- DOCUMENTO CONFIDENCIAL -

Red Team Services

Noviembre de 2013

Confidencialidad del DocumentoToda informacin contenida en la presente propuesta deber mantenerse en forma estrictamente confidencial. Prohibido copiar y reproducir este documento o parte del mismo sin la debida autorizacin de INFOBYTE SECURITY RESEARCH. Las obligaciones sealadas continuarn vigentes an despus de su vencimiento o terminacin de uso de la presente propuesta.

INFOBYTE SECURITY RESEARCHChile 1441, Segundo Cuerpo, 1er Piso.Ciudad de Buenos Aires - ARGENTINATel.: 54-11-4383-7000 Fax: 54-11-4383-7000

Tabla de contenido

Resumen Institucional3Red Team Services5Metodologas a utilizar6Descripcin detallada del servicio7Penetration test:7Web Application Penetration test:7Auditoria Wireless :9Herramientas:10Entregables:10Revalidacin:11

Resumen Institucional

INFOBYTE SECURITY RESEARCH acta en el campo de la Seguridad de la Informacin con una estructura dedicada a la provisin de servicios y soluciones de seguridad. En este sentido, numerosos proyectos desarrollados para clientes en los mercados ms diversos avalan nuestra trayectoria.

Operando en Argentina desde hace ms de 10 aos, INFOBYTE SECURITY RESEARCH cuenta con profesionales especializados en el planeamiento, la administracin y el desenvolvimiento de una amplia gama de opciones, desde servicios a soluciones llave en mano, contemplando desde la consultora y anlisis de riesgos de negocio, hasta la implementacin de la solucin final, garantizando el mximo cumplimiento de las necesidades especficas del cliente.

Nuestros especialistas son expositores de conferencias de seguridad internacionales mas prestigiosas de seguridad como Defcon / Blackhat / Shakacon / Bluehat / Troopers, H2HC.

A travs de una complementacin estratgica apropiada a sus necesidades, podemos colaborar con su empresa en la realizacin de una tarea especfica o en la cristalizacin integral de un proyecto, desde el inicio de las definiciones hasta la finalizacin de su puesta en marcha.

INFOBYTE SECURITY RESEARCH cuenta para ello con un capacitado plantel de profesionales y con herramientas tecnolgicas que permiten diagnosticar y solucionar los posibles inconvenientes que pudieran existir.

De este modo permitimos a nuestros clientes, sin descuidar recursos propios cuyo empleo puede perjudicar el objetivo principal de la organizacin, asegurar la adecuada confidencialidad, integridad y disponibilidad de la informacin, uno de sus activos ms importantes.

INFOBYTE SECURITY RESEARCH es organizador de EkoParty, (Electronic Knock Out Party) la mayor conferencia de Seguridad de America Latina. Cada ao se renen mas de 800 profesionales para discutir sobre los riesgos del futuro en materia de seguridad.Adicionalmente los das previos a la conferencia se dictan trainings especializados donde los mejores especialistas capacitan a los profesionales de seguridad.(2011 7ma edicin). http://www.ekoparty.org/

Cobertura en medios nacionales e internacionales:

Red Team Services

INFOBYTE SECURITY RESEARCH actualmente es la nica empresa en latinoamerica brindando servicios integrales Red Team. Red Team es una definicin que proviene del mundo militar a un grupo ofensivo que tiene como objetivo la simulacin de ataques de un adversario para poder proveer un anlisis realista de la seguridad y el estado de la misma.Esta metodologa de trabajo permite a la gerencia la capacidad de utilizar una herramienta de anlisis independiente que plantea el desafo de conceptos, estrategias, planes y operaciones desde la perceptiva de un posible agresor.Buscamos perfeccionar el nivel de seguridad de su organizacin brindandole informacin clave para identificar cuales son las amenazas que enfrenta su infraestructura y como mitigar las mismas.

Metodologas a utilizar

Para el desarrollo de este proyecto se har uso de las siguientes metodologas (estndares internacionales), las cuales brindan el marco de referencia y asegura que se contemplen la totalidad de los aspectos relevantes para cada rea de revisin y brindan adicionalmente una gua de las tareas especficas para el desarrollo del proyecto:

COBIT:Estndares de Objetivos de Control y Auditora para informacin y Tecnologa Relacionada.

ISO IEC 17799 :Estndares orientados al Management para la implementacin de la mejor solucin en Seguridad de la Informacin.

British Standard BS7799: Estndares para la definicin y desarrollo de polticas de seguridad informtica.

PDN (Professional Development Network): Metodologa para la resolucin de situaciones problemticas no estructuradas

NIST (National Institute of Standards and Technology): Recomendaciones para la Divulgacin de Conceptos de Seguridad.

ISACA (Information Systems Audit and Control Association):Estndares para el control y auditoria de sistemas de informacin.

OSSTMM (Open Source Security Testing Methodology Manual):Estndares para la realizacin de Penetration Testing.

OWASP (Open Web Application Security Project)

Descripcin detallada del servicio

A continuacin describimos el procedimiento utilizado para cada una de las tareas a realizar.Dichos procedimientos son continuamente actualizados por nuestro grupo de investigacin para adecuarse a las nuevas tcnicas y metodologas de seguridad.Penetration test:

Asegurar que los servicios expuestos pblicamente sea estrictamente los necesarios. Verificacin de todos los mecanismos de autenticacin disponibles No permitir el acceso annimo. Asegurar que el trafico utilice canales de transporte seguros. Analizar al respuesta frente accesos no autorizados. Intentar obtener acceso utilizando combinaciones de contraseas triviales o por defecto. Verificacin de mecanismos de bloqueo de cuentas automticas, TCP Wrapping para mitigar ataques de fuerza bruta. Analizar la respuesta frente incidentes.

Anlisis de todos los servicios accesibles pblicos. Determinar versiones y nombre de los servicios. Identificar vulnerabilidades conocidas o desconocidas. Determinar si es posible utilizar vulnerabilidades para realizar ataques de denegaciones de servicio. Determinar configuraciones inseguras. Anlisis de todas las aplicaciones web accesibles. Buscar caminos de confianza transitiva e identidad lo que podra ser explotado para obtener acceso a otros sistemas conectados. Realizar ataques utilizando tcnicas de fuzzing en bsqueda de nuevas vulnerabilidades o comportamientos errticos de los sistemas.

Web Application Penetration test:

Recoleccin de informacin:

Familiarizacin y anlisis de la arquitectura disponible del cliente utilizando herramientas automatizadas y manuales. Deteccin de versiones de sistemas operativos y involucrados resaltando posibles vulnerabilidades. Anlisis de las versiones de los software instalados en los servers. Determinar los lenguajes de programacin utilizados en las aplicaciones.

Public Information Digging Utilizacin de motores de bsqueda para determinar sesiones persistentes, instalaciones de software, documentacin o discusiones sobre las aplicaciones por desarrolladores o usuarios en foros pblicos o sitios de ayuda. Anlisis de documentacin publica en bsqueda de informacin adicional, usuarios, versiones de software, etc generalmente oculta en metadatos de distintas extensiones de documentos. Creacin de lista de emails y lista de palabras para utilizar en procedimientos posteriores para la verificaciones de los mecanismos de autenticacin.

Application Mapping and Discovery Exploracin o (Spider) completa del sitio para lograr descubrir el contenido visible y oculto completo del target. Identificar todos los puntos de acceso de una aplicacin para luego realizar un ataque completo a todos ellos. Realizar descubrimiento de contenido utilizando tcnicas de fuerza bruta. Realizar un anlisis de los error para obtener ms informacin acerca no slo del comportamiento de la aplicacin, sino tambin para ayudar en la recoleccin de informacin para posteriores ataques. Anlisis de todas las extensiones utilizadas. Bsqueda de archivos temporales o de resguardo. Anlisis completo del cdigo de fuente en bsqueda de informacin sensible embebida en comentarios o funciones ocultas.

Mtodos de autenticacin Realizar un intento de acceso utilizando contraseas en distintas aplicaciones instaladas en el cliente. Intento de acceso adicional utilizando lista de palabras recolectadas en los procedimientos anteriores. Anlisis que todos los mecanismos de autenticacin sea a travs de canales seguros. Verificacin de configuracin de SSL/TLS en bsqueda de malas practicas o problemas con los certificados (issuers, algoritmos permitidos, fecha de expiracin, firmados)

Identificar aplicacin que sean susceptibles a mecanismo de enumeracin de usuarios y procesos de autenticacin por fuerza bruta. Deteccin de mecanismo de bypass de autenticacin. Verificacin de configuraciones en: Cookies con flags Secure y HttpOnly, atributos de auto-completation, etc. Anlisis y verificacin de existentes CAPTCHAs. Determinar la existencia de factores de doble autenticacin y anlisis de posibilidades de bypass de estas protecciones.

Session Management Anlisis del manejo de sesiones de las aplicaciones. Comprobar el proceso entrega, persistencia y expiracin. Determinar la integridad de todas las tokens de sesin utilizados. Verificar si las aplicaciones son susceptibles a manipulacin de cookies. Comprobacin de ataques sobre las aplicaciones utilizando tcnicas de sessions fixation y CSRF.

Validacin de informacin Anlisis de diferentes mecanismos de inyeccin y comprobacin de informacin incluyendo: SQL Injection (SQLi). Cross site Scripting (XSS). LDAP Injection. XML Injection. Command Injection. Overflow (heap/stack/format string). Server-side y remote includes. XPath Injection. Directory Traversal attacks. SOAP and Web Services. Redirection y Proxying attacks.

Evaluar mtodos de validacin de los datos de entrada y salida tratando de descubrir maneras de burlar las mismas Realizacin de ataques de fuzzing de las aplicaciones en bsqueda de nueva vulnerabilidades.

Servers Determinar si los servidores permiten cross-site tracing. Anlisis de mtodos HTTP permitidos en bsqueda de mtodos inseguros como PUT/MOVE/TRACING/DEBUG que puedan utillzarse para realizar otros ataques. Realizacin de ataques de fuzzing en los servidores web en bsqueda de nuevas vulnerabilidades.

Auditoria Wireless :

Se realizarn pruebas de campo con el objetivo de detectar de redes inalmbricas, Utilizacin de cliente o AP que forme parte de la red del banco o estn conectadas en forma no autorizada. Deteccin de vectores de acceso a la red interna.

Durante esta asesora se realizarn las siguientes tareas: Deteccin de Rogue AP (no autorizados) Anlisis de Ataques de Falsificacin de Identidades, como Wi-Phishing , MAC Address Spoofing , Wifi, Man in the Middle , Session Hijacking.

Herramientas:

Los servicios de Red Team Services son realizadas en casi su totalidad de forma manual. Adicionalmente para las tareas automatizadas se utilizan herramientas comerciales y gratuitas entre otras: Nessus. OpenVas. Metasploit PRO. Metasploit Express. Acunetix. W3AF. Nikto. Evilgrade. Nmap. OWASP ZAP. OWASP DirBuster. Canvas.Entregables:

Se har entrega luego de completar todas las etapas un informe:

Informe Ejecutivo: Este informe contendr las tareas realizadas con sus resultados.Este informe ser divido en : Resumen ejecutivo. Resumen del proyecto. Resumen general de las vulnerabilidades encontradas. Recomendaciones generales.

Informe Tcnico: Este informe contendr las recomendaciones tcnicas para elevar el nivel de seguridad del cliente. Este informe contendr adicionalmente : Descripcin detallada de la metodologa utilizada y como ranking de riesgo, impacto, amenazas fue generado. Informacin detallada de cada una de las vulnerabilidades encontradas incluyendo riesgo, impacto, amenaza y esfuerzo para su remediacin. Observaciones tcnicas, recomendaciones Material grafico con evidencia. Demostraciones en video de las vulnerabilidades mas criticas.

Presentacin Tcnica: Se realizara una presentacin interna demostrando la explotacin de diferentes vulnerabilidades encontradas. Presentacin ejecutiva: Se realizara una presentacin interna demostrando la explotacin de diferentes vulnerabilidades desde el punto de vista ejecutivo.Revalidacin:

Finalizada todas las etapas y entregados los informes tcnicos y ejecutivos el cliente deber realizar las tareas para la solucin de los problemas encontrados. Luego de este procedimiento habilitaremos una etapa de anlisis donde se comprobaran que todas las vulnerabilidades hayan sido corregidas para realizar un doble comprobacin en caso de errores en las protecciones o soluciones aplicadas. Estas tareas se realizaran cuando sean posible desde las oficinas de Infobyte contemplado una reunin final en las oficinas del cliente para la presentacin del informe de esta revalidacin.

Infobyte Security ResearchConfidential1