005. DETECCIÓN Y ANÁLISIS DE VULNERABILIDADES MEDIANTE HACKING ÉTICO EN LAS ORGANIZACIONES Autores:

Diana López Alvarez1 [0000-0003-2457-7683] 1 Facultad de Ingeniería en Sistemas Computacionales y Telecomunicaciones, Universidad Ecotec, Guayaquil, Ecuador dlopez@ecotec.edu.ec

Resumen Cuando su organización experimenta un incidente serio de seguridad, debido a la inevitabilidad de éstos, es su nivel de preparación lo que guiará una recuperación inmediata y exitosa. No importa si usted es responsable de la seguridad de un colegio comunitario local o si es el CISO de un banco internacional, la Seguridad Informática es un asunto que debe tener alerta y en constante vigilancia a todas las organizaciones. El objetivo principal de este trabajo es demostrar la metodología utilizada para la detección de vulnerabilidades en redes de datos. Para esto se utilizó las 4 fases del Hacking Ético conocidas como Reconocimiento, Escaneo, Enumeración y Explotación, tomando como base los 3 pilares fundamentales de la Seguridad Informática: Integridad, Confidencialidad y Disponibilidad. El resultado de esta investigación fue la detección de las falencias o brechas de información existentes en los servicios y equipos informáticos auditados, lo cual ayuda al mejoramiento de la seguridad de los sistemas haciendo que permenezcan en continua vigilancia y preparados ante algún evento de ataque interno y/o externo valiéndose de las vulnerabilidades que puedan existir. Es importante considerar una planificación de políticas de Seguridad identificando las posibles amenzas internas y externas de acuerdo a la insfraestructura tecnológica y a las necesidades y recursos con los que cuente la organización. Finalmente es recomendable llevar un informe de la auditoria de este proceso, la cual debe realizarse de forma periódica con la finalidad de verificar que los procedimientos, políticas y procesos se esten cumpliendo efectivamente. Palabras claves: detección de vulnerabilidades, amenazas, seguridad informática, hacking ético. Abstract: When your organization experiences a serious safety incident, due to the inevitability of these, it is your level of preparedness that will guide an immediate and successful recovery. It does not matter if you are responsible for the safety of a local community college or if it is the CISO of an international bank, Computer Security is a matter that should be alert and in constant surveillance to all organizations.

The main objective of this work is to demonstrate the methodology used for the detection of vulnerabilities in data networks. For this, the 4 phases of Ethical Hacking known as Recognition, Scanning, Enumeration and Exploitation were used, based on the 3 pillars of Information Security: Integrity, Confidentiality and Availability. The result of this investigation was the detection of the gaps or existing information gaps in the services and computer equipment audited, which helps to improve the security of the systems making them permenezcan in continuous surveillance and prepared before an event of internal attack and / or external using the vulnerabilities that may exist. It is important to consider security policy planning, identifying the possible internal and external threats according to the technological infrastructure and the needs and resources of the organization. Finally, it is advisable to keep a report of the audit of this process, which must be carried out periodically in order to verify that the procedures, policies and processes are being carried out effectively. Keywords: vulnerability detection, threats, computer security, ethical hacking.

INTRODUCCIÓN Actualmente existen muchas herramientas con el objetivo de detectar vulnerabilidades informáticas en varias plataformas, donde se permite evaluar las posibles brechas de información que un sistema o equipo pueda tener dentro de una organización. La Seguridad informática se basa en los tres pilares fundamentales conocidos como Disponibilidad, Integridad y Confidencialidad. Según Gonzalez (2011) indica que “la seguridad informática es la disciplina que se encargaría de las implementaciones técnicas de la protección de la información, el despliegue de las tecnologías antivirus, firewalls, detección de intrusos, detección de anomalías, correlación de eventos, atención de incidentes, entre otros elementos, que establecen la forma de actuar y asegurar las situaciones de fallas parciales o totales, cuando la información es el activo que se encuentra en riesgo”. (Gonzalez, 2011), Para ISOTools Excellence (2017), la definición de la seguridad de la información es “la disciplina que nos habla de los riesgos, de las amenazas, de los análisis de escenarios, de las buenas prácticas y esquemas normativos, que nos exigen niveles de aseguramiento de procesos y tecnologías para elevar el nivel de confianza en la creación, uso, almacenamiento, transmisión, recuperación y disposición final de la información. (ISOTools Excellence, 2017) Se puede definir al Hacking Ético como una práctica de penetración en los sistemas o equipos informáticos con la finalidad de detectar las posibles vulnerabilidades que existan en éstos. La importancia del hacking ético se considera como una medida preventiva ante las vulnerabilidades que pueda tener un sistema o equipo informático para tomar precauciones y así asegurar y eliminar las posibles brechas y falencias de fuga de información.

Cada vez y de forma continua las empresas tratan su infraestructura de TI como un servicio más, sin importancia, sin considerar los detalles técnicos que implica la seguridad. Actualmente, las organizaciones utilizan el internet como el principal medio de comunicación para realizar transacciones, movimientos, proveer servicios etc. pero lamentablemente no se ha tomado conciencia en la importancia de la seguridad de la información y debido al continuo avance tecnológico las vulnerabilidades y los ataques son cada vez más frecuentes. En el presente trabajo se expone las fases del hacking ético que se inicia con el reconocimiento, el escaneo, obtener acceso y finalmente todos estos hallazgos se reportan en un informe. Más adelante se presentará de forma más detallada dichas fases, las herramientas utilizadas y los resultados obtenidos. El objetivo de este trabajo de investigación no es explotar, alterar o dañar los equipos auditados sino detectar cuales son las vulnerabilidades existentes en los equipos informáticos de la organización analizada, basándose en la metodología del Hacking ético que nos permite demostrar las brechas de información existentes y que deben ser canalizadas a fin de proteger la información que pueda ser sensible a los ataques. Dicha metodología puede ser aplicada a cualquier tipo de organización permitiendo la detección de vulnerabilidades en los distintos controles que se realizan. El resultado obtenido de este trabajo es un informe sobre las vulnerabilidades existentes dentro de la organización analizada, con esto se pretende presentar a traves de una auditoria todos aquellos puntos vulnerables dónde existe posiblemente un elemento sensible que puede ser facilmente explotado; con esto se pretende lograr elevar la confidencialidad, integridad y disponibilidad de los datos críticos o sensibles que se manejan de forma que se pueda minimizar o mitigar el impacto ante la ocurrencia de incidentes de seguridad.

2. DESARROLLO 2.1 Metodología 2.1.1 Planteamiento Dependiendo desde donde se realicen las pruebas el hacking ético puede ser: interno o externo. De acuerdo a como su nombre lo indica, el hacking interno se ejecuta desde la red interna del cliente, como por ejemplo desde el computador de un empleado de la misma empresa. Astudillo, K. (2012) define los siguiente: “En este tipo de pruebas de intrusión se suele encontrar más huecos de seguridad que en su contraparte externa, debido a que muchos administradores de sistemas se preocupan por proteger el perímetro de su red y subestiman al atacante interno”. (Hacking 101, Astudillo 2012) En base a lo mencionado anteriormente se desarrolla esta metodología de hacking ético el cual combina el hacking interno y externo para encontrar vulnerabilidades y

de esa forma mejorar e implementar un plan de acción de protección de información ofreciendo servicios eficientes y seguros ante los posibles ataques de intrusion de terceros no autorizados. El método que se propone para la detección y análisis de vulnerabilidades en la red conocido como Hacking Ético consta de 4 fases fundamentales: Reconocimiento, Escaneo, Enumeración y Explotación. 2.1.2 Reconocimiento o Footprinting Es la primera fase del hacking ético, también llamado footprinting, cuyo objetivo es descubrir y recolectar la mayor cantidad de información de la víctima objetivo del ataque. En esta fase mientras más ingenioso y minucioso sea, mayor posibilidades hay de encontrar información importante que le de al menos una pista. Existen varias herramientas que le pueden ayudar en esta fase, sin embargo si no se tiene a mano alguna de ellas no significa que no pueda llevar a cabo el Reconocimiento, basta con una linea de comandos y un navegador. El Sistema operativo puede ser Windows, Linux, Unix, para este trabajo se ha usado Windows y Linux (Kali, anteriormente Backtrack). Una de las herramientas más usadas para el Footprinting es Google, en la figura 2.1 se puede apreciar los resultados obtenidos:

Figura 2.1 Footprinting con Google. Elaboración propia. 

Otra de las herramientas que podemos utilizar es un shell de Windows, con esto se realiza una consulta DNS con la finalidad de conocer la dirección ip y a su vez el rango de ip’s de la subred, se usa el comando nslookup.

Figura 2.2 Resolución DNS con comando nslookup en Windows. Adaptado de Astudillo (2012). 

El comando nslookup maneja las directivas NS (servicio de nombres), MX (servicio de correo) y ALL (mostrar todo), Figura 2.2. A continuación se realizará reconocimiento con Who-Is en el NIC de Ecuador y luego usando Maltego Community, se obtiene datos de una organización con el uso de objetos gráficos a través de transformaciones.

Figura 2.3 Transformación con Maltego. Elaboración propia. 

Aprovechando el acceso a la red interna se puede realizar un rastreo al correo electrónico, en la figura 2.4 se puede apreciar datos interesantes de la cabecera del mail.

Figura 2.4 Cabecera de mail. Elaboración propia. 

Finalmente, con ayuda de la herramienta Email TrackerPro se puede observar que el origen del correo es en Ecuador, el correo sale desde la primera ip y pasa por lo que aparentemente parece ser un firewall y finalmente se ecnuentra una ip que sería la del servidor en Ecuador, lo que indica que la empresa tiene su correo de forma local.

Figura 2.4 Email TrackerPro: análisis de cabecera de mail. Adaptado de Astudillo (2012). 

2.1.3 Escaneo En base a las ip’s encontradas en la fase anterior, en la fase de Escaneo se pueden indentificar los hosts activos, de esta forma se intenta determinar los puertos abiertos y luego se intentará detectar el Sistema Operativo y aplicaciones que escuchan dichos puertos. Para hacer un Escaneo de puertos se puede usar NetScan, figura 2.5, también se observan los servicios que se ejecutan en cada Puerto, se está analizando la ip del servidor DNS.

Figura 2.5 Análisis con herramienta Net Scan. Adaptado de Astudillo (2012). 

Posteriormente, se hace uso de Nmap, un escáner de puertos muy conocido, se puede realizar un escaneo de puertos desde un Shell o desde la aplicación gráfica. Como se observa en la figura 2.6, se ha detectado los nombres del servidor y a su vez muestra

el sistema operativo Windows Server 2008 R2 con SP1. En la figura 2.7 se identifica un equipo Firewall Check Point depués de un escaneo de puertos para la ip 1XX.10.50.11.

Figura 2.6 ZenMap, escaneo de puertos. Adaptado de Astudillo (2012). 

Figura 2.7 ZenMap, detección de SO. Adaptado de Astudillo (2012). 

Ahora, de forma externa y desde un shell de Windows, se realiza un escaneo tipo connect, en el cual se detectan puertos abiertos, aparentemente el SO es Windows XP, se analiza la ip 2XX.219.1.85.

Figura 2.8 NMap desde un cmd de Windows, ip 2XX.219.1.85. Adaptado de Astudillo (2012). 

Para terminar esta fase se hará uso de un conocido analizador de vulnerabilidades, Nessus, aunque existe servicio pagado se usó su version Home Feed gratuita. La ip objetivo será el servidor de correo que se detectó hasta el momento, los resultados que se observan en la figura 2.9 con un reporte de las vulnerabilidades encontradas. En los resultados detectados por Nessus existe un riesgo que ha sido calificado como alto, es decir que tiene vulnerabilidad de categoría crítica, la cual, podría ser explotada fácilmente. Esta vulnerabilidad es conocida como “Open relay”, lo que significa que el servidor de correo está mal configurado, siendo así, alguien podría utilizarlo para hacer spam a través de él. Si esto ocurriese, las listas RBL (Real-time Blackhole List) incluirán a esta dirección entre los servidores mal configurados, lo que significa que aún los emails legítimos que se envíen de ese servidor quedarán bloqueados, generando un gran dolor de cabeza para el Administrador de Sistema.

Figura 2.9 Nessus resumen de vulnerabilidades encontradas. Adaptado de Astudillo (2012). 

2.1.4 Enumeración En la fase de Enumeración se pretende obtener más información de la víctima aprovechando las vulnerabilidades que han sido halladas previamente en als fases anteriores. Con ayuda del comando net view se obtuvo una lista de dominios, grupos de trabajo, computadoras o recursos compartidos, figura 2.11. Primero, se detecta el dominio de interés y se puede observar que también se obtiene el nombre de un equipo y se puede establecer una sesión nula, es decir sesiones sin usuario ni clave, lo cual constituye una gran falla de seguridad para los equipos. Para listar usuarios, servicios, grupos, se utilize Dumpsec y Hyena, figura 2.10 y 2.12, éstas herramientas son antiguas, pero nos prestan muchos servicios con resultados interesantes. Como dato adicional, al conectar un cable de red desde una laptop se logró obtener acceso a la red de la empresa sin necesidad de realizar alguna configuración adicional.

Figura 2.10 Enumeración con Dumpsec. Adaptado de Astudillo (2012). 

 Figura 2.11 Enumeración con Netview. Adaptado de Astudillo (2012). 

Figura 2.12 Enumeración con Hyena. Adaptado de Astudillo (2012). 

2.1.5 Explotación o Hacking Finalmente se ha llegado a la fase de explotación o hacking, en la cual se hace uso de exploits manuales y automáticos. En esta fase se utilizó la herramienta Metasploit Framework Community que es una versión gratuita aunque limitada que permite realizar exploits y proporciona información sobre vulnerabilidades. En base a lo encontrado en las fases anteriores se concentra la atención en el servidor de correo SMTP, gracias a la herramienta Nessus se logró detectar que dicho servidor tiene una vulnerabilidad de alto riego. Para el uso de Metasploit subimos primeramente el reporte generado por Nessus, todo esto se almacena en un workspace y con ayuda del commando vulns se detecta las vulnerabilidades, figuras 2.13 y 2.14. En vista de que se detectó la vulnerabilidad de correo denominada Open Relay, hacemos uso del módulo auxiliar de mestasploit “smtp_relay” como se aprecia en la figura 2.15.

Figura 2.13 Metasploit carga reporte de Nessus. Adaptado de Astudillo (2012). 

Figura 2.14 Metasploit commando Vulns. Adaptado de Astudillo (2012). 

Figura 2.15 Metasploit, uso smtp_relay. Adaptado de Astudillo (2012). 

Posteriormente, se puede probar el envío de correos desde el servidor con ayuda del commando telnet, primeramente, se ingresa y se hace un HELO al servidor, al obtener

respuesta le seteamos el remitente y destinatario recibiendo como respuesta un Ok, lo que significa que el correo pudo ser enviado de forma exitosa, figura 2.16. De ésta forma se comprueba el Open Relay.

Figura 2.16 Telnet, envío de correo. Adaptado de Astudillo (2012). 

Finalmente, con ayuda de la herramienta Ethercap se realizó un escaneo de hosts y se logra capturar las mac address y nombres de los equipos. Finalmente se realiza un ataque DoS(Denial of Service) a la intranet de la empresa cuya ip fue detectada en las fases anteriores, en la figura 2.17 se aprecia el resultado exitoso.

Figura 2.17 Ethercap, ataque DoS a intranet. Adaptado de Astudillo (2012). 

Nota importante: el ataque de denegación de servicio fue detenido inmediatamente.

3. RESULTADOS DEL ESTUDIO

3.1 Confidencialidad, Integridad y Disponibilidad. La Confidencialidad, Integridad y Disponibilidad son conceptos conocidos como los principios básicos de la Seguridad de la Información, la correcta gestión de éstas busca mantener y establecer programas y políticas que tengan como objetivo conservarlas, si alguna de éstas características fallara no se tendría un sistema seguro La Confidencialidad es la capacidad de un sistema para evitar que personas no autorizadas puedan acceder a la información almacenada en él. En este trabajo se analizaron cuatro vectores de ataques que puede este principio. Tabla 3.1 Vectores de ataque a la confidencialidad

ConfidencialidadVectores de ataque

Resultados

Recopilación de información

1

Escaneo de puertos

1

Acceso a la interfaz web de Intranet

0

Acceso a la red 1

 

Figura 3.1 Vectores de ataque a la confidencialidad. Elaboración propia. 

La Integridad, permite asegurar que la información no se ha alterado, es decir, que los datos recibidos son exactamente los que fueron enviados sin haberse producido ningún cambio o modificación. Existen 2 vectores de amenazas que pueden comprometer de alguna forma la integridad como se muestra en la siguiente tabla.

Tabla 3.2 Vectores de ataque a la integridad

Integridad Vectores de ataque

Resultados

Edición de archivos de Pcs

0

Manipulación de correo electrónico

1

Figura 3.2 Vectores de ataque a la integridad. Elaboración propia. 

La Disponibilidad, es la característica de que un sistema se mantiene funcionando de forma eficiente y en caso de fallo es capaz de recuperarse rápidamente. Para el análisis se emplearon 2 vectores de ataques como se muestra a continuación. Tabla 3.3 Vectores de ataque a la disponibilidad

Disponibilidad Vectores de ataque

Resultados

Ataque DoS (denegación de servicios)

1

Autenticarse para acceso a Intranet

0

Figura 3.3 Vectores de ataque a la disponibilidad. Elaboración propia. 

3.2 Informe de auditoria Mientras se realizó este Hacking ético se pudieron encontrar vulnerabilidades de seguridad informática en algunos equipos evaluados con niveles de riesgo alto, medio y bajo. El mayor riesgo detectado se concentra principalmente en el servidor de correos ya que fue posible detectar la ip y con ayuda de herramientas de vulnerabilidades se pudo encontrar el sistema operativo que maneja, puertos abiertos y un caso de Open Relay que permite enviar miles de correos y afectar el ancho de banda, además, un atacante podría utilizar el servidor para enviar spam a través de él, esto podría ocasionar que las listas RBL incluyan estos mails entre los mal configurados lo que originaría que los emails legítimos que se envíen del servidor sean bloqueados. Otra de las vulnerabilidades encontrados fue el ataque DoS a la página web de la intranet, produciendo una pérdida de la conectividad a la misma. Como se puede visualizar en la tabla 3.4, se presentan un resumen de las vulnerabilidades encontradas. Es importante recalcar que en ningún momento se realizó una explotación que afecte de forma permanente y/o grave al funcionamiento de los equipos o servicios ya que el objetivo de este trabajo es señalar las vulnerabilidades para que se tomen las precauciones necesarias ante eventos de posibles ataques internos y/o externos. Tabla 3.4 Equipos auditados y puertos

IP Equipo/Servicio Sistema Operativo detectado

Puertos abiertos

2XX.219.1.85 Correo Windows Server

2008 SP2

21,25,80,110,119,143,443,465,563,587,993,995,otros.

1XX.10.50.11 Firewall - 22,80,256,259,264,443,444,900,otros

1XX.10.50.27 DNS Windows Server

2008 R2 SP1

53,88,135,139,389,427,445,464,593,636,otros.

1XX.17.1.79 Intranet Windows Server

2003 SP1

22,80,81,82,83,135,139,445,otros.

4. CONCLUSIONES

Los ataques informáticos a sistemas y equipos son prácticamente inevitables. Se identificó varias falencias a nivel de la seguridad de servicios e infraestructura, no se cuenta con las políticas de seguridad adecuadas para salvaguardar la información y el acceso a ésta, las políticas existentes no se cumplen a cabalidad.

En la implementación del método propuesto, conocido como hacking ético, pueden ser empleadas varias herramientas y técnicas y se recomienda que se realice periódicamente en todas las organizaciones a fin de que permita mantener la constante vigilancia de las posibles vulnerabilidades que existan en los equipos y que pudiesen estar comprometiendo la información. No se debe subestimar al atacante interno, muchos administradores de sistemas se preocupan por proteger el perímetro de su red olvidando que existe un gran número de atacantes dentro de una Organización. Se debe continuar investigando sobre la aplicación de este método en otros escenarios usando estrategias nuevas que permitan conocer más a fondo todas aquellas brechas de la seguridad informática que pueden comprometer los equipos y sistemas.

5. BIBLIOGRAFÍA

Astudillo, K. (2012). Hacking Ético 101, 11-12. Tori, C. (2008). Hacking Ético, 47. Alonso, Ch. (2009). ¿Por qué mis correos llegan como Spam?

http://www.elladodelmal.com/2009/06/por-que-mis-correos-llegan-como-spam.html.

Aharoni, M. (2011). Metasploit Unleashed, Mastering the Framework, 8. Open relay. Wikipedia, https://es.wikipedia.org/wiki/Open_Relay. Blasco, Jaime (2007). Ataques DoS en aplicaciones Web. Yevsieieva, O. (2017). Analysis of the impact of the slow HTTP DOS and DDOS

attacks on the cloud environment. 2017 4th International Scientific-Practical Conference Problems of Infocommunications Science and Technology, doi: 10.1109/INFOCOMMST.2017.8246453.

Svensson, Robert. (2016). From Hacking to Report Writing, 165. López Santoyo, R. (2015). Metodología PTES (Penetration Testing Execution

Standard) Estándar de Ejecución de Tests de Intrusión En: Propuesta de implementación de una metodología de auditoría de seguridad informática. Universidad Autónoma de Madrid. Escuela Politécnica Superior. Recuperado de: http://www.pentest-standard.org/index.php/Main_Page

Gonzalez, J. (2011). ¿Seguridad Informática o Seguridad de la Información?, http://www.seguridadparatodos.es/2011/10/seguridad-informatica-oseguridad-de-la.html

ISOTools Excellence. (2017) ¿Seguridad informática o seguridad de la información?, http://www.pmg-ssi.com/2017/01/seguridad-de-la-informacion/