Seguridad y Auditora

Informtica
Alberto Garca Illera

agarcia@informatica64.com

VULNERABILIDADES

El termino vulnerabilidad hace referencia a una debilidad en un

sistema permitiendo a un atacante violar la confidencialidad,
integridad, disponibilidad, control de acceso y consistencia del
sistema o de sus datos y aplicaciones.

VULNERABILIDADES

VERSIONES ANTIGUAS
FALTA DE PARCHES
ERRORES DE CONFIGURACIN
CONFIGURACIONES POR DEFECTO
USUARIOS Y CONTRASEAS DBILES
0-Days!!

ATAQUES A SISTEMAS:

ACTUALIZACIONES
!!!

Identificacin de servicios
Identificacin de puertos abiertos
Identificacin de versiones

ATAQUES A APLICACIONES
Identificacin de versiones
Debilidades de las aplicaciones

VULNERABILIDADES

PRODUCTOS:

REPOSITORIOS DE VULNERABILADES

Tenable Nessus
Open Vas
GFI Laguard
QualsysGuard
Rapid7 Nexpose
Etctera..

Mitre CVE
SecurityFocus
Secunia
OSDVB
Etctera..

PSI SECUNIA !!!

MDULO 2:
TIPOS DE ATAQUES

Ataques Locales

Escaladas de privilegios

Ejecucin de cdigo arbitrario

Denegacin de Servicio

Tipos de ataques Ataques Locales

Objetivo:
Realizar acciones que a priori no estn permitidas.
Capturar datos que a priori no estn permitidos

StickyKeys (Hirens-Boot)

LSA Secrets (Passwords en los Servicios)

Protected Storage (Recordar siempre..)

Wifi Passwords
Cain & Abel
WirelessKeyView --> http://nirsoft.net

Tipos de ataques Ataques Locales

USB - Copiando memorias USB ( USB Dumper )

Se aprovecha del Autorun

Vigila cuando alguien conecta un dispositivo
Recupera la letra asignada al dispositivo
Se copia todos los ficheros
Cdigo fuente publicado, personalizacin
Copiar solo determinados ficheros
Infectar ejecutables
Distribuir virus, troyanos, etc..

Tipos de ataques Ataques Locales

USB - PAYLOADS
Cambiando el Rol, ahora ataco con el USB
Multitud de tcnicas, todas ellas aprovechando el Autorun
Max Damage Technique (solo para U3)
Amish Technique (Cualquier USB e Ingenieria Social)
iPod technique (solo para IPod)
Gandalf's technique (Combinacin 1 y 2)
Kapowdude technique (Combinacin 1 y 2)
Silivrenion's Technique (Combinacin 1 y 2)

DEMO

http://www.hak5.org/w/index.php/USB_Switchblade
http://www.elladodelmal.com/2010/05/ataques-usbcon-tecnologia-u3-por.html

Tipos de ataques Escalada de privilegios

Objetivo: Escalar privilegios en los perfiles de usuarios para poder realizar

operaciones que un usuario normal no podra realizar.

A travs de servicios remotos.

A travs de la propia mquina fsica. (Sistema y Aplicaciones)

Referencia: http://www.exploit-db.com y http://www.securityfocus.com

Tipos de ataques Ejecucin de cdigo

arbitrario

Objetivo: Conseguir que una aplicacin o sistema realice funciones o tareas que
no esta programadas para realizar.

Aprovechndonos de:
Errores de configuracin
Fallos de programacin
Entradas vulnerables

Herramienta por excelencia: Metasploit 3.5

Referencia: http://www.exploit-db.com y http://www.securityfocus.com

Reversing!!

DEMOS

Tipos de ataques Ejecucin de cdigo

arbitrario

PDF: Mtodo de propagacin de malware ms utilizado en este momento.

Diferentes objetos dentro de un PDF

Adobe Vulnerable ?

http://www.pentester.es/2010/07/analisis-de-un-pdf-portador.html

http://www.metasploit.com/modules/exploit/windows/fileformat/adobe_pdf_embedded_exe

DEMO

PDF Vulnerables

Tipos de ataques Denegacin de Servicios

Objetivo: Conseguir que una aplicacin o sistema se quede sin recursos para
poder interactuar con diferentes usuarios.

SYN FLOOD

ICMP Flood

UDP Flood

SMURF

Tipos de ataques DDOS

BOTNETS: Red de zombis controlada por

uno o varios usuarios.

Propagacin por todo tipo de ficheros o

aplicaciones.

Control normalmente mediante web o

IRC.

BotNet ZEUS

MARIPOSA

http://www.securitybydefault.com

MDULO 2:
ESCANER DE VULNERABILIDADES

Scanner de Manuales

Herramientas automatizadas

Escner de vulnerabilidades - Introduccin

Objetivo: Detectar el mximo posible de vulnerabilidades que puede tener un

sistema.

Escner Caja Negra

Sin conocimientos del sistema
Sin credenciales
Etctera..

Escner Caja Blanca

Conocimientos del sistema

Productos
Versiones
Credenciales
Etctera..

Escner de vulnerabilidades - Manuales

Objetivo: Detectar el mximo posible de vulnerabilidades que puede tener un

sistema.
Realizacin del escner mediante peticiones contra los diferentes servicios de
una mquina.
Identificacin de banners

Peticiones con aplicaciones especificas para reconocimiento de banners.

Bsqueda de Exploits

www.exploit-db.com / www.securityfocus.com / seclist.org / http://www.shodanhq.com/

Escner de vulnerabilidades

Objetivo: Detectar el mximo posible de vulnerabilidades que puede tener un

sistema.

Herramienta por excelencia Nessus

Nessus

Implementa aproximadamente 40000 plugins

Audita sistema tanto locales como remotos
Plugins fcilmente desarrollables
Plataforma cliente-servidor
Soporte para herramientas de terceros Nmap/Hydra/Nikto
Multiplataforma
Gratuito para uso no comercial

Escner de vulnerabilidades - Nessus

DEMO
Analizando un Windows

MDULO 2: MALWARE

VIRUS Y GUSANOS

TROYANOS

ROOTKITS

Malware - Introduccin

El trmino Malware tambin llamado badware, software malicioso o software

malintencionado es un tipo de software que tiene como objetivo infiltrarse o
daar una computadora sin el consentimiento de su propietario

Que hacen:

Daan el equipo
Roban datos
Infectan a otros equipos
Realizan ataques
Imaginacin del usuario malintencionado

Proteccin: Anti-malware, Anti-virus, Anti-spyware, Anti- (Todo esta basado en

firmas y patrones)

Precaucin, Concienciar y ACTUALIZAR!!!

Malware Virus y Gusanos

Funciones principales:
Infeccin de archivos en el sistema local
Propagacin mediante vulnerabilidades en la red
Propagacin mediante ingeniera social

Funciones secundarias:

Daar el propio equipo local

Envo de informacin
Robo de informacin
Imaginacin del desarrollador..

Alertas en: http://www.inteco.es/

Malware Troyanos

Un Troyano o tambin denominado caballo de Troya, es un software malicioso

que aparentemente es inofensivo, pero una vez instalado en un sistema
operativo permite controlar remotamente la mquina vctima.

Objetivos:
Control Remoto -> Instalar suites de gestin del sistema
Robo de informacin
Modificacin del sistema:

Phishing
Creacin de usuarios
Planificacin de tareas
.

Acompaado:
Joiners, Binders
Incluido en documentos (word, excel, pdf, etctera)

Malware Troyanos - Tipos

TROYANOS NO REVERSOS:

TROYANOS REVERSOS:

Conexin del atacante contra las vctimas

Firewalls, Routers, NAT
Antiguos
Poco utilizados

Conexin de las vctimas con los atacantes

Conexiones salientes
Muy desarrollados
Control total de la maquina del usuario

TROYANOS BANCARIOS:

Malware Troyanos Algunos..

Back Orifice
NetBus
NetDevil
SubSeven
Ptakks

Nueva Generacin

PoisonIvy
Apocalypse RAT
SpyNet

DEMO

Malware Y esto como lo eliminamos..

Herramientas: (SysInternals)

Autoruns
ProcExp
ProcMon
Strings
Streams
Zoomit
Etctera

Herramientas:
Wireshark
RegShot
Etctera

Malware Rootkits

Un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad

esconderse a s misma y esconder otros programas, procesos, archivos,
directorios, claves de registro, y puertos que permiten al intruso mantener el
acceso a un sistema para remotamente comandar acciones o extraer
informacin sensible.

Principios aos 90, inicialmente solo para sistemas Unix

Objetivos: Hacer INVISIBLE algo en un sistema

A si mismo
Procesos
Ficheros y su contenido
Claves de registro
Drivers en modo Kernel
Puertos

Sniffing, elevacin de privilegios, etctera

Pueden realizar cualquier funcin de un SO

Malware Rootkits - Configuracin

Se configura mediante un fichero INI que tiene los siguientes campos:

[Hidden Table]: Listado de directorios ficheros y procesos que deben ser

ocultados
[Root Processes]: Procesos que no sern infectados por el RootKit.
[Hidden Services]: Servicios que no se listarn
[Hidden RegKeys]: Claves del registro ocultas
[Hidden RegValues]: Valores del registro ocultos.
[Startup Run]: Ejecutables que se ejecutan cada vez que se inicia el RootKit.
[Free Space]: Espacio que se aade a cada disco duro.
[Hidden Ports]: Puertos abiertos que han de ser ocultados de aplicaciones tipo
OpPorts, FPort, Active Ports, Tcp View etc
[Settings]: 8 valores para configurar diferentes cosas.

Malware Ayuda externa

VirusTotal

Anubis (Online)

Eureka (Online)

SandBoxie (Aplicacin)

http://hackplayers.blogspot.com/2010/04/analisis-de-malware-ensandboxes-online.html

FIN MDULO 2

Preguntas ?