1 oct. 2012

Guía sencilla para un Pen Test

Uno de los motivos por el cual me decidí a escribir en un blog fué la de recopilar, para mi gente, y para mi mismo, la información que voy estudiando y ordenar de alguna manera este conocimiento.
Voy a intentar mantener este post vivo, actualizando conforme vayamos viendo herramientas y procesos que nos sirvan para realizar un test de penetración.
No voy a seguir ninguna guia ni metodología concreta, ya que hay varios por internet, y pretendo darle un enfoque práctico al asunto. No obstante, si quereis "formalizar" este proceso, podeis buscar información en :
Las etapas que considero necesarias, y que seguramente iremos ampliando/reduciendo son las siguientes NOTA no necesariamente los procesos o herramientas pertenecen a una única fase:

  • Pre-engagement Interactions: En este apartado básicamente se define el ámbito y alcance del test de intrusión. Se llega a un acuerdo con el cliente acotando la profundidad de las pruebas a realizar, permisividad de ataques (ataques DOS, fuerza bruta....), enfoque del test (caja negra, gris o blanca) presentación de evidencias (goals)....etc
  • Intelligence Gathering: Recopilación de información de inteligencia competitiva publicada en motores de busqueda que nos dará una idea del objetivo que estamos estudiando y personas trabajan dentro de la empresa.
    • Información básica en Internet, mediante buscadores como Google, para saber la ubicación de física de la empresa o sedes. La franja horaria, para saber a que hora se pueden realizar ciertas operaciones. Tambien es interesante saber la propiedad de la empresa, si pertenece a un Holding de empresas, varios propietarios, etc. Saber donde hay que ir a buscar puntos debiles en comunicaciones, o buscar vectores de ataque indirectos mediante empresas afiliadas, fundaciones etc.Productos o servicios que ofrece la compañía. Organigrama. Herramientas de marketing usadas: Redes sociales, mailing, comerciales...Ofertas de puestos de trabajo pueden dar información sobre tecnologías usadas, o previstas usar.
    • CREEPY.
    • THEHARVESTER.
  • Information Gathering:
  • Threat Modeling: Con la información proporcionada por las dos fases anteriores, se definen lineas de negocios existentes, importancia de los activos IT (accesibles) visibles en nuestro estudio para definir vectores de ataques posteriores.
  • Vulnerability Analysis: Como su propio nombre indica entramos en materia. De forma activa y ya 'tocando' el objetivo, se identificas puertos y servicios existentes en busca, de forma manual y automática vulnerabilidades existentes.
  • Exploitation: La fase de verificación y explotación de vulnerabilidades. Se contempla forma de evasión de NIDS, HIPS, Antivirus y otras contramedidas existentes a nivel de red o EndPoint.
  • Post Exploitation: Esta fase se centra en la recopilación de evidencias y en cómo valorar el impacto real de la intrusión y hasta donde podemos llegar desde el sistema comprometido. Se contempla borrado de huellas y hacer persistente el ataque (puertas traseras, conexión inversa o rootkits).
  • Reporting: Explica qué deben contener los reportes (ejecutivo y técnico) que entreguemos como conclusión de nuestro estudio.
Fuente: Kinomakino

2 comentarios:

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!