indica vulnerabilidades de nivel alto, mientras que el color verde indica el nivel más bajo. Los grupos en se organizan son: nivel alto, nivel bajo, vulnerabilidad potencial, paquetes de servicios no instalados y actualizaciones no instaladas. La suite incluye un paquete de software para reportes con el ReportCenter y el ReportPack. Inmediatamente terminado el análisis, se puede conformar mediante el empleo de estos programas reportes de buena presencia para su posterior presentación en juntas técnicas. 2.3. Nessus. Nessus es un programa propietario y abarcador desarrollado por Tenable Network Security para el escaneo de vulnerabilidades. Es libre de usar para uso personal, no empresarial. Tiene variantes para los sistemas operativos más importantes como los de Microsoft, las distribuciones de Linux más importantes como Ubintu, Debian, Red Hat, MacOS y FreeBSD..

(41) CAPÍTULO 2. HERRAMIENTAS PARA EL CHEQUEO DE VULNERABILIDADES DE SEGURIDAD. 30. De acuerdo con encuestas realizadas por sectools.org, Nessus es el escáner de vulnerabilidades más popular de todos. Su primera aparición en el número uno de la lista fue en el año 2000. Luego en el 2003 y en el 2006. Tenable estima que está siendo usado actualmente por 75000 organizaciones a lo largo del mundo.. Figura 2.5 Logo de Nessus. Tomado de (Tenable, 2012b).. El proyecto fue iniciado por Renaud Deraison en 1998 para proveer a la comunidad de Internet de un escáner remoto libre para los chequeos de seguridad. En octubre 5 del 2005, Tenable Network Security, la compañía que Renaud Deraison cofundó, cambió Nessus 3 a una licencia propietaria. Desde entonces, las versiones más tempranas aparentemente fueron borradas del sitio oficial. Nessus sigue siendo libre de cargo, aunque Tenable gana cientos de dólares al mes por escáner que registra en términos de: realizar auditorías de para estándares de configuración PCI, CIS, FDCC, entre otros; soporte técnico; habilidad de realizar auditorías a sistemas SCADA; chequeos por vulnerabilidades salidas recientemente y de parches de seguridad; la habilidad de auditar la configuración de antivirus y la habilidad de buscar por datos sensibles como tarjetas de crédito, números de seguro social y otros datos corporativos. En el mes de julio del 2008, Tenable oficializó una revisión de su licencia para que permitía a los usuarios independientes, o del hogar como ellos le denominaron, el acceso a nuevos plugins. La licencia profesional está disponible para el uso comercial. Nessus 2 y una minoría de plugins son todavía GPL, a partir de los cual ha aparecido proyectos diversos de software libre como OpenVAS. Políticamente, Tenable Security ha.