• No se han encontrado resultados

12 de Septiembre de 2007 Hotel Sheraton Buenos Aires - Argentina

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "12 de Septiembre de 2007 Hotel Sheraton Buenos Aires - Argentina"

Copied!
24
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 24 página )

Texto completo

(1)

PenTest 2.0

Mariano

Mariano NuNuññezez Di Di CroceCroce

[email protected] [email protected]

(2)

© 2007

PenTest 2.0

Agenda

ƒ

Introducción al Penetration Testing

ƒ

El PenTest Hoy

ƒ

Casos Reales

ƒ

El Futuro del Penetration Testing

ƒ

Conclusiones

(3)

© 2007

PenTest 2.0

Introducci

(4)

© 2007

PenTest 2.0

Un Penetration Test consiste en la evaluación del nivel de seguridad informática existente en una instalación tecnológica. El equipo de PenTest se focaliza en intentar detectar

la mayor

cantidad de vulnerabilidades

posibles,

las cuales implicarían un riesgo

para los activos de la organización.

Introducción

(5)

© 2007

PenTest 2.0

Introducción

¿ Cómo se realiza un Penetration Test ?

Se utilizan las mismas técnicas y herramientas utilizadas por los atacantes reales.

A través de distintas fases

(Descubrimiento, Exploración,

Evaluación, Intrusión) se intenta

explotar las vulnerabilidades detectadas para tomar control

(6)

© 2007

PenTest 2.0

Introducción

Metodologías

• Black-box • Grey-box • White-box

Tipos de PenTest

• Penetration Tests Externos • Penetration Tests Internos • Penetration Tests Web

(7)

© 2007

PenTest 2.0

El

El

PenTest

PenTest

Hoy

Hoy

(8)

© 2007

PenTest 2.0

Durante los últimos años han surgido herramientas para “

realizar

” Penetration Tests.

Muchos auditores, adoptan y utilizan

únicamente

éstas herramientas

,

atando el éxito de la evaluación a las funcionalidades que las mismas proveen.

El PenTest Hoy

(9)

© 2007

PenTest 2.0

Adicionalmente al uso de las herramientas existentes, es

imprescindible

aplicar técnicas y estrategias avanzadas para realizar un PenTest de calidad.

El PenTest Hoy

Penetration Testing

Táctico

En este aspecto, los conocimientos y experiencia del equipo de PenTest juegan un papel primordial e

(10)

© 2007

PenTest 2.0

ƒ El Factor Humano

ƒ Información en sitios institucionales (nombres, teléfonos, e-mails, cargos)

ƒ Motores de búsqueda (perfiles)

El PenTest Hoy

(11)

© 2007

PenTest 2.0

ƒ El Factor Tecnológico (sistemas)

ƒ Información de Whois.

ƒ Transferencias de Zonas DNS.

ƒ Seguimiento de Rutas.

ƒ Información de Direccionamiento Interno.

ƒ Dispositivos de Filtrado.

ƒ Aplicaciones Web.

Rangos telefónicos y Accesos Wireless.

El PenTest Hoy

(12)

© 2007

PenTest 2.0

ƒ Explotación de vulnerabilidades en versiones desactualizadas.

ƒ Acceso mediante credenciales válidas.

ƒ Explotación de relaciones de confianza.

ƒ Explotación de vulnerabilidades en Aplicaciones Web.

ƒ Acceso a través de enlaces Wireless.

ƒ Escalamiento de Privilegios

ƒ …

El PenTest Hoy

(13)

© 2007

PenTest 2.0

Casos Reales

Casos Reales

(14)

© 2007

PenTest 2.0

ƒ PenTest Web.

ƒ Aplicación Web Home-Banking.

ƒ Versión Beta.

ƒ Sección

Transferencias

.

ƒ La Aplicación valida que el importe a transferir sea un número decimal válido.

ƒ “Uia!! La validación es del lado del cliente !!”

ƒ “¿ Y si defino un importe negativo ?”

ƒ Resultado: Mi cuenta bancaria aumenta y aumenta…

Casos Reales

(15)

© 2007

PenTest 2.0

ƒ PenTest Externo.

ƒ Descubrimiento de Enlaces Wireless.

ƒ Oficinas centrales “limpias”.

ƒ “¿ Y los depósitos ?”

ƒ “Uia! El Access Point está por defecto!”

ƒ Acceso a la Red Interna.

ƒ Acceso a la PC del Gerente General.

Casos Reales

(16)

© 2007

PenTest 2.0

ƒ PenTest Externo.

ƒ Entidad Bancaria.

ƒ Sistemas y Aplicaciones Web con alto nivel de seguridad.

ƒ Análisis de Centrales Telefónicas.

ƒ “Uia! Se puede acceder a las opciones administrativas!”

ƒ “Uia! Tiene un password trivial!”

ƒ Control administrativo de la Central principal.

ƒ Creación de Número Interno.

ƒ Obtención de cuentas de mails.

Casos Reales

(17)

© 2007

PenTest 2.0

El Futuro del

El Futuro del

Penetration

Penetration

Testing

Testing

(18)

© 2007

PenTest 2.0

Originalmente, el Penetration Test se enfocaba en intentar acceder a los sistemas

servidores

de una organización, ya que los mismos poseen información de

alta sensibilidad.

En general, el nivel de seguridad externo de las

implementaciones puramente técnicas ha ido y continuará mejorando.

Cambiando el enfoque: Atacando al eslabón más débil, el

El Futuro de Penetration Testing

(19)

© 2007

PenTest 2.0

El Futuro de Penetration Testing

El Cambio de Enfoque: Atacando al Usuario

ƒ Ingeniería Social.

ƒ Explotando vulnerabilidades en los Navegadores.

ƒ Explotando vulnerabilidades en los Clientes de Correo.

ƒ Envío de e-mails con Troyanos.

(20)

© 2007

PenTest 2.0

El Futuro de Penetration Testing

El Cambio de Enfoque: PenTest Específicos

Muchas organizaciones han relegado la evaluación de seguridad de sus sistemas más críticos, por temor a la ruptura de la continuidad del negocio.

Sistemas objetivo:

ƒ ERPs

ƒ SCADA

(21)

© 2007

PenTest 2.0

El Futuro de Penetration Testing

CYBSEC-Labs:

Frameworks

ƒ

Frameworks

para asistir a las tareas de Penetration Testing.

ƒ Públicos y gratuitos.

ƒ

w3af:

Framework para analizar la seguridad de Aplicaciones Web.

(22)

© 2007

PenTest 2.0

Conclusiones

Conclusiones

(23)

© 2007

PenTest 2.0

Conclusiones

Conclusiones

ƒ El Penetration Test nos permite conocer el nivel de seguridad

informático de nuestra red, sistemas y

personas

,

analizándolo desde los distintos ángulos de operación de un posible atacante.

ƒ Es conveniente realizar PenTests periódicos, llevados a cabo por profesionales altamente especializados.

ƒ Los sistemas críticos (ERPs, SCADA, etc) deben ser evaluados, ya que un ataque a los mismos puede resultar

altamente

perjudicial

para la organización.

(24)

© 2007

PenTest 2.0

¿

Referencias

Descargar ahora ( PDF - 24 página - 412.97 KB )

Documento similar

guía rápida

 Para recibir todos los números de referencia en un solo correo electrónico, es necesario que las solicitudes estén cumplimentadas y sean todos los datos válidos, incluido el

SOBRE EL CONCEPTO DE ESTABILIDAD DE LOS SISTEMAS POLÍTICOS

puedan adscribirse a un género común, sino que el concepto de sistema político-jurí- dico resulta ser un híbrido de realidades heterogéneas; en segundo lugar, que este ca-

UNA SANTA QUE SE QUEDÓ EN EL CAMINO: SOR MARTINA DE LOS ÁNGELES ARILLA, O.P. (1573-1635)

"No porque las dos, que vinieron de Valencia, no merecieran ese favor, pues eran entrambas de tan grande espíritu […] La razón porque no vió Coronas para ellas, sería

EL JARDÍN DE LOS BORGIA

No había pasado un día desde mi solemne entrada cuando, para que el recuerdo me sirviera de advertencia, alguien se encargó de decirme que sobre aquellas losas habían rodado

Optimización de Sistemas de Producción: Esquemas de Optimización en dos fases

Después de una descripción muy rápida de la optimización así como los problemas en los sistemas de fabricación, se presenta la integración de dos herramientas existentes

guía rápida

The part I assessment is coordinated involving all MSCs and led by the RMS who prepares a draft assessment report, sends the request for information (RFI) with considerations,

Los procesos de estabilización en la Administración local*

La Ley 20/2021 señala con carácter imperativo los procesos de selección. Para los procesos de estabilización del art. 2 opta directamente por el concurso-oposición y por determinar

Integración e interoperabilidad en los sistemas de información

Diseminamos nuestra información a través de múltiples puntos de acceso Mezclamos nuestra información (o trozos) con la de otros para enriquecerla El RSS no es la panacea, pero