Sec-Track » ISSAF

Desarrollo del Entorno De-Ice nivel II – Recolección de Información / Escaneo de Vulnerabilidades

4v4t4r — Fri, 22 Jan 2010 05:23:55 +0000

Objetivos Generales para los entornos De-Ice I, II, III y PwnOS

4v4t4r — Mon, 26 Oct 2009 23:09:26 +0000

Estos son algunos de los objetivos generales a alcanzar mediante el desarrollo de los entornos De-Ice I, II, III y PwnOS.

Realizar un mapeo de red e identificar la dirección IP del sistema objetivo.
Identificar el estado de los puertos (abietos/filtrados).
Identificar los servicios / aplicaciones / versiones / Sistema Operativo.
Identificar la estructura de directorios.
Identificar los posibles usuarios del sistema.
Listar las técnicas de obtención de dichos datos.
Listar los resultados obtenidos.
Búsqueda y verificación de vulnerabilidades y errores de configuración por aplicación o servicio.
Listar las posibles vulnerabilidades y puntos de intrusión.
Testear las aplicaciones (autenticación, firewalls, exploits, etc)
Penetración del sistema, descifrado de passwords, escalada de privilegios, recuperación de información crítica, etc.
Backdoors y cubrimiento de huellas.
Reporte básico.

Recursos: ISSAF / OSSTMM

Realizar un mapa de red e identificar dirección IP, puertos abiertos/filtrados, servicios, aplicaciones, versiones, estructura de directorios, posibles usuarios, sistema operativo, código fuente y scripts de la Web.
Listar las técnicas de obtención de dichos datos.
Listar los resultados obtenidos.
Realizar un perfil de la organización, empleados, red y tecnologías.
Busqueda y verificación de vulnerabilidades y errores de configuración por aplicación o servicio, nivel de parches, listado de posibles vulnerabilidades de DoS, listado de áreas securizadas.
Testeo de aplicaciones, firewalls, autenticación, exploits, decompilación.
Penetración del sistema, descifrado de contraseñas, escalada de privilegios, recuperación de información crítica.
Backdoors y cubrimiento de huellas
Reporte básico.

ISSAF – Information System Security Assessment Framework

4v4t4r — Sat, 24 Oct 2009 03:24:05 +0000

El Marco de Evaluación de Seguridad de Sistemas de Información es una metodología estructurada de análisis de seguridad en varios dominios y detalles específicos de test o pruebas para cada uno de estos. Su objetivo es proporcionar procedimientos muy detallados para el testing de sistemas de información que reflejan situaciones reales.

ISSAF es utilizado en su mayoría para cumplir con los requisitos de evaluación de las organizaciones y puede utilizarse además como referencia para nuevas implementaciones relacionadas con la seguridad de la información.

ISSAF está organizado según unos criterios de evaluación bien definidos, cada uno de estos ha sido revisado por expertos en la matería entre estos expertos podemos encontrarnos a Balwant Rathore, Mark Brunner, Piero Brunati, Arturo Busleiman (Buanzo), Hernán Marcelo Racciatti, Andrés Riancho, entre otros.

Los criterios de evaluación incluyen los siguientes:

Una descripción de los criterios de evaluación
Finalidades y objetivos
Los prerrequisitos para la realización de las evaluaciones
Los procesos para las evaluaciones
Presentación de resultados
Contramedidas recomendadas
Referencias a documentos externos

ISSAF propone cinco fases para la realización de un completo Test de Penetración:

Fase I – Planeación
Fase II – Evaluación
Fase III – Tratamiento
Fase IV – Acreditación
Fase V – Mantenimiento

Cada una de estas fases involucra muchos procesos, entre muchos de ellos los siguientes:
Recolección de Información, Identificación de Recursos, Riesgos Inherentes, Regulaciones Legales, Políticas de Seguridad, Evaluaciones, Mapeo de Red, Identificación de Vulnerabilidades, Penetración, Obteniendo Acceso, Escalada de Privilegios, Mantenimiento del Acceso, Cubrimiento de Huellas y Reportes.

Más información ISSAF >>

Descargar ISSAF >>