You are on page 1of 10

LECTURAS LECCIÓN EVALUATIVA No.

2



TEXTOS TOMADOS DE:

Carvajal, A. Introduccion a las tecnicas de ataque e investigación forense, un enfoque pragmático.
Disponible en: www.globalteksecurity.com

ECURED. Pruebas de Penetración. Disponible
en:www.ecured.cu/index.php/Prueba_de_penetración
TECNICAS DE ATAQUE MÁS COMUNES EN SISTEMAS OPERATIVOS.
ATAQUES DE DENEGACION DE SERVICIOS.
Un ataque de denegación de servicio es un incidente en el cual un usuario o una organización son
privados de los servicios de un recurso que esperaba obtener. Se define “Denegacion de Servicio”
o ataque “DoS” como la imposibilidad de acceder a un recurso o servicio por parte de un usuario
legıtimo. Es decir, la apropiación exclusiva de un recurso o servicio con la intención de evitar
cualquier acceso a terceras partes.
Los ataques de denegación de servicio pueden ser provocados por usuarios internos y usuarios
externos, los usuarios internos generalmente son usuarios con pocos conocimientos que pueden
colapsar el sistema o servicio en forma inconsciente. Los usuarios externos generalmente son
usuarios que han conseguido acceso al sistema de forma ilegıtima, falseando la dirección de origen
con el propósito de evitar la detección. Es increíble la cantidad de código fuente existente en
Internet que puede ser usado para profundizar académicamente en el tema de la negación de
servicios y en general en la inseguridad informática porejemplo: http://excluded.org
Clase de ataques de tipo DoS:
Ataque DoS Snork: El protocolo IP define un sistema de pruebas simple que permite verificar el
funcionamiento del comunicaciones. El sistema proporcionado por IP se basa en el envío de un
datagrama “especial” al computador destino, que lo reconoce y envía una respuesta al origen
(ECHO para estas pruebas simples un servicio Por otro lado, existe un servicio proporcionado en
muchos sistemas operativos tipo UNIX y Windows denominado CHARGEN (CHARacter GENerator,
generador de caracteres) que dada una petición responde c una secuencia aleatoria de caracteres.
Este servicio “Chargen” se encuentra disponible “escuchando” en el puerto 19 a datagramas de
tipo UDP, en sistemas Windows de tipo servidor se suele utilizar el puerto 135 (Microsoft Locator
Service) para el ataqu “snork”.

El ataque consiste en cruzar ambos servicios enviando una petición falsa al servicio CHARGEN (que
retorna una secuencia de caracteres pseudo-aleatoria) falseando la dirección de origen dando
como puerto de respuesta el puerto ECHO (que responde a cualquier petición) de la máquina a
atacar. De esta forma, se inicia un juego de ping pong infinito.
Este ataque puede realizarse entre varios computadores (consumiendo ancho de banda y
degradando el rendimiento de la red) o desde un mismo computador (él mismo se envía una
petición y el mismo se responde) consiguiendo consumir los recursos existentes (especialmente
CPU y memoria) de la máquina atacada.
Ataque Smurf: El ataque "Smurf" pertenece a la familia de ataques conocidos como Denial of
Services (DoS), los cuales tienen como objetivo principal dejar fuera de servicio a la máquina que
se ataca. Es una variante del ataque IP Flooding. "Smurf" ataca una red explotando el
direccionamiento broadcast del protocolo IP. El ataque Smurf puede causar que la parte atacada
de la red se vuelva inoperable, tomando características del protocolo IP y el protocolo de Control
de Mensajes en Internet (ICMP). Un programa que implemente "Smurf" emplea otra técnica de
hacking conocida con el nombre de “IP Spoofing” la cual tiene por objetivo suplantar la dirección
IP de otra máquina, en particular “Smurf” construye un paquete de red en el cual cambia el
encabezado del mismo colocando como dirección origen la de la máquina a atacar. El paquete
contiene un mensaje ICMP (ping) que es enviado a una dirección broadcast, o sea, a todas las
direcciones IP de una red dada. Dichas máquinas generan las respuestas del ping (echo reply) que
son enviadas a la dirección de la víctima. Suficientes pings y un buen número de respuestas de
diferentes máquinas pueden inundar la red haciéndola inoperable.
Resumiendo, tenemos que “Smurf” maneja tres elementos diferentes que trabajando entre si
generan el ataque, estos son: Uso de ICMP (Internet Control Messaging Protocol), normalmente
de la misma manera que el ping. El propósito original de este protocolo es el de enviar y retornar
mensajes de error, en particular "ping" chequea que una máquina específica este viva. IP (Internet
Protocol), el cual es usado por los usuarios para enviar cualquier paquete/mensaje en Internet. Por
ejemplo se pueden enviar paquetes a una "dirección broadcast". Cambio de dirección origen, se
manipula el encabezado del paquete ICMP cambiando la dirección origen del mismo para que de
esta manera las respuestas se generen hacia dicha dirección. Si por ejemplo, una persona logra
ejecutar un ataque "smurf" por intermedio de una red (con su IP broadcast habilitado) que tiene
40 computadores, un solo mensaje ping creará 40 de respuesta. Es decir, que un usuario con un
modem de 28.8 kbps, podría generar un tráfico de (28.8 * 40)kbps o 1552 kbps, cerca de 2/3 de
una línea T1.
Componentes del ataque
El ataque "smurf" tiene tres componentes principales:
1 El Atacante: es la persona que crea los paquetes ICMP con la IP fuente falsa y lanza el ataque.
2 El Intermediario: la red amplificadora del paquete ICMP con su direccionamiento broadcast
habilitado.
3 La Víctima: su dirección IP ha sido suplantada para que las respuestas ICMP sean enviadas a ella.
Se debe anotar que el intermediario también puede convertirse en víctima.



Ataque TCP/SYN Flooding: El ataque TCP/SYN Flooding se basa en no completar intencionalmente
el protocolo de intercambio TCP para inundar la cola de espera. La victima se queda esperando por
establecer un servicio pues el atacante no responde con ACK los SYN/ACK de la victima, esto
ocurre hasta saturar los recursos de memoria y así consigue la denegación de servicios de la
victima. La denegación de servicios se da por que el sistema esta a la espera de que baje el umbral
que generalmente es 1 minuto para aceptar mas conexiones, cada conexión generada por un SYN,
tienen un temporizador de 1 minuto, cuando se excede el limite de tiempo o umbral, se libera la
memoria que mantiene el estado de la conexión y la cuenta de la cola de servicios se disminuye en
1. Es importante aclarar que el atacante debe usar un IP falso para que no le hagan seguimiento a
las conexiones.
Diagrama de ataques de tipo Xploits

Lectura 2
Prueba de penetración
Es la mejor opción para evidenciar debilidades y vulnerabilidades de una manera segura. También
llamado a veces "hacking ético" es una evaluación activa de las medidas de seguridad de la
información. En los entornos de red complejos actuales, la exposición potencial al riesgo es cada
vez mayor y securizar los sistemas se convierten en un auténtico reto. A través del Test de
Penetración es posible detectar el nivel de Seguridad Interna y Externa de los Sistemas de
Información de la empresa, determinando el grado de acceso que tendría un atacante con
intenciones maliciosas. Además, el servicio chequea las vulnerabilidades que pueden ser vistas y
explotadas por individuos no autorizados, "crackers", agentes de información, ladrones, antiguos
empleados, competidores, etc.
Servicios de Test de Penetración
 Evaluar vulnerabilidades por medio de la identificación de debilidades de configuración que
puedan ser explotadas.
 Analizar y categorizar las debilidades explotables basadas en el impacto potencial y posibilidad
de ocurrencia.
 Proveer recomendaciones prioritizadas para mitigar y eliminar las debilidades.

Riesgos de las pruebas de penetración
DISPONIBILIDAD. De acuerdo con Chápela, durante la aplicación de las pruebas es necesario
minimizar el peligro de interrupciones no programadas en servicios o procesos. Para esto, es
necesario calendarizar las irrupciones de alto riesgo, desarrollar un plan de respaldo y conformar
un equipo de respuesta capaz de actuar con rapidez. Además, debe determinarse con toda
claridad qué probar y qué no. Tal es el caso de hardware y aplicaciones obsoletas, aplicaciones
críticas, equipo sin respaldo –o carente de un plan de contingencia– y sistemas fáciles de colapsar
cuando se examinan.
CONFIDENCIALIDAD. Para evitar que se pierda o fugue contenido valioso durante el desarrollo de
las pruebas, debe establecerse claramente qué pueden copiar o leer quienes las ejecuten.
Asimismo, conviene hacer un cambio completo de códigos de acceso al final de los ejercicios de
penetración y establecer algunas prohibiciones, como: no copiar ni leer correo electrónico o
información de bases de datos o archivos. Sobre este punto, Rafael García, gerente regional de
productos de Symantec para América Latina, detalla: "Los Pen Tests deben involucrar todas
aquellas áreas que están más relacionadas con el core del negocio, por lo que la metodología a
emplear y sus límites dependen siempre del giro de la empresa, el grado de profundidad de las
pruebas y el análisis requerido. En este marco, debe privilegiarse la firma de acuerdos de secrecía
en los contratos y dar prioridad a la honestidad de los consultores".
INTEGRIDAD Y RESPONSABILIDAD. Durante el desarrollo de las pruebas, las empresas deben
reducir al mínimo la probabilidad de alteraciones en aplicaciones o datos. Por lo tanto, entre las
prohibiciones a fijar a quienes las ejecutarán están: no instalar jamás puertas traseras (back
doors), ni ocultar soluciones de acceso remoto (bots, troyanos, rootkits y demás); no borrar,
alterar o inhabilitar registros y, desde luego, no apagar o modificar el comportamiento de las
herramientas de detección establecidas. Un punto muy importante en todo esto es registrar quién
hace qué, para evitar abuso de terceras partes en los Pen Tests, así como dejar claro que no deben
eliminarse u ocultarse los rastros de las pruebas. Este proceso implica también autenticar a los
consultores, con el propósito de identificarlos claramente en los sistemas evaluados.
RIESGO POLÍTICO. ¿Qué pasa si una falla no prevista en ciertos servicios críticos ocurre como
resultado de las propias pruebas? Deben minimizarse las probabilidades de que se generen
choques internos entre las diferentes áreas involucradas o confrontaciones con proveedores, y
evitar factores que reduzcan el valor percibido o el profesionalismo de las pen test. “Dada la lucha
de poder entre áreas que existe, en algunas empresas, — asegura García—si el departamento de
sistemas es el encargado de contratar las pruebas debe sentirse respaldado previamente por la
alta dirección, para que los resultados, sobre todo si no son del todo positivos, no se utilicen como
arma de pugnas”.
INCUMPLIMIENTO. Diversas pruebas de penetración buscan dar cauce a requerimientos legales y
regulaciones para evitar multas o sanciones a la hora de efectuarlas. Asimismo, los resultados de la
revisión van de acuerdo con los lineamientos y estándares corporativos aplicables en cada caso
(ISO 27001 / BS 7799, CoBIT, ITIL y demás). Danny Allan, analista de investigación de la empresa
Watchfire, hace énfasis en la carga creciente que toma el cumplimiento de todo tipo de
regulaciones. No sólo para cuestiones técnicas, sino también en temas que tienen que ver con
rubros como: competencia, protección de datos, privacidad, terrorismo, operaciones de
outsourcing, reputación y propiedad intelectual, entre otros.

RIESGOS DE CONTRATO. Este tipo de incidentes surge al emplear consultores inapropiados. Para
evitarlos, deberá evaluarse correctamente al proveedor del servicio y definir un plan de riesgos
bien estructurado. Desde luego, no se debe contratar a asesores que sólo usan herramientas o
únicamente conocen un aspecto de la tecnología. Además se debe ser cuidadoso al utilizar los
servicios de aquellos que fueron black-hat hackers y ahora se han convertido en “especialistas” en
Pen Test. Incluso, el Consejo Internacional de Consultores de Comercio Electrónico (The
International Council of E-Commerce Consultants: EC-Council) propone una certificación en
hackerismo ético, que cubre pruebas de penetración y directrices sobre cómo actuar en la
materia. La recomendación de no emplear black-hat hackers tiende a convertirse así en una de las
mejores prácticas a seguir. Si se consideran todos estos riesgos y se actúa en consecuencia para
mitigarlos, las pruebas de penetración se vuelven un ejercicio útil, que puede aportar diversos
puntos positivos a las empresas.
Beneficios de las pruebas de penetración
GENERAR INFORMES OPORTUNOS. Un buen informe de los riesgos y vulnerabilidades de una
empresa, derivado de las pruebas de penetración, funge como herramienta efectiva de
negociación para reafirmar o vender las estrategias de seguridad a la alta dirección, además de
sostener y legitimar todo el proyecto de protección, por lo que el mencionado documento debe
estar completo, bien hecho y sin errores. Entre los puntos que debe contener este informe están:
un resumen para la alta administración; un análisis de los riesgos principales; recomendaciones
agrupadas por tipo de dispositivo, sistema operativo, bases de datos o servidores de dominio, y las
acciones concretas a seguir. De acuerdo con Sm4rt, el informe (que deberá realizar el área de
seguridad) requiere incorporar, además, acciones de mitigación priorizadas y clasificadas por
esfuerzo, enfatizando detalles técnicos y recomendaciones; así como evidencia de las principales
vulnerabilidades encontradas. Pero también deberá incluir una clasificación de riesgos, y una
evaluación que considere tres conceptos: valor de los activos, nivel de debilidades y probabilidad
de ataques. Un autor bien conocido como Pete Herzog (Open Source Security Testing
Methodology Manual: OSSTMM), sugiere, al respecto, una metodología dividida en secciones,
módulos y tareas, en la que propone desarrollar un “mapa de seguridad” con seis apartados:
información, procesos, tecnologías de Internet, comunicaciones, protección inalámbrica y física
como base para la evaluación de riesgos.
DAR ÉNFASIS A LA ESTRATEGIA. Los Pen Test permiten priorizar riesgos y proponer acciones, con
acento en las áreas alrededor de las amenazas principales. Las buenas pruebas ayudan a entender
por qué los problemas pueden ser críticos, mientras dan sentido y dirección a los cambios
sugeridos. El plan de acción que derive de las pruebas debe considerar el impacto desde el punto
de vista de la probabilidad de ataques, vulnerabilidad y valor de los activos, así como el esfuerzo a
realizar en materia de planeación, implementación y administración. En todo caso, las pruebas de
penetración más eficaces permiten correlacionar el impacto de los riesgos y su probabilidad,
encontrando el punto óptimo para cada empresa.
CONTAR CON UN CATALIZADOR EFECTIVO. Los Pen Tests sirven también para: motivar el cambio
hacia el incremento de controles, enfocar los esfuerzos técnicos, generar conciencia y sentido de
urgencia. Pero, si de verdad se quiere lograr esto es necesario organizar una demostración final de
los ejercicios de irrupción, pues de acuerdo con Chapela: “esto dice más que mil documentos”. Y
para cerrar el círculo conviene también organizar una reunión técnica con el fin de valorar a
detalle los hallazgos, definir la forma de presentarlos a la alta dirección y trazar la estrategia a
seguir. Entre las prohibiciones a fijar entre quienes ejecutarán las pruebas están: no instalar jamás
puertas traseras (back doors), ni ocultar aplicaciones de acceso remoto (bots, troyanos, rootkits y
demás); no borrar, alterar o inhabilitar registros y, desde luego, no apagar o modificar el
comportamiento de las herramientas de detección establecidas.
Entre los puntos que debe contener el informe posterior a las pruebas de penetración están: un
resumen para la alta administración; un análisis de los riesgos principales; recomendaciones
agrupadas por tipo de dispositivo, sistema operativo, bases de datos o servidores de dominio y las
acciones concretas a seguir.
Tipos de pruebas de penetración
Las pruebas giran en torno a la variación, es decir, detectar los aspectos del software y su entorno
que pueden haber variado y ver cómo responde el software. El objetivo consiste en garantizar que
el software funcione de una manera confiable y segura en escenarios de producción tanto
razonables como, incluso, no razonables. Por lo que la planeación más importante que debe llevar
a cabo un evaluador es conocer los aspectos que pueden variar y de qué formas dicha variación
necesita configurarse para las pruebas. Desde el punto de vista de la seguridad, el entorno, la
entrada de usuario, así como los datos y lógica internos son los lugares principales donde dicha
variación puede revelar problemas de seguridad. El entorno consiste en los archivos, aplicaciones,
recursos del sistema y otros recursos locales o de red que la aplicación use. Cualquiera de éstos
podría ser el punto de entrada de un ataque. La entrada de usuario la constituyen los datos que se
originan con entidades externas (normalmente no confiables) que el software analiza y usa. Los
datos y lógica internos son las variables y rutas lógicas almacenadas internamente que tienen
cualquier número de enumeraciones potenciales.


 Ataques del entorno: El software no se ejecuta aislado. Depende de cualquier número de
archivos binarios y módulos de código equivalente, como scripts y complementos. Puede
usar también información de configuración del Registro o del sistema de archivos, así
como de bases de datos y de servicios que podrían residir en cualquier parte. Cada una de
estas interacciones del entorno puede constituir la fuente de una infracción de seguridad
y, por lo tanto, deben someterse a prueba. Hay también una serie de preguntas
importantes que debe plantearse acerca del grado de confianza que la aplicación posee en
estas interacciones, incluidas las siguientes: ¿Qué grado de confianza posee la aplicación
en su entorno local y en los recursos remotos? ¿Coloca la aplicación información
confidencial en un recurso (por ejemplo, el Registro) que pueda leerse por otras
aplicaciones? ¿Confía en cada uno de los archivos o bibliotecas que carga sin comprobar el
contenido? ¿Puede un atacante aprovechar esta confianza para obligar a la aplicación a
hacer lo que éste desee? Además de estas cuestiones acerca de la confianza, los
evaluadores de penetración deben observar los DLL que puedan estar defectuosos o que
un atacante haya podido reemplazar (o modificar), archivos binarios o archivos con los
cuales la aplicación interactúe y que no estén completamente protegidos a través de listas
de control de acceso (ACL) o que se encuentren desprotegidos de cualquier otra manera.
Los evaluadores deben estar también pendientes de otras aplicaciones que tengan acceso
a recursos de memoria compartida o que almacenen datos confidenciales en el Registro o
en archivos temporales. Por último, los evaluadores deben considerar factores que
generen sobrecarga en el sistema como, por ejemplo, una red lenta, memoria baja, etc.,
así como determinar el impacto de estos factores en las características de seguridad.
Los ataques del entorno se llevan a cabo, a menudo, organizando de forma
malintencionada un entorno inseguro y ejecutando, a continuación, la aplicación en ese
entorno para ver cómo responde. Se trata de una forma indirecta de pruebas; los ataques
se emprenden contra el entorno en el cual funciona la aplicación. Observemos ahora las
pruebas directas.
 Ataques de entrada: En las pruebas de penetración, el subconjunto de entradas que
procede de fuentes que no son de confianza es el más importante. Éstas incluyen rutas de
comunicación como, por ejemplo, protocolos de red y sockets, funcionalidades remotas
expuestas como DCOM, llamadas a procedimiento remoto (RPC, Remote Procedure Calls)
y servicios web, archivos de datos (binarios o de texto), archivos temporales creados
durante la ejecución y archivos de control como scripts y archivos XML, todos los cuales
están sujetos a manipulaciones. Por último, deben comprobarse también los controles de
interfaz de usuario que permiten la entrada directa del usuario como, por ejemplo, las
pantallas de inicio de sesión, los clientes web, etc. En especial, deseará determinar si la
entrada está controlada adecuadamente: ¿Se permiten las entradas consideradas seguras
y se evitan las no seguras (por ejemplo, cadenas largas, paquetes formados
incorrectamente, etc.)? La comprobación de entradas adecuadas y el análisis de archivos
son críticos. Necesitará realizar pruebas para ver si se pueden llevar a cabo entradas
peligrosas en los controles de la interfaz de usuario y para averiguar qué podría ocurrir en
caso de que esto se produjera. Esto incluye caracteres especiales, entradas codificadas,
fragmentos de scripts, cadenas de formato, secuencias de escape, etc. Necesitará
determinar si es posible que penetren cadenas largas que se encuentran incrustadas en
los campos de paquetes o en los archivos y que puedan provocar el desbordamiento de la
memoria. Los paquetes dañados en las secuencias de protocolo constituyen también una
preocupación. Debe vigilar la presencia de bloqueos y comprobar la pila por si existieran
vulnerabilidades potenciales en la memoria. Por último, debe estar completamente seguro
de que tanto la validación como los mensajes de error ocurren en el lugar correcto (en el
lado cliente y no en el lado servidor), esto constituirá una defensa apropiada frente a las
entradas no seguras.
Los ataques de entrada constituyen auténticos ataques de artillería contra una aplicación.
Algunos de ellos podrán esquivarse adecuadamente, mientras que otros provocarán daños
en el software. Dependerá del equipo de penetración determinar qué ataques se
considerarán ataques de entrada, así como la aplicación de las soluciones apropiadas.
Ataques de datos y de lógica: Algunos errores se encuentran incrustados en los
mecanismos internos de almacenamiento de datos de la aplicación y en la lógica de
algoritmos. En dichos casos, parece haber errores de diseño y de codificación en los que el
desarrollador ha asumido la presencia de un usuario benevolente o bien no se dio cuenta
de la presencia de ciertas rutas de código en las que el usuario debe tener cuidado. La
denegación de servicio es el ejemplo principal de esta categoría, pero no la más peligrosa.
Los ataques de denegación de servicio pueden realizarse correctamente si los
desarrolladores han cometido errores en la planeación para un amplio número de usuarios
(o conexiones, archivos, así como cualquier entrada que provoque que ciertos recursos se
sobrecarguen hasta el límite). No obstante, existen defectos lógicos mucho más insidiosos
que necesitan someterse a prueba. Por ejemplo, la divulgación de información puede
ocurrir cuando las entradas que controlan los mensajes de error y otros resultados
generados revelen información vulnerable a un atacante. Un ejemplo práctico de los datos
que deben eliminarse siempre sería cualquier cuenta de prueba codificada o API de
prueba (las cuales se incluyen, con frecuencia, en compilaciones internas para ayudar en la
automatización de las pruebas). Esto podría facilitar el acceso a un atacante. Dos pruebas
más que debería ejecutar son la introducción de credenciales falsas para determinar si los
mecanismos internos de autorización son seguros, así como la elección de entradas que
varíen las rutas de código. La mayoría de las rutas de código son seguras, pero es posible
obtener acceso a la misma funcionalidad de maneras diferentes, lo cual podría omitir de
forma inadvertida algunas comprobaciones cruciales.
Herramientas para realizar pruebas de penetración
 Inguma: es una herramientas para realizar de prueba de penetración escrita enteramente
en python. El framework incluye los módulos para descubrir los hosts, información sobre
ellos, sacar nombres de usuario y las contraseñas por fuerza bruta y por supuesto exploits
para muchos productos.
 DSniff: Un juego de poderosas herramientas de auditoría y pruebas de penetración de
redes. Este popular y bien diseñado set hecho por Dug Song incluye varias herramientas.
dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf, y webspy monitorean pasivamente una red
en busca de datos interesantes (passwords, e-mail, archivos, etc.). arpspoof, dnsspoof, y
macof facilitan la intercepción de tráfico en la red normalmente no disponible para un
atacante -- por ej. debido al uso de switches {"layer-2 switches"}. sshmitm y webmitm
implementan ataques del tipo monkey-in-the-middle activos hacia sesiones redirigidas de
SSH y HTTPS abusando de relacione
Lectura 3
Ataque de malware persistente APTs
El presente Vídeo de Trend Argentina, nos muestra de forma real como se realiza un ataque de
malware persistente APTs, sobre un sistema completo. es importante referenciar que la siguiente
información se ha publicado con miras a que se identifiquen vulnerabilidades en el sistema y se
adopten medidas para el control y mitigación de riesgos que pueden dar origen a este tipo de
ataques. Para esto el material propone la implementación de una solución nativa de Trend para el
control y monitoreo de eventos en el servidor de una compañía.
Esperamos que este vídeo sea de ayuda en su proceso de formación, este mismo lo pueden
encontraren la URL: http://youtu.be/HQUla3KLFuk
www.youtube.com/embed/HQUla3KLFuk
Lectura 4
El presente Vídeo Tutorial elaborado por Edgar Ivan justo domingos el cual se encuentra ubicado
en la URL: http://youtu.be/Fx2dvhM_McM. en dicho material se presenta información relevante
sobre las características de un Hacker ético o Pentester además de verificar algunas de las
metodologías y técnicas mas importantes de Penttesting. entre las metodológias abordadas por el
autor, se necuentran:
 El proyecto OWASP (Open Web Application Security Project).
 OSSTMM - Open Source Security Testing Methodology Manual.
 ISSAF (Information Systems Security Assassment Framework).
 Penetration Testing Framework.
Esperamos que este material aporte un poco más en su proceso de formación al entregar
contenidos relevantes frente al tema de PentTesting.
www.youtube.com/embed/Fx2dvhM_McM
Resposabilidades:
Fases de un proceso de evaluación de la seguridad
Preparacion;
Gestion:
Conclusion:

Owasp
Osstmm = open source
Issaf = information Systems Security Assassment Framework—
Habilidades que debe tener un Hacker ético
 Tener conocimientos avanzados en programación (php, python, ruby, C, C++, .Net, java, etc.).
 Tener conocimientos profundos de diversas plataformas como Linux, Windows, Unix, etc.
 Conocimiento en redes y protocolos, arquitecturas, etc.
 Conocimiento de hardware y software
 Conocimientos en técnicas, metodologías y herramientas de hacking
 Capacidad de análisis e investigación para proveer soluciones
Fases de un proceso de evaluación de la seguridad:
 Preparación: Se debe tener un contrato firmado por escrito donde se exonere al hacker ético
de toda responsabilidad como consecuencia de las pruebas que realice (siempre que sea
dentro del marco acordado)
 Gestión: Preparación de un informe donde se detallen las pruebas y posibles vulnerabilidades
detectadas.
 Conclusión: Comunicación a la empresa del informe y de las posibles soluciones.
Metodologias para realizar un test de penetracion
1. El proyecto OWASP (Open Web Application Security Project).
2. OSSTMM – Open Source Security Testing Methodology Manual: es uno de los estándares
profesionales as completos y comúnmente utilizados e Auditorias de Seguridad para
revisar la seguridad de los sistemas desde internet. Incluye un marco de trabajo que
describe las fases que habría que realizar para ejecución de la auditoria.
3. ISSAF (Information Systems Security Assassment Framework).
Es el proyecto de oissg Open Information System Security Group.
Es un esfuerzo por desarrollar una estructura de trabajo para evaluaciones de seguridad.
Tiene coo objetivo proporcionar un punto único de referencia para profesionales
involucrados en evaluaciones d eseguridad.
4. Penetration Testing Framework: Un portal de información de analistas que realizan
pruebas de penetración. Es una estructura de trabajo que combina de manera adecuada
plantillas técnicas, herramientas, informes,enlaces a recursos y conceptos sobre seguridad
informática. http://www.vulnerabilityassessment.co.uk/
5.