Aún no tienes acceso a esta clase

Crea una cuenta y continúa viendo este curso

Pentesting

10/15
Recursos

Aportes 51

Preguntas 4

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesión.

🐱‍👤 Pentesting o pruebas de seguridad son pruebas de penetración para evaluar la seguridad de los sistemas. Consisten en realizar ataques informáticos a aplicaciones con el objetivo de encontrar vulnerabilidades existentes.
➡ Para qué .-

  • Reducir el gasto de seguridad de TI y mejorar el ROSI (Retorno de Inversión en Seguridad).

  • Enfocarse en vulnerabilidades de alta severidad y aumentar la consciencia de seguridad.

  • Adoptar las mejores prácticas.

⚠ Qué se va a evaluar. .-

  • Seguridad en la Red (interna, externa, inalámbrica)

  • Aplicaciones.- ver los diferentes módulos de una ap. Ej. Si usan xml o Json, evaluar que envían la info de forma cifrada.

  • Seguridad Física .- Si tienen, por ejemplo Data Center. Preguntarse cómo está el acceso a dicho Data Center.

  • Ingeniería Social.- la manera de engañar a las personas para sacarles información Tomar en cuenta aspecto como ¿Se destruye bien la información que desechamos? Cualquier persona revisando la basura podría tomar datos importantes para la empresa.

☢ Tipos de Pruebas

  • Caja Negra.- Simula un ataque como en el mundo real.

  • Caja Blanca.- Aquí el persona de la empresa nos dará acceso a toda la información, la infraestructura, qué implementaciones de seguridad tiene, qué políticas utiliza. Se dividen en pruebas anunciadas y pruebas no anunciadas.

  • Grey-Box.- Combinación de las anteriores.

🛑 Fases del Pentesting

  • Pre Ataque.- se realiza una planeación, se definen los objetivos. se prepara el ataque con un papel llamado Reglas de Compromiso.

  • Ataque.- Recolección de información a través de fuentes pasivas o activos. Escaneo de vulnerabilidad.

  • Post Ataque.- Reporte técnico para el equipo de TI y no técnico para el equipo de toma de decisiones.

Son una infinidad de vectores de ataque, entre los que se encuentran el Grayware, smishing, bluejacking, spam, xss, entro otros muchos más.

Comparto un extra de uno de los vectores de ataque mencionados.
La inyección de código contempla la inyección XML e Inyección SQL.
Inyección XML

Cuando se utiliza una base de datos de XML, una inyección XML es un ataque que puede dañar los datos. Una vez que el usuario proporciona la entrada, el sistema obtiene acceso a los datos necesarios mediante una consulta. El problema se produce cuando el sistema no inspecciona correctamente la solicitud de entrada proporcionada por el usuario. Los delincuentes pueden manipular la consulta al programarla para que se adapte a sus necesidades y puedan tener acceso a la información de la base de datos.

Todos los datos confidenciales almacenados en la base de datos son accesibles para los delincuentes y pueden hacer cualquier cantidad de cambios en el sitio web. Un ataque de inyección XML amenaza a la seguridad del sitio web.

Inyección SQL

El delincuente cibernético ataca a una vulnerabilidad al insertar una declaración maliciosa de SQL en un campo de entrada. Nuevamente, el sistema no filtra correctamente los caracteres de entrada del usuario en una declaración de SQL. Los delincuentes utilizan la inyección SQL en sitios web o cualquier base de datos SQL.

Los delincuentes pueden suplantar la identidad, modificar datos existentes, destruir datos o convertirse en administradores de servidores de bases de datos.

(Fuente: Cisco - Cybersecurity Essentials)

Método P.I.C.O
Recomendaciones para detectar y no caer en ciberestafas.

Pretexto: nos van a contactar con una oferta, premio, subsidio, etcétera.

Impostor: en nombre de una empresa u organismo reconocido.

Contexto: se provechan de una situación específica.

Oportunidad: ofrecen una oportunidad única e increíble para acceder en un tiempo muy corto.

<h3>Vectores de ataque</h3>
  • Inyección de código: Consiste en inyectar o insertar código malicioso dentro de código normal para que un software realice acciones para las cuales no está destinado.
  • Pérdida de autenticación: Es cuando en una aplicación alguna persona es capaz de saltar los controles de acceso, por ejemplo usuario y contraseña.
  • Pérdida de controles de acceso: Es cuando un usuario puede hacer cosas para las que no está destinadas su perfil, por ejemplo realizar acciones de administrador o que dentro del sistema pueda hacer una escalación de privilegios.
  • Uso de componentes con vulnerabilidades conocidas
  • Registro y monitoreos insuficientes: Que no se registran todas las acciones del sistema, todo lo que pasa a nivel de red en algún lugar que se quiere proteger es importante que sea registrada por medio de logs.
  • Deserialización insegura: Consiste en exploits que se inyectan a aplicaciones.

Una vez vi una frase en un curso de Cloud Computing que dice.Hay dos clases de empresas las que fueron hackeadas y las que volverán a ser hackeadas

Desbordamiento del búfer: Al cambiar datos excediendo los límites del búfer, la aplicación accede a memoria asignada para otros procesos, lo que puede ocasionar bloqueo del sistema y escalamiento del privilegios.

Pentesting: Consisten en realizar ataques informáticos a aplicaciones con objetivo de encontrar vulnerabilidades existentes.

Este curso tiene demasiado potencial, pero esta mal planteado. No se puede esperar a que los estudiantes aprendan de un tema tan abstracto con solo escuchar a alguien hablar. Necesita ser mas interactivo y mas puntual.

Si deseas obtener una Certificación en esta área de Pentesting, OSCP es lo tuyo.

En la clase se mencionan inyecciones de javascript
En realidad el término “correcto” es XSS (Cross Site Scripting) Por si desean investigar más al respecto y es tal cual ejecutar javascript en los campos que no tengan validación suficiente
Existen 2 tipos persistentes y no-persistentes
Un dato curioso es que las siglas inicialmente serían CSS sin embargo se cambiaron para que no fuera confundido con las hojas de estilo

Alugono de los que conozco son:

  • Ataque DoS. En un ataque de denegación de servicio (DoS), un atacante intenta evitar la legitimidad de que los usuarios accedan a información o al servicios. …

  • Ping Flood. …

  • Ping de la muerte. …

  • Escaneo de puertos. …

  • ARP Spoofing. …

  • ACK flood. …

  • Ataque FTP Bounce. …

  • TCP Session Hijacking.

Keyloggers: es aquel software infeccioso destinado al robo de información pulsada. En otras palabras, registra, todas las escrituras del usuario por medio de pulsaciones del teclado.
Ingeniería social: nombre que se le otorga a la habilidad de robar información, aprovechándose de las debilidades del usuario, persuadiéndolo por medio de mensajes directos, y se clasifican de la siguiente manera:
**Phishing: **el atacante obtiene información confidencial, por medio de la suplantación de identidad, o representaciones supuesta, de organismos o páginas en Internet.
Fuente: interntetpasoapaso

Los 3 vectores de ataque más comunes que explotan documentos de Office

Vector de ataque 1: Documentos con macros
El primer vector son documentos, por lo general de Word, que contienen código Visual Basic for Application (VBA) conocido como macros. La propiedad de leer ese código viene desactivada por defecto, lo que quiere decir que, para que un usuario se infecte, hace falta su aprobación.
En algunos casos es posible extraer el código malicioso del archivo, pero en otros no, ya que suelen estar protegidos por una contraseña creada por el atacante.

Vector de ataque 2: Documentos con OLE
El segundo vector involucra a documentos maliciosos con Object Linking and Embedding (OLE). Este método permite incrustar y vincular archivos, como, por ejemplo, scripts o ejecutables.
Al igual que con las macros, la víctima no se infectará con solo abrir el archivo, sino que se deberá hacer doble clic sobre el objeto, que se encuentra dentro del documento, para que se efectúe la infección.
Los cibercriminales usan esta técnica aprovechando que Microsoft Office da la posibilidad de cambiar visualmente el icono o imagen del contenido malicioso por alguna otra que pueda generar más confianza, para así lograr que la víctima abra el contenido.

Vector de ataque 3: Documentos que explotan vulnerabilidades
El último vector que describiremos, aunque no por eso es el menos importante, tiene que ver con aquellos documentos maliciosos que explotan algún tipo de vulnerabilidad en las aplicaciones de Microsoft Office (Word, Excel, Power Point, etc.).
A diferencia de los métodos anteriormente descriptos, aquí el código malicioso se ejecutará inmediatamente al momento de abrir el documento, sin ningún tipo de aprobación previa, mensaje o advertencia.

Un vector de ataque hace referencia a un agujero o falla presente en la red, equipos y/o seguridad establecida, que permiten el acceso a ciberdelincuentes informáticos, para transmitir códigos maliciosos.

Correo Electrónico
Es el principal vector de ataque debido a que es un medio empleado por organizaciones de todos los tamaños, desde pequeñas hasta grandes empresas.

Endpoint
Nos referimos a estaciones de trabajo que pueden ser empleados para infectar los sistemas de la organización mediante una memoria USB o un disco duro extraíble, mediante este medio un atacante puede dañar con código malicioso un computador de trabajo o infectar una red LAN.

Vectores de ataque en ciberseguridad:

  • Ataques activos
    • **Spoofing: **Se refiere al uso de técnicas para la suplantación de identidad.

    • Modificación: Consiste en modificar la tabla de enrutamiento del router con el fin de que el remitente envíe su mensaje por un camino mas largo provocando gran retraso.

    • DDoS: El Ataque de Denegación de Servicios (DDoS) consiste en mantener la red ocupada consumiendo el ancho de banda con mensajes constantes que alteran la normalidad de la prestación de servicio.
      -Fabricación: Se genera un mensaje de enrutamiento falso para evitar que la información llegue a destino.

-Ataques Pasivos
-Sniffing o Análisis de tráfico: Un atacante intenta detectar la ruta de comunicación entre remitente y el receptor. El atacante puede encontrar la cantidad de datos que se desplazan entre la ruta del remitente y del receptor. No hay modificación en los datos.
-Escuchas furtivas: Se produce en la red móvil ad-hoc. El objetivo principal de este ataque es averiguar información secreta o confidencial de la comunicación.
-Supervisión: Ataque donde se pueden leer datos confidenciales, pero no se pueden editar los mismos.

Te encontraste una memoria y rápidamente vas a conectarla a tu PC para saber qué contiene??? …

  • Correos electrónicos de phishing: los correos electrónicos de phishing son uno de los tipos más comunes de ciberataques. Pueden ser especialmente difíciles de mitigar porque, si bien el personal de TI puede ser experto en verificar el contenido de un correo electrónico, es posible que los miembros de la empresa no lo sean.

Los correos electrónicos de phishing intentan engañar al destinatario para que proporcione información restringida, a menudo presentándole un enlace a un sitio web malicioso.

  • Estrategia de mitigación: la organización de TI debe fomentar la denuncia de correos electrónicos de phishing y bloquear a los remitentes conocidos de correo malicioso a través de un filtro de correo electrónico centralizado para evitar que los usuarios sean bombardeados con correos electrónicos de phishing.

vectores de ataque

inyección de código: insertar código malicioso dentro de código normal
perdida de autentificación: saltar usuario y contraseño
perdida de controles de acceso : un usuario puede escalar privilegios
uso de componentes con vulnerabilidades conocidas:
registro de monitoreos insuficiente: si no se registra, lo que se hace en la red, y no se monitorea hace un hueco de seguridad
deserialización insegura: inyectar exploit en aplicaciones
backdoor o puesta trasera: un punto de acceso, que permanece oculto para los demás

  • DDoS: ataque de degeneración de servicios sobrecargando el trafico de los servidores

hacer una copia de una pagina por ejemplo facebook con el fin de que cuando alguien introdusca su usuario y contraseña sean enviadas a un atacante.
La url es algo que no se puede copiar y tu pagina falsa tendra una url diferente a facebook[.]com pero ya esposible suplantar la url en una ventana pop up

Oh si leí acerca del caso!. Fué una intrusión sorprendente!

El objetivo de un pentester es proteger y mejorar la postura de seguridad de las aplicaciones o sistemas.

Las pruebas de seguridad o pentenst consisten en realizar ataques informaticos a aplicaciones con el objetivo de encontrar vulnerabilidades existentes.

yo que me creia hacker cuando en hotmail se veia la clave en la url cuando accedias jajajaja

Pentesting

La deserialización insegura

Registro y monitoreo insuficientes

Uso de componentes con vulnerabilidades conocidas

Pérdida de controles de acceso

Pérdida de autenticación

Inyección de código

Vectores de ataque

Historia de un grupo criminal Ruso

No estoy muy seguro pero considero que la aplicación de ingeniería social puede ser considerado un vector de ataque.

Sniffing o Análisis de tráfico

Uso de componentes con vulnerabilidades conocidas


Es cuando una persona o empresa usa software con vulnerabilidades ya conocidas y que no ha sido actualizado, por lo tanto sufre el riesgo de que los criminales usen esas vulnerabilidades para atacar efectivamente.

De ahi la importancia de actualizar el software!

By SsimorPro

No estoy seguro si cuenta como un vector pero gracias a la edición el registro de windows durante el proceso de instalación de Windows 11, es posible saltarse el chequeo de: TPM, RAM y SecureBoot.

Gracias a eso he logrado testear el nuevo Windows de Microsoft en un equipo de 2012.

  • Software Malicioso. Malware dentro de los se destacan: Ransomware, Troyano y Spyware.

  • Phishing. Tipos: Spare Phishing, Whale Phishing.

  • DDos. Objetivo: agotar los recursos de servidores o sitios Web con mensajes extraños y solicitudes de trafico.

  • Cross-Site-Scripting-XSS. Ataque de inyeccion de un script o codigo malicioso en un sitio web para ejecutarse en JavaScript, Flash y HTML.

  • Ataques de fuerza Bruta. Ataque criptografico de prueba y error para adivinar la informacion de inicio de sesion.

El Pentesting es como tocar un instrumento. Todos quieren aprenderlo solo para tocar su canción favorita pero nadie quiere meterse de lleno en las partituras, las notas, el solfeo, la escritura, etc.

Gente, así como todo en la vida, el pentesting tiene su camino por si mismo, no solo es copiapegar comandos y esperar a que hagan lo que quieres y lo que buscar como todo un scriptkiddie, el pentesting requiere de mucho conocimiento y práctica técnica, en un año estudiándolo puedo decir que me falta demasiado, muchísimo más que aprender. En el pentesting hay demasiado troubleshooting y demasiada información que aprender para estar al nivel profesional, con solo decir que, cada año hay demasiadas CVE’s nuevas que se registran y se deben practicar para no quedarse atrás y cada una trata de cosas que incluso nadie jamás había visto y se necesita cierto conocimiento previo de la tecnología afectada o su funcionamiento para poderla comprender. Hay demasiado conocimiento previo que aprender como en todo. Pero no hay por que temer. Nadie tiene prisa! 😃

Entendía los vector como por donde entra el ataque:

  1. Correo
  2. Aplicaciones nube / física
  3. Perímetro
  4. Infraestructura nube / física

Resumen en Notion
https://n9.cl/f9zxt

El tema de la persistecia y post-intrusión, es tan importante como el evento de penetar un sistema. Lo que hizo este grupo fue planficado y llevaron correctamente cada una de las etapas. Sin embargo hubiesen podido borrar todo tipo de rastro, de este modo no se hubiesen percatado de la filtración o lo habrian hecho pero con dificultad.

pruebas de penetración

Vectores de ataques me dio ante semejante presente

Me gustaría saber más sobre Pishing.

Bueno, efectivamente en mi empresa tocó correr para actualizar Orion (yo soy el administrador)

Uno de los vectores de ataque que más me tiene fascinado, es la que me dedico a proteger, Ataques de DDoS. Me parece fascinante como una cantidad de datos puede inutilizar servicios, colocando en riesgo la reputación de una empresa y poniendo a correr a los encargados de las redes.