Introduccin al Hacking tico

Hacking tico

Premisas Confidencialidad Integridad Disponibilidad

Toda actividad de hacking atenta contra una o ms de estas premisas

Seguridad

Para iniciar

Qu entiende por Ethical Hacking?

Conoce herramientas utilizadas para realizar pruebas de intrusin, cules?

Conoce metodologas para el desarrollo de pruebas de intrusin?

Hacking Aprender detalles acerca de los sistemas de cmputo y

extender sus capacidades mediante cacharreo

Cracking Usar estos conocimientos para propsitos malignos

Hacking tico Usar estos conocimientos para propsitos defensivos

Puede ser tico el hacking?

Contestar las siguientes preguntas:

Qu puede ver un intruso en el sistema objetivo?

Qu puede hacer el intruso con esa informacin?

Las personas a cargo del objetivo, se dan cuenta de las actividades del intruso?

Cul es la labor de un hacker tico?

Realizarle las siguientes preguntas a la organizacin:

Qu quiere proteger?

De qu o de quienes?

Cuntos recursos est dispuesto a asignar para lograr estar protegido?

Cul es la labor de un hacker tico?

El objetivo fundamental del Ethical Hacking, es, brindar ayuda a las organizaciones para que tomen todas las medidas preventivas en contra de agresiones maliciosas, valindose para ello de pruebas de intrusin, que evalan la seguridad tcnica de los sistemas de informacin, redes de computadores, aplicaciones web, servidores, etc.

Hacking Etico

Preparacin

Contrato formal

Clusula de confidencialidad Clusula para proteger al hacker tico Permetro de evaluacin Actividades a realizar Recursos Cronograma

Fases de Estudio del Hacker tico

Realizacin del estudio Preparacin de un reporte

tcnico de la evaluacin

Conclusin Comunicacin de los

resultados a la organizacin

Reconocimiento de puntos fuertes y oportunidades de mejora

Puesta en marcha de acciones correctivas

Fases de Estudio del Hacker tico

Desde una red remotaEmpleando conexin telefnicaDesde la red localRobo de equipoIngeniera socialEntrada fsica

Modalidades de hacking tico

De caja negra No se conoce la infraestructura a evaluar

De caja blanca Se conoce por completo la infraestructura a evaluar

Pruebas internas (caja gris) Acceso desde el interior de la Red

Pruebas de seguridad

Ataque desde el punto de vista del hacker

1. Caracterizacin Activa - pasiva

2. Exploracin (Scanning)

3. Enumeracin

4. Obtencin del acceso Al sistema operativo A la Red Negacin de servicio

5. Mantenimiento del acceso

Extraccin y/o alteracin de datos o programas

6. Eliminacin de Rastros

Recoleccin de informacin Estado en que se encuentra la organizacin objetivo, respecto

a la seguridad

Informacin a obtener: Nombre del dominio Bloques de Red Direcciones IP de equipos alcanzables Mecanismos de control de acceso Arquitectura de los sistemas

Tanto desde afuera, como desde adentro!

Caracterizacin (footprinting)

Determinar el alcance del ataque Toda la organizacin? Parte de la Red?

Dnde buscar? Pgina web

Se puede descargar y leerla offline (wget, OfflineExplorer) Motores de bsqueda Medios de comunicacin DNS (robtex) Bases de Datos (verisign, LACNIC, whois) Topologa y puntos de acceso (traceroute)

Cmo hacerlo?

NslookupVisual RouteSmartWhoisRevisar headers de:

Pginas web E-mails

Google hacking

Software de utilidad para esta fase

Detectar sistemas activos en la Red objetivo

Determinar cules servicios (TCP/UDP) corren en dichos sistemas

Determinar qu sistemas operativos estn instalados

La exploracin puede ser activa o pasiva

Exploracin

Implica lograr que los equipos objetivo respondan a nuestra solicitud

Tcnicas Ping Escaneo de puertos War dialing (poco usado en la actualidad)

Operacin ruidosa.

Exploracin activa

Consiste en capturar paquetes de la red y extraer de ellos informacin pertinente

Tcnicas: sniffing

Exploracin pasiva

Negociacin de tres vas (three way handshaking)

Conexin a un puerto TCP

Buscar sistemas activosBuscar puertos abiertosIdentificar serviciosIdentificacion de Banner/OSEscaneo de VulnerabilidadesDibujar el diagrama de redPreparar ataquesAtacar

METODOLOGIA

Sistemas activos

Nmap

Nmap es una herramienta para escanear las redes.

El escaneo de puertos es un mtodo para descubrir canales de comunicacin que se puedan explotar

La idea es de probar todos los puertos por los que este escuchando la mquina o las mquinas de la Red objetivo

Fue diseada para escanear grandes redes

Nmap ("Network Mapper")

Nmap busca determinar: Hosts disponibles en la red Servicios (puertos) Tipo de Sistema Operativo

(versin del SO) Tipos de filtros/firewalls que estn

en uso Etc...

Nmap corre en sistemas Unix, Unix-like, windows.

Nmap ("Network Mapper")...

Nmap est disponible en dos versiones: versin de consola y grfico. Nmap es software libre, disponible con cdigo fuente, bajo la licencia GNU GPL.

Algunas veces se necesita velocidad en los escaneos, otras veces se necesita no causar mucho ruido (stealth).

En algunos casos se requiere eludir firewalls o escanear diferentes protocolos (UDP, TCP, ICMP, etc. Se puede hacer todo esto con un solo modo de escaneo

Nmap...

Vanilla TCP connect() scanning, TCP SYN (half open) scanning, TCP FIN, Xmas, or NULL (stealth) scanning TCP ftp proxy (bounce attack) scanning SYN/FIN scanning using IP fragments (bypasses

some packet filters) TCP ACK and Window scanningICMP scanning (ping-sweep)TCP Ping scanning

Nmap soporta:

Utilizado para identificar puertos TCP que estn escuchando. Estos puertos identifican los protocolos (de TCP)que estn corriendo basados en la capa de aplicacin (HTTP, FTP).

Vanilla TCP connect() scanning

(SYN)A B

Puerto cerrado

A B(RST)

Puerto abierto

A B(ACK)

(cont.)

Nota: Algunos IDS no detectan esto como un atentado de ataque porque se complet la conexin.

Si el atacante no enva el paquete final ACK, la conexin quedar en un estado half-open, Esto puede disparar la alarma del IDS.

Vanilla TCP connect() scanning

El atacante lo utiliza para detectar los puertos abiertos en la mquina remota.

A diferencia de Vanilla TCP Connect Scan, TCP Half-Open no incluye el paquete final del ACK (el tercer paquete del 3 way handshake).

TCP SYN (half open)

Utilizado para identificar los nmeros de puerto de TCP abiertos, basado en la manera en que reacciona la vctima a una peticin de cierre de transaccin de un puerto de TCP

Este tipo de escaneo puede pasar por desapercibido en firewalls bsicos o por ruteadores de frontera que estn filtrando paquetes TCP con la combinacin de las banderas (FIN) y (ACK)

TCP FIN Scan

TCP FIN Scan

Puerto cerrado

A B(RST)

Puerto abierto

A B

Descarta (FIN) No Reply

Este tipo de escaneo utiliza tambin una extraa configuracin de paquetes TCP, con nmero de secuencia 0, pero sin bandera

TCP NULL Scan

Utilizado para poder pasar por un dispositivo de filtrado.

El atacante fragmenta un paquete dentro del encabezado TCP. Si el dispositivo de filtrado no reensambla el paquete, no sabr que es un paquete de tipo TCP SYN/FIN.

TCP SYN/FIN With Fragments Scan

Vamos a la prctica

Pgina 1SeguridadPara iniciarPuede ser tico el hacking?Cul es la labor de un hacker tico?Cul es la labor de un hacker tico?Hacking EticoFases de Estudio del Hacker ticoFases de Estudio del Hacker ticoModalidades de hacking ticoPruebas de seguridadAtaque desde el punto de vista del hackerCaracterizacin (footprinting)Cmo hacerlo?Software de utilidad para esta faseExploracinExploracin activaExploracin pasivaConexin a un puerto TCPMETODOLOGIASistemas activosNmapNmap ("Network Mapper")Nmap ("Network Mapper")...Nmap...Nmap soporta:Vanilla TCP connect() scanningVanilla TCP connect() scanningTCP SYN (half open)TCP FIN ScanTCP FIN ScanTCP NULL ScanTCP SYN/FIN With Fragments ScanVamos a la prctica