taller cybersecurity 2016
TRANSCRIPT
TextoTexto
Gonzalo Vigo ScheinerGonzalo Vigo ScheinerÒscar Conejo CarreraÒscar Conejo Carrera
Taller de Ciber Taller de Ciber SeguridadSeguridad
Marzo-Marzo-20162016
#CiberSeguretatUB
Taller de Ciber Taller de Ciber SeguridadSeguridad
2
Gonzalo Vigo ScheinerGonzalo Vigo [email protected]/in/gonzalovigo@gvigosch
Òscar Conejo CarreraÒscar Conejo [email protected]/in/oscarcc
ÍndiceÍndiceIntroducciónIntroducción
Seguridad de aplicacionesSeguridad de aplicaciones
OWASP TOP10OWASP TOP10
Herramientas HEHerramientas HE
Taller HackingTaller Hacking
Introducción al análisis ForenseIntroducción al análisis Forense
3
IntroducciónIntroducciónLa La CiberseguridadCiberseguridad busca proteger los busca proteger los activos de informaciónactivos de información digital en los digital en los sistemas interconectados. Está comprendida sistemas interconectados. Está comprendida dentro de la dentro de la seguridad de la informaciónseguridad de la información..
4
Activos de Activos de informaciinformaciónón
- Servicios- Servicios- Datos/Información- Datos/Información- Aplicaciones- Aplicaciones- Equipos informáticos- Equipos informáticos- Personal- Personal- Redes de - Redes de comunicacióncomunicación- Soportes de - Soportes de informacióninformación- Equipamiento auxiliar- Equipamiento auxiliar- Instalaciones- Instalaciones
IntegridadIntegridad ConfidencialidaConfidencialidadd
DisponibilidadDisponibilidad
¿Qué protege la ¿Qué protege la seguridad de la seguridad de la
información?información?
IntroducciónIntroducción
5
http://www3.weforum.org/docs/WEF_Global_Risks_2015_Report15.pdfhttp://www3.weforum.org/docs/WEF_Global_Risks_2015_Report15.pdf
IntroducciónIntroducción
6
https://cybermap.kaspersky.com/https://cybermap.kaspersky.com/
VulnerabilidadVulnerabilidad: Fallo o agujero de seguridad mediante el : Fallo o agujero de seguridad mediante el cual es posible comprometer la disponibilidad, integridad o cual es posible comprometer la disponibilidad, integridad o confidencialidad de la información.confidencialidad de la información.
ExplotaciónExplotación: Se calcula en función del vector de acceso, : Se calcula en función del vector de acceso, complejidad de acceso y autenticación necesaria.complejidad de acceso y autenticación necesaria.
ImpactoImpacto: Se determina en función de el impacto sobre la : Se determina en función de el impacto sobre la confidencialidad, integridad y disponibilidad de los datosconfidencialidad, integridad y disponibilidad de los datos
CVSS ScoreCVSS ScoreFactores Factores
de de explotacióexplotació
nnImpactoImpacto== xx
7
Seguridad de Seguridad de aplicacionesaplicaciones
https://nvd.nist.gov/CVSS/v2-calculator
Seguridad de Seguridad de aplicacionesaplicaciones
SalvaguardaSalvaguarda: Es aquella acción técnica o conjunto de : Es aquella acción técnica o conjunto de ellas que permite reducir o mitigar un riesgo o ellas que permite reducir o mitigar un riesgo o vulnerabilidad.vulnerabilidad.
Preventivas: Reducen la probabilidad.Preventivas: Reducen la probabilidad.Curativas: Acotan la degradación o el impactoCurativas: Acotan la degradación o el impacto
Plan de acciónPlan de acción: Conjunto de iniciativas técnicas : Conjunto de iniciativas técnicas organizadas en proyectos para la reducción del riesgo o organizadas en proyectos para la reducción del riesgo o mitigación de las vulnerabilidades halladas.mitigación de las vulnerabilidades halladas.
8
Seguridad de Seguridad de aplicacionesaplicaciones
9
EnfoquesEnfoques
Caja negraPentest de seguridad donde el técnico no cuenta con información sobre el Sistema. Refleja de la mejor manera possible un ataque real.
Caja grisPentest de seguridad donde el técnico cuenta con información limitada sobre el Sistema. Sirve para profundizar en aquellos puntos críticos del Sistema.
Caja blancaPentest de seguridad donde el técnico cuenta toda la información possible (accesos, mapas de red, código Fuente, etc.)
OWASP Top 10OWASP Top 10
Cross-Site Scripting (XSS)Cross-Site Scripting (XSS)
SQL InjectionSQL Injection
Directory trasversalDirectory trasversal
File IncludeFile Include
Code injectionCode injection
Commands injectionCommands injection
10
OWASP Top 10
•A1 Injection•A2 Broken Authentication and Session Management•A3 Cross-Site Scripting (XSS)•A4 Insecure Direct Object References•A5 Security Misconfiguration•A6 Sensitive Data Exposure•A7 Missing Function Level Access Control•A8 Cross-Site Request Forgery (CSRF)•A9 Using Components with Known Vulnerabilities•A10 Unvalidated Redirects and Forwards
Cross-Site Scripting XSSCross-Site Scripting XSSEste ataque ocurre por una falta de validación y Este ataque ocurre por una falta de validación y tratamiento de los datos de entrada la aplicación tratamiento de los datos de entrada la aplicación web, donde el atacante puede aprovechar para web, donde el atacante puede aprovechar para realizar inyecciones de código scripting (ej: realizar inyecciones de código scripting (ej: JavaScript, Vbscript, etc.).JavaScript, Vbscript, etc.).
11
Cross-Site Scripting XSSCross-Site Scripting XSSPosibles ataques:Posibles ataques:
Secuetro del navegadorSecuetro del navegador
Robo de información sensibleRobo de información sensible
Defacement “aparente” de la aplicaciónDefacement “aparente” de la aplicación
Envío dirigido de exploits basados en Envío dirigido de exploits basados en navegadornavegador
Etc.Etc.12
Cross-Site Scripting XSSCross-Site Scripting XSSUn ejemplo de explotación de Cross-Site-Scripting Un ejemplo de explotación de Cross-Site-Scripting utilizando Phishing como vector de ataque:utilizando Phishing como vector de ataque:
13
Cross-Site Scripting XSSCross-Site Scripting XSSExplotando XSS:Explotando XSS:•Identificación de vías de entrada de datos (inputs, Identificación de vías de entrada de datos (inputs, atributos, cookies, parámetros, etc.)atributos, cookies, parámetros, etc.)•Sustitución de valor esperado por valor manipulado Sustitución de valor esperado por valor manipulado con script con script previo envío de la petición HTTPprevio envío de la petición HTTP..•Observar resultados en cliente y servidor.Observar resultados en cliente y servidor.
14
SQL InjectionSQL InjectionLos ataques de inyección SQL son ataques en los Los ataques de inyección SQL son ataques en los que ordenes SQL son enviadas al servidor la que ordenes SQL son enviadas al servidor la correcta realización de una consulta SQL correcta realización de una consulta SQL predefinida.predefinida.
Un atacante puede crear o alterar estas consultas Un atacante puede crear o alterar estas consultas para exponer datos ocultos, sobrescribirlos o para exponer datos ocultos, sobrescribirlos o ejecutar consultas a nivel de sistemas en el ejecutar consultas a nivel de sistemas en el servidor de la base de datos.servidor de la base de datos.
15
SQL InjectionSQL Injection
Posibles ataques SQL Injection:Posibles ataques SQL Injection:
Fugas de información de BBDDFugas de información de BBDD
Modificación de datos Modificación de datos (INSERT/UPDATE/DELETE)(INSERT/UPDATE/DELETE)
DoS a BBDDDoS a BBDD
Etc.Etc.
16
SQL InjectionSQL InjectionExplotando SQL Injection:Explotando SQL Injection:
•Identificación de vías de entrada de datos (inputs, Identificación de vías de entrada de datos (inputs, atributos, cookies, parámetros, etc.)atributos, cookies, parámetros, etc.)•Sustitución de valor esperado por un valor manipulado Sustitución de valor esperado por un valor manipulado con una sentencia SQL, con una sentencia SQL, previo envío de la petición HTTPprevio envío de la petición HTTP..•Observar resultados en cliente y servidor.Observar resultados en cliente y servidor.
17
Path TraversalPath TraversalEs un Bug, que permite al usuario saltarse las Es un Bug, que permite al usuario saltarse las restricciones a nivel de permisos y acceder a un restricciones a nivel de permisos y acceder a un directorio superior, fuera del contexto de la directorio superior, fuera del contexto de la aplicación web.aplicación web.
18
Path TraversalPath TraversalPosibles ataques SQL Injection:Posibles ataques SQL Injection:
Fugas de informaciónFugas de información
Ejecución de código remotoEjecución de código remoto
Exposición de información sensibleExposición de información sensible
Etc.Etc.
19
Path TraversalPath TraversalExplotando Directory Trasversal:Explotando Directory Trasversal:•Identificación de entradas de direcciones (URL, directorio, Identificación de entradas de direcciones (URL, directorio, fichero, etc.) o barra de direccionesfichero, etc.) o barra de direcciones•Manipulación de dato esperado antes del envío de la Manipulación de dato esperado antes del envío de la petición HTTPpetición HTTP•Observar respuesta HTTPObservar respuesta HTTP
20
HerramientasHerramientasOWASP ZAP, BURP Suite: PentestingOWASP ZAP, BURP Suite: Pentesting
Nessus y VEGA: Scanner avanzado de vulnerabilidadesNessus y VEGA: Scanner avanzado de vulnerabilidades
SQLMap: Inyección SQLSQLMap: Inyección SQL
NMAP - ZENMAP: Scanner de puertosNMAP - ZENMAP: Scanner de puertos
OWASP Mantra: Framework de SeguridadOWASP Mantra: Framework de Seguridad
Bactrack/Kali Linux: S.O. Suite Hacking y Análisis ForenseBactrack/Kali Linux: S.O. Suite Hacking y Análisis Forense
Metasploit: HackingMetasploit: Hacking
Encase y FTK: Análisis Forense Encase y FTK: Análisis Forense
21
Computación ForenseComputación Forense¿Que es?¿Que es?
La computación forense es el uso de técnicas La computación forense es el uso de técnicas de investigación y análisis para identificar, de investigación y análisis para identificar, coleccionar, examinar y preservar información coleccionar, examinar y preservar información que se almacena y se codifica digitalmente.que se almacena y se codifica digitalmente.
El objetivo es el mismo que el forense clásico: El objetivo es el mismo que el forense clásico: obtener evidencias y proveer un análisis para obtener evidencias y proveer un análisis para poderlo usar en un procedimiento formal poderlo usar en un procedimiento formal (legal, institucional, etc)(legal, institucional, etc)
Computación ForenseComputación Forense
McKemmish ModelMcKemmish Modeladquisicióadquisiciónn
preservaciópreservaciónn
examinaexaminarr
análisianálisiss
presentacipresentaciónón
Principio de LocardPrincipio de Locard
sospechasospechavíctimavíctima
Escena Escena crimen crimen digitaldigital
Computación ForenseComputación Forense¿Que es una evidencia?¿Que es una evidencia?
La evidencia en su sentido más amplio incluye La evidencia en su sentido más amplio incluye todo que se utiliza para determinar o todo que se utiliza para determinar o demostrar la verdad de una aserción.demostrar la verdad de una aserción.
Tipos: Intuitiva, científica, personal, anécdota, Tipos: Intuitiva, científica, personal, anécdota, legallegal
Lo más importante para proteger la validez de Lo más importante para proteger la validez de una evidencia es preservar su cadena de una evidencia es preservar su cadena de custodia.custodia.
Computación ForenseComputación ForenseHardwareHardware
Memoria (RAM, ROM, EPROM, EEPROM)Memoria (RAM, ROM, EPROM, EEPROM)Discos Duros (SCSI, IDE, PATA, SATA, SSD)Discos Duros (SCSI, IDE, PATA, SATA, SSD)SIM cardSIM cardGPSGPS
SoftwareSoftware
Sistemas Operativos (Windows, UNIX, Mac OS, Sistemas Operativos (Windows, UNIX, Mac OS, iOS, Android)iOS, Android)
Sistemas de ficheros (FAT 16/32, NTFS, ext2/ext3, Sistemas de ficheros (FAT 16/32, NTFS, ext2/ext3, HFS+, ReiserFS, BFFS)HFS+, ReiserFS, BFFS)
Computación ForenseComputación ForenseNetworksNetworks
Puertos físicosPuertos físicos
Media Access Control (MAC)Media Access Control (MAC)
Direcciones IPDirecciones IP
Puertos lógicosPuertos lógicos
SocketsSockets
Uniform Resource Locators (URL)Uniform Resource Locators (URL)
Computación ForenseComputación ForenseInformación que contiene la RAM en claro:Información que contiene la RAM en claro:
Keys encriptadasKeys encriptadas
PasswordsPasswords
Direcciones emailDirecciones email
Código del programa cargadoCódigo del programa cargado
Conexiones de red abiertasConexiones de red abiertas
Procesos establecidosProcesos establecidos
Computación ForenseComputación Forense
RAM Files:RAM Files:
C:\\Windows\hiberfile.sysC:\\Windows\hiberfile.sys
C:\\Windows\pagefile.sysC:\\Windows\pagefile.sys
Crash dump filesCrash dump files
Archivo SWAPArchivo SWAP
Computación ForenseComputación ForenseRAM Técnicas y herramientas forensics:RAM Técnicas y herramientas forensics:
Máquina virtual:Máquina virtual:
VMWare —> archivo vmemVMWare —> archivo vmem
VirtualBox —> comando debugvmVirtualBox —> comando debugvm
Mandiant Memoryze, MoonSols, FTK Imager, MAC Mandiant Memoryze, MoonSols, FTK Imager, MAC memory reader, EnCase WinEn, BeltaSoft Live RAM memory reader, EnCase WinEn, BeltaSoft Live RAM capturercapturer
Mediante FireWire con Inception o VolatilityMediante FireWire con Inception o Volatility
Mediante PCI usando WindowSCOPE ($8000)Mediante PCI usando WindowSCOPE ($8000)
Computación ForenseComputación ForenseWindows Forensics: Boot ProcessWindows Forensics: Boot Process
És el primer proceso a cargar.És el primer proceso a cargar.
Se puede interrumpir el Boot Process para Se puede interrumpir el Boot Process para visualizar la configuración CMOSvisualizar la configuración CMOS
Para que se usa:Para que se usa:
Determinar que archivos fueron alteradosDeterminar que archivos fueron alterados
Determinar el Sistema OperativoDeterminar el Sistema Operativo
Ver señales de manipulación por malwareVer señales de manipulación por malware
Computación ForenseComputación ForenseWindows Forensics: Boot ProcessWindows Forensics: Boot Process
boot.ini (Win XP)boot.ini (Win XP)
Versión S.O. instaladaVersión S.O. instalada
Información sobre las múltiples opciones de Información sobre las múltiples opciones de arranquearranque
Si la máquina hibernó, hiberfil.sys carga el Si la máquina hibernó, hiberfil.sys carga el último estado del sistemaúltimo estado del sistema
bcd (Win Vista y posterior)bcd (Win Vista y posterior)
Usa el Boot ManagerUsa el Boot Manager
Computación ForenseComputación ForenseWindows Forensics: Setup LogsWindows Forensics: Setup Logs
Windows XP —> setuplog.txt y Windows XP —> setuplog.txt y netsetup.log (informa sobre cómo se netsetup.log (informa sobre cómo se instaló y configuró windows)instaló y configuró windows)
Windows 7: Windows 7: https://technet.microsoft.com/en-us/library/dd744583(WS.10).aspx
CurrentVersion Registry KeyCurrentVersion Registry Key
Computación ForenseComputación ForenseWindows Forensics: Donde encontrar Windows Forensics: Donde encontrar evidenciasevidencias
Historial de InternetHistorial de Internet
Event LogsEvent Logs
Archivos prefetch Archivos prefetch
Archivos thumbs.dbArchivos thumbs.db– Metadatos Metadatos
Computación ForenseComputación Forense• Conceptos InvestigaciónConceptos Investigación
– Preservar la evidencia - IntegridadPreservar la evidencia - Integridad– Cadena de custodiaCadena de custodia– Etiquetar y Documentar/ReportingEtiquetar y Documentar/Reporting– Volatilidad de adquisición de evidencias: de mayor a Volatilidad de adquisición de evidencias: de mayor a
menor menor – RAM y Swap DumpRAM y Swap Dump– Read OnlyRead Only– Imágenes AFF y HashesImágenes AFF y Hashes
Computación ForenseComputación Forense• Pasos InvestigaciónPasos Investigación
1. Desenchufar el cable de red 1. Desenchufar el cable de red
2. Hacer el volcado de memoria i swap2. Hacer el volcado de memoria i swap
3. Desenchufar la máquina directamente del cable de la 3. Desenchufar la máquina directamente del cable de la corrientecorriente
4. Clonar el disco y copias así como los hashes4. Clonar el disco y copias así como los hashes
5. Analizar y investigar la copia5. Analizar y investigar la copia
6. Reporting6. Reporting
7. Presentar el report con las evidencias delante de un tribunal7. Presentar el report con las evidencias delante de un tribunal
Computación ForenseComputación Forense• Distribuciones Live ForensicsDistribuciones Live Forensics• Helix: Helix: Tiene herramientas de adquisición de Tiene herramientas de adquisición de
evidencias de sistemas Windows en calienteevidencias de sistemas Windows en caliente• Caine: Caine: Monta los dispositivos en Read Only por Monta los dispositivos en Read Only por
defectodefecto• Backtrack/Kali Linux: Backtrack/Kali Linux: Modo Forense: Modo Read Modo Forense: Modo Read
Only por defecto y no utiliza la propia swap para hacer Only por defecto y no utiliza la propia swap para hacer el dump, podría sobreescribir la prueba.el dump, podría sobreescribir la prueba.
• Santoku: Santoku: Herramientas para mobile forensics Herramientas para mobile forensics
Taller HackingTaller Hacking
• Instalación WFP en VboxInstalación WFP en Vbox• Pentest Web for pentesterPentest Web for pentester• Herramientas (opcional): Mantra, Kali, etc.Herramientas (opcional): Mantra, Kali, etc.
37