Presentación de anubis

1. El estado de la informática en la actualidad2. Auditorías de seguridad3. Demo4. Conclusiones y trabajos futuros

2


3

Estudio DigiWorld Analiza los beneficios producidos en el mercado

económico de las Tecnologías de la Información ylas Telecomunicaciones en Europa

En el año 2009: Beneficios de mas de 900.000Millones de euros en el mercado económicobasado en las TIC.

Subida frente a 2008 de casi un 6%

4

NO.

Los beneficios producidos por las empresas delsector de las TIC están constantemente en peligro,debido a los numerosos ataques de “hackers” quereciben.

5

Las empresas especializadas en seguridad.

Estas empresas generaron solo en España640.000.000€ en 2008

7

Auditorías de seguridad anuales.

Seguimiento de guías de buenas prácticasOWASP y OSSTMM

Certificación ISO/IEC 27001 (SGSI)

Concienciación de los miembros de laorganización.

Seguir los 10 mandamientos de la seguridadinformática.

8

1. Cuidaras la seguridad del sistema operativo2. Aplicaras regularmente las actualizaciones de

seguridad3. Emplearas chequeadores de integridad, antivirus y

antispyware4. Encriptarás la información sensible5. Usarás sólo modos seguros de acceder al e-mail6. Utilizarás únicamente navegadores seguros para

acceder a la web7. No abrirás enlaces ni archivos sospechosos8. Ingresarás datos críticos, sólo en sitios seguros9. Si debes correr riesgos, usarás sandboxing10. Te mantendrás informado sobre nuevas maneras de

vulnerar tu seguridad 9


10

Auditoría de aplicaciones web Auditoría Interna:

Auditoría de caja negra

Auditoría de caja gris

Auditoría de caja blanca

Test de intrusión Análisis forense Aplicación de la LOPD(con matices)

11

Se comprueba la seguridad de las aplicaciones del sitio web de una organización. Vulnerabilidades mas importantes: sql injection (PHP+MySQL, JAVA,C#+SQL Server). ldap injection. xpath injection. cssp (connection string parameter pollution). local file inclusión. remote file inclusion (PHP). path disclosure. path traversal

12

Caja Negra

No poseemos conocimiento ninguno sobre la organización. Se realiza desde fuera de la red interna. Objetivo: averiguar que puede conseguir un

“hacker” desde fuera de la empresa

Caja Gris

Entre auditoría de caja negra y caja blanca. Se realiza desde la red interna pero con credenciales de usuario corriente. Objetivo: escalar privilegios a

Administrador y proseguir con auditoría de caja blanca.

Caja Blanca

Tenemos conocimientos y credenciales de administrador interno de la empresa. Se realiza desde la red interna. Objetivo: averiguar que puede conseguir un empleado malintencionado desde dentro de la empresa y

poner soluciones.

13

Auditoría de Caja Negra en la que solointeresa «obtener un premio»

Se realiza para comprobar si el sistema esvulnerable, no para certificar su seguridadcompleta.

14

Sistema víctima de una intrusión, un ataque odesde él que se ha realizado alguna acciónmaliciosa

Denuncia --> Intervienen en España el Grupo deDelitos Telemáticos de la Guardia Civil y/o laBrigada de Investigación Tecnológica del CuerpoNacional de Policía

Copia de seguridad. Forense sin alterar pruebas. Prueba en caso de juicio.

15

La aplicación de la LOPD no es una auditoríacomo tal. Pero suele ir acompañada de unaauditoría para proteger los posibles agujerosque podrían permitir el robo de informaciónprivada de los clientes de una organización

16

Test de intrusión

Auditoría de caja negra

17

Fases: Obtención de información. Enumeración. Footpringting. Fingerprinting.

Análisis de datos. Identificación de arquitectura. Identificación de servicios. Identificación de vulnerabilidades.

Explotación. Expedientes de seguridad. Exploits. MetaExploit.

Documentación final de un test Informe técnico. Informe ejecutivo. 18

Footprinting Dominios y subdominios Zonas de administración ocultas en un sitio web Cuentas de usuario y de correo Ficheros con contraseñas Máquinas internas, servidores, cámaras IP,

impresoras, discos duros IP, etc.

Fingerprinting Sistema operativo de los servidores y máquinas

19

C#+.Net Interface gráfica Distribución de herramientas en pestañas Funcionamiento:

Búsqueda de información

Recopilación de datos obtenidos

Estructuración lógica de información

Generación de informe

Herramientas:20

Telnet

Zone Transfer

Fuzzing DNS

Scan IP against DNS

Google Hacking

Scan withGoogle

Scan IP withBing

Fuzzing HTTP

Whois Tracert

404 attack

Nmap

Gui

Módulo Telnet

Módulo HTTP

Módulo CMD

Módulo DNS

21

SummaryFuzzing

Http

Whois

Google Hacking

Banner Attack

Tracert

404 attack

Scan with Google

Fuzzing Against

DNS

Zone Transfer

Google Sets

Scan IP with Bing

Nmap

Scan IP against

DNS

Final Audit Report

SummaryFuzzing

Http

Whois

Google Hacking

Banner Attack

Tracert

404 attack

Scan with Google

Fuzzing Against

DNS

Zone Transfer

Google Sets

Scan IP with Bing

22


24

Ayuda en los procesos de Implantación de un SGSI en la certificación con la norma ISO/IEC27001

Colaborar en la enseñanza de las técnicas de búsqueda de información en cursos de seguridad

Automatización de las técnicas de búsqueda de información con uso directo en auditorías de caja negra y test de intrusión

Permitir que los miembros de una organización prueben de una manera sencilla la seguridad de sus activos

25

Convertir Anubis de herramienta de escritorio aservicio web

Ampliar su importancia en auditoria de cajanegra y test de intrusión con el lanzamiento deanalizadores y explotadores de vulnerabilidades SQL Injection XSS etc.

Ampliar las Auditorías cubiertas a caja blanca:

26

Continuará…

29

Todos las herramientas y técnicas utilizadas en

Anubis son totalmente legales y alegales en el

Estado Español por lo que no se incurre en ningún

delito con su uso. El uso de la técnica de

Transferencia de Zona puede estar penado en

algunos países como EEUU. Certificamos que

durante el desarrollo y el período de pruebas de

Anubis no han sido revelados datos «privados» de

ninguna de las organizaciones que han sido

utilizadas para probar la herramienta, ni se ha

incurrido en ningún delito. Ninguna empresa ha

sido hackeada gracias a Anubis.

30

Presentación de anubis

Education

Transcript of Presentación de anubis