• Author / Uploaded
• Jrdnzmbrn

Citation preview

¿Qué es un Penetration Test? Un test de penetración consiste en pruebas ofensivas contra los mecanismos de defensa existentes en el entorno que se está analizando. Estas pruebas comprenden desde el análisis de dispositivos físicos y digitales, hasta el análisis del factor humano utilizando Ingeniería Social. El objetivo de estas pruebas es verificar bajo situaciones extremas cuál es el comportamiento de los mecanismos de defensa, específicamente, se busca detectar vulnerabilidades en los mismos. Además, se identifican aquellas faltas de controles y las brechas que pueden existir entre la información crítica y los controles existentes. ¿Por qué es necesario realizar un Penetration Test? Existen muchos casos donde las organizaciones sufren incidentes que podrían haberse evitado si los mecanismos de protección hubieran sido reforzados en su momento. Los incidentes comprenden sucesos tales como fuga de información, accesos no autorizados, pérdida de datos, entre muchos otros. El análisis de los mecanismos de protección debe ser una tarea proactiva permitiendo al pentester (persona que lleva adelante la auditoría) encontrar las vulnerabilidades dentro de los mismos y brindar una solución antes de que un ciberdelincuente aproveche esta debilidad. ¿Qué actividades comprende un Penetration Test? Un Penetration Test comprende múltiples etapas con diferentes tipos de actividades en distintos ámbitos y entornos. La profundidad con que se lleven a cabo las actividades dependerá de ciertos factores, entre los que se destaca el riesgo que puede generar hacia el cliente alguno de los métodos que se apliquen durante la evaluación. Se establece un previo acuerdo con el cliente para llevar a cabo las diferentes fases del análisis, que se describen a continuación: 









Fase de reconocimiento: Posiblemente, esta sea una de las etapas que más tiempo demande. Asimismo, se definen objetivos y se recopila toda la información posible que luego será utilizada a lo largo de las siguientes fases. La información que se busca abarca desde nombres y direcciones de correo de los empleados de la organización, hasta la topología de la red, direcciones IP, entre otros. Cabe destacar que el tipo de información o la profundidad de la pesquisa dependerán de los objetivos que se hayan fijado en la auditoría. Fase de escaneo: Utilizando la información obtenida previamente se buscan posibles vectores de ataque. Esta etapa involucra el escaneo de puertos y servicios. Posteriormente se realiza el escaneo de vulnerabilidades que permitirá definir los vectores de ataque. Fase de enumeración: El objetivo de esta etapa es la obtención de los datos referente a los usuarios, nombres de equipos, servicios de red, entre otros. A esta altura de la auditoría, se realizan conexiones activas con el sistema y se ejecutan consultas dentro del mismo. Fase de acceso: En esta etapa finalmente se realiza el acceso al sistema. Esta tarea se logra a partir de la explotación de aquellas vulnerabilidades detectadas que fueron aprovechadas por el auditor para comprometer el sistema. Fase de mantenimiento de acceso: Luego de haberse obtenido el acceso al sistema, se busca la manera de preservar el sistema comprometido a disposición de quien lo ha atacado. El objetivo es mantener el acceso al mencionado sistema perdurable en el tiempo.1

dsniff: Un sniffer para comprobar la inseguridad de nuestras redes 1

Webgrafía: https://hackersenlared.wordpress.com/category/capacitacion/que-es-un-pentest/

dsniff no es tan sólo una aplicación, sino una suite, es decir, un conjunto de herramientas creadas para auditar redes y realizar tests de penetración creadas por Dug Song (http://monkey.org/~dugsong/dsniff/).

El autor nos indica en su web que creó estas herramientas con intenciones honestas, para auditar su propia red y demostrar la inseguridad de la mayoría de los protocolos de aplicación. Además, nos recomienda no abusar de este software.

Con este sniffer, nos daremos cuenta de los realmente importante que puede llegar a ser la encriptación en nuestras comunicaciones diarias.

Si nuestra distribución dispone de paquetes en los repositorios, como por ejemplo ubuntu, instalarlo puede ser tan sencillo como hacer: # apt-get install dsniff

En caso contrario, no tenemos más que bajar el código fuente de la web del autor, compilarlo e instalarlo: # wget http://monkey.org/~dugsong/dsniff/dsniff-2.3.tar.gz # tar xfvz dsniff-2.3.tar.gz # cd dsniff-2.3 # ./configure # make # make install Pero no olvidemos que antes de instalarlo es necesario tener instalado el siguiente software: Berkeley DB - http://www.sleepycat.com/ OpenSSL - http://www.openssl.org/ libpcap - http://www.tcpdump.org/ libnids - http://www.packetfactory.net/Projects/Libnids/ libnet - http://www.packetfactory.net/Projects/Libnet/ Esta suite incluye los siguientes programas: dsniff. arpspoof. dnsspoof. filesnarf. macof. mailsnarf. msgsnarf. sshmitm. sshow. tcpkill. tcpnice. urlsnarf. webmitm. webspy.

arpspoof es la herramienta que usaremos para envenenar tablas ARP. Se encarga de enviar los paquetes “arp reply” falsos a la maquina que le indiquemos como “target” para suplantar la dirección MAC de la segunda máquina que le indiquemos.

dnsspoof permite construir falsas respuestas DNS. Se usa mucho para saltar controles basados en nombres de hosts o para implementar una gran variedad de ataques Man in the Middle (HTTP, HTTPS, SSH, Kerberos, etc).

dsniff, la aplicación que da nombre a la suite, es un sniffer de contraseñas. Este sniffer nos permite obtener contraseñas de FTP, Telnet, HTTP, POP, NNTP, IMAP, SNMP, LDAP, Rlogin, NFS, SOCKS, X11, IRC, AIM, CVS, ICQ, Napster, Citrix ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft SMB, y Oracle SQL*Net.

filesnarf salva los ficheros seleccionados obtenidos al sniffar tráfico NFS en el directorio actual de trabajo.

macof inunda la red local con direcciones MAC aleatorias. Ésto puede provocar que algunos switches entren en modo “hub” facilitando el sniffing de toda la red.

mailsnarf permite capturar tráfico de correo. Esto incluye tráfico SMTP y POP. Guarda los resultados en formato mbox, lo que nos permite leer los correos con cualquier cliente de correo estándar.

msgsnarf registra determinados mensajes (según el patrón especificado) de las sesiones chat abiertas con los programas AOL Instant Messengerm, ICQ 2000, IRC, MSN Messenger o Yahoo Messenger.

sshmitm, SSH monkey-in-the-middle Reenvía (proxy) y sniffa el tráfico SSH redirigido por dnsspoof para capturar claves SSH!, y permitiendo, opcionalmente, el hijacking de sesiones interactivas. Solo soporta SSH v1. Así que, si usamos SSH v2 estaremos seguros.

sshow permite analizar tráfico SSH (versiones 1 y 2) como intentos de autenticación, longitud de las passwords en sesiones interactivas, longitud de los comandos, etc…

tcpkill permite matar conexiones ya establecidas. Tiene múltiples utilidades, pudiendo usarse, por ejemplo, para matar una sesión ftp establecida por un usuario antes de que empezásemos a esnifar, obligándolo a empezar de nuevo con el fin de que introduzca de nuevo su clave para capturarla. Admite filtros al estilo tcpdump.

tcpnice hace el mismo efecto que el tcpkill pero además permite ralentizar algunas conexiones.

urlsnarf permite registrar las referencias a URL que seleccionemos en el tráfico esnifado. Puede sernos útil para post-procesarlas con nuestra herramienta favorita de análisis de logs web (analog, wwwstat, etc.).

webmitm es similar a sshmitm, hace de proxy transparente y esnifa conexiones HTTP y HTTPS redirigidas a nuestra máquina usando dnsspoof, permitiendo capturar la mayoría de las claves en formularios y web seguras (p. ej. HotMail … ).

webspy envía las URL's esnifadas a nuestro navegador lo que nos permitirá ver en nuestro navegador lo mismo que esté viendo la máquina esnifada en el suyo “on the fly”.

- See more at: http://enavas.blogspot.com/2008/09/dsniff-un-sniffer-para-comprobarla.html#sthash.iFKxsX85.dpuf

Ataque MITM mediante ARP Poisoning con Kali Linux Cómo usuarios de la web nos vemos expuestos a todo tipo de amenazas, siempre que estemos conectados habrá ataques malintencionados que busquen acceder a nuestros datos aprovechándose de vulnerabilidades en las comunicaciones que establecemos día a día. Te explicamos de la manera más sencilla posible, como funciona un ataque "man in the middle" u "hombre en el medio". En el mundo de la seguridad informática, un ataque "man in the middle" o si lo traducimos literalmente a "hombre en el medio", es un tipo de amenaza que se aprovecha de un intermediario. El atacante en este caso, tiene la habilidad de desviar o controlar las comunicaciones entre dos partes. Por ejemplo, si se tratase de un ataque MITM a tu correo, el perpetrador podría desviar todos los e-mails a una dirección alterna para leer o alterar toda la información antes de enviarla al destinatario correcto. Digamos que te conectas a una red WiFi en la calle para revisar tus redes sociales y tu email tranquilamente. Un hacker malintencionado puede interceptar las comunicaciones entre tu computadora o tu smartphone y la red WiFi, teniendo acceso a todo lo que haces. Si la red WiFi no está cifrada, y el atacante está cerca del rango de la conexión, se puede insertar a si mismo como "el hombre en el medio". Siempre que el atacante pueda autenticarse como los dos lados de la comunicación, tendrá todo el acceso.

Qué es un ataque “Man in The Middle” Cómo usuarios de la web nos vemos expuestos a todo tipo de amenazas, siempre que estemos conectados habrá ataques malintencionados que busquen acceder a nuestros datos aprovechándose de vulnerabilidades en las comunicaciones que establecemos día a día. Te explicamos de la manera más sencilla posible, como funciona un ataque "man in the middle" u "hombre en el medio". En el mundo de la seguridad informática, un ataque "man in the middle" o si lo traducimos literalmente a "hombre en el medio", es un tipo de amenaza que se aprovecha de un intermediario. El atacante en este caso, tiene la habilidad de desviar o controlar las comunicaciones entre dos partes. Por ejemplo, si se tratase de un ataque MITM a tu correo, el perpetrador podría desviar todos los e-mails a una dirección alterna para leer o alterar toda la información antes de enviarla al destinatario correcto. Digamos que te conectas a una red WiFi en la calle para revisar tus redes sociales y tu email tranquilamente. Un hacker malintencionado puede interceptar las comunicaciones entre tu computadora o tu smartphone y la red WiFi, teniendo acceso a todo lo que haces. Si la red WiFi no está cifrada, y el atacante está cerca del rango de la conexión, se puede insertar a sí mismo como "el hombre en el medio". Siempre que el atacante pueda autenticarse como los dos lados de la comunicación, tendrá todo el acceso. Cómo protegerte de un ataque MITM Es gracioso que la mayoría de las grandes webs, incluso el correo de Gmail apenas comenzara a cifrar sus comunicaciones este mismo año. Durante todo el tiempo anterior de vida de la aplicación, nuestros correos viajaban prácticamente desnudos. Hay algunas medidas que podemos tomar para protegernos de los ataques MITM, no son infalibles, pero mejoran nuestras posibilidades. Usa siempre HTTPS: muchos sitios web ofrecen desde hace tiempo comunicaciones cifradas a través de SSL, siempre que visites una página asegúrate de que la dirección muestre HTTPS en lugar de HTTP, y si no lo hace, escríbelo manualmente. Esto no te protege de vulnerabilidades del lado del cliente, y de sitios que no han aplicado el parche a Heartbleed si fueron afectados, pero al menos evita que que los ataques menos sofisticados intercepten tus comunicaciones. Activar la verificación de dos pasos: muchos servicios han comenzado a ofrecer verificación de dos factores en sus servicios para aumentar la seguridad del acceso a las cuentas de usuario. Siempre que el mecanismo de verificación de

los dos factores sea suficientemente fuerte, esta es otra linea de defensa contra atacantes. Usar una red VPN: de esta manera la conexión se cifra entre un cliente VPN y un servidor VPN, estableciéndose a través de un túnel de comunicación seguro.2

WEBSPLOIT

Websploit contiene un total de 16 módulos divididos en módulos web, módulos de red, módulos de explotación y módulos wifi. Para realizar el ataque deseado solamente hay que cargar el módulo en cuestión, establecer los valores necesarios para el mismo y ejecutarlo. La ventaja de este framework es, sin duda alguna, la automatización de las tareas, sin necesidad de conocer que herramientas hay que utilizar para cada uno de ellos. Su utilización es muy sencilla y cuenta con un entorno similar al de Metasploit Framework, siendo sus comandos principales “show”, “use”, “set” y “run” Módulo Network - MiTM En una herramienta como esta, no podía faltar un módulo para realizar ataques Man In The Middle (network/mitm). A parte de ejecutar el archiconocido ataque para que todo el tráfico de un equipo o red pase por nosotros, incorpora la posibilidad de usar los siguientes sniffers:  Dsniff: Sniff all passwords  Msgsnarf: Sniff all text of victim messengers  Urlsnarf: Sniff victim links  Drifnet: Sniff victim images Para configurarlo, simplemente deberemos indicarle la IP del router y target, indicar si queremos usar SSLStrip y escoger cuál de los sniffers anteriores deseamos ejecutar junto al ataque MiTM. Como punto negativo en este módulo, he de decir que no permite hacer uso de 2

Webrafía: http://bitelia.com/2014/06/ataque-man-in-the-middle

varios sniffers simultáneamente, por lo que si deseamos ejecutar varios simultáneamente, deberemos hacerlo nosotros de forma manual.

CONCLUSION La Prueba de Penetración (Penetration Test o PenTest en Inglés) consiste en una evaluación activa de las medidas de seguridad de la información. El propósito es detectar los puntos débiles que puedan ser capitalizados para violar cualquiera de las tres condiciones necesarias de la información: confidencialidad, integridad y disponibilidad. Los test de penetración son muy importantes por las siguienes razones. 

Determinar la viabilidad de un conjunto particular de vectores de ataque



Identificar las vulnerabilidades de alto riesgo que resultan de una combinación de vulnerabilidades de menor riesgo explotados en una secuencia particular



Identificar las vulnerabilidades que pueden ser difíciles o imposibles de detectar con los sistemas automatizados de la red o por software de detección de vulnerabilidades.



Probar la capacidad de las defensas de la red para detectar con éxito y responder a los ataques

Anexo Bibliografía

Otros http://www.redeszone.net/2013/07/06/audita-paginas-web-y-redes-en-busca-de-fallos-conwebsploit/