Estos son algunos de los objetivos generales a alcanzar mediante el desarrollo de los entornos De-Ice I, II, III y PwnOS.

• Realizar un mapeo de red e identificar la dirección IP del sistema objetivo.
• Identificar el estado de los puertos (abietos/filtrados).
• Identificar  los servicios / aplicaciones / versiones / Sistema Operativo.
• Identificar la estructura de directorios.
• Identificar los posibles usuarios del sistema.
• Listar las técnicas de obtención de dichos datos.
• Listar los resultados obtenidos.
• Búsqueda y verificación de vulnerabilidades y errores de configuración por aplicación o servicio.
• Listar las posibles vulnerabilidades y puntos de intrusión.
• Testear las aplicaciones (autenticación, firewalls, exploits, etc)
• Penetración del sistema, descifrado de passwords, escalada de privilegios, recuperación de información crítica, etc.
• Backdoors y cubrimiento de huellas.
• Reporte básico.

Recursos: ISSAF / OSSTMM

El Marco de Evaluación de Seguridad de Sistemas de Información es una metodología estructurada de análisis de seguridad en varios dominios y detalles específicos de test o pruebas para cada uno de estos. Su objetivo es proporcionar procedimientos muy detallados para el testing de sistemas de información que reflejan situaciones reales.

ISSAF es utilizado en su mayoría para cumplir con los requisitos de  evaluación de las organizaciones y puede utilizarse además como referencia para nuevas implementaciones relacionadas con la seguridad de la información. ISSAF está organizado según unos criterios de evaluación bien definidos,  cada uno de estos ha sido revisado por expertos en la matería entre estos expertos podemos encontrarnos a Balwant Rathore, Mark Brunner, Piero Brunati, Arturo Busleiman (Buanzo), Hernán Marcelo Racciatti, Andrés Riancho, entre otros.

Los criterios de evaluación incluyen los siguientes:

• Una descripción de los criterios de evaluación
• Finalidades y objetivos
• Los prerrequisitos para la realización de las evaluaciones
• Los procesos para las evaluaciones
• Presentación de resultados
• Contramedidas recomendadas
• Referencias a documentos externos

ISSAF propone cinco fases para la realización de un completo Test de Penetración:

• Fase I – Planeación
• Fase II – Evaluación
• Fase III – Tratamiento
• Fase IV – Acreditación
• Fase V – Mantenimiento

Cada una de estas fases involucra muchos procesos, entre muchos de ellos los siguientes: Recolección de Información, Identificación de Recursos, Riesgos Inherentes, Regulaciones Legales, Políticas de Seguridad, Evaluaciones, Mapeo de Red, Identificación de Vulnerabilidades, Penetración, Obteniendo Acceso, Escalada de Privilegios, Mantenimiento del Acceso, Cubrimiento de Huellas y Reportes.

Más información y descarga ISSAF >>