Manual de Metodología Abierta de Testeo de Seguridad

Busando en mis archivos encuentro un interesantisimo manual sobe la realización de testeos de seguridad y lo voy a poner disponible por aquí por si alguién se ha leido ya todos los contenidos del blog.

Puesto que el documento es muy muy muy pero que muy extenso so dejo un par de fragmentos por aquí para que os hagais una idea de que van los tiros.

Antes de nada dejo los datos de la fuente:

FUENTE RIGINAL
INSTITUTE FOR SECURITY AND OPEN METHODOLOGIES
Creado por Pete Herzog
www.isecom.org – www.osstmm.org

Y bueno vamos con unos fragmentos de este manual y al final su descarga.

Cuándo testear es tan importante como qué testear y porqué testear.
Esperar para hacer el test, esperar para reportar los problemas y esperar para solucionarlos, es un error. Cuando UD deja su casa al irse de vacaciones, ¿UD espera hasta su retorno para asegurarse de haber cerrado con llaves las puertas? Por supuesto que no. UD echó llave a la puerta y forcejeó el pomo de la misma para asegurarse de que estaba cerrada. Esperar hasta su retorno para comprobarlo requeriría también examinar la casa para verificar que cosas faltan, y no es necesario recordarle que una auditoría toma casi el mismo tiempo que un test de seguridad.

Haga las cosas pequeñas, porque en definitiva, todas son cosas pequeñas.
Testear se refiere a los detalles, y muy a menudo los pequeños detalles llevan a las más importantes fallas de seguridad. Además, es la acumulación de las cosas pequeñas, que individualmente no representan mucho riesgo, aunque sumadas, pueden llevar a una falla de seguridad.

Haga más con menos.
Mientras los presupuestos de seguridad sigan siendo bajos, el testeador de seguridad necesita operar con eficiencia y creatividad para hacer más en menos tiempo. Si el testeo ineficiente de seguridad se vuelve demasiado costoso, es tentador para una organización ver este testeo de seguridad como un costo innecesario. Esto es algo desafortunado porque los riesgos asociados con no llevar a cabo tests de seguridad siguen siendo desconocidos. En consecuencia, cuando balanceamos minuciosidad y eficiencia en nuestros tests de seguridad, los resultados van a hablar por sí mismos una y otra vez – y muchas otras organizaciones verán los testeos de seguridad como un arma de costo justificado en su actitud defensiva.

No subestime en ninguna forma la importancia de las Políticas de Seguridad.
Esta política es la declaración oficial de la compañía con respecto a los objetivos que quiere lograr. Muy poca gente llega alguna vez a alguna parte sin antes desarrollar politicas de seguridad. Una política de seguridad expresa en su contenido la intención y los objetivos de seguridad de una organización. Las políticas de seguridad de una organización son con frecuencia muy complejas y con muchas personas afectadas a su desarrollo y su mantenimiento. Los errores de políticas de una sección frecuentemente derivarán en un efecto
de flujo negativo que impactará en otras secciones. Sólo se necesita unas pocas termitas en una pared para que luego aparezca una plaga en toda la casa. Por ejemplo, si la política no está implementada para especificar controles que verifiquen que la gente no se vaya llevando cajas o equipamiento, entonces una filtración de información puede ocurrir.
Las Políticas de Seguridad especifican muchos más controles que tienen un efecto directo sobre los estándares y procedimientos, tales como las reglas de salida que existen en un router de filtrado, o a cuáles correos electrónicos uno puede reenviar correos electrónicos desde dentro de la compañía.

Lo que los demás obtienen está relacionado directamente con cómo UD lo brinda.
A pesar de todos los intentos basados en el esmero y la eficiencia, uno de los factores más importantes que determinan el éxito de una actitud de seguridad está aún basado en las finanzas. Esto es manejado muy lejos de la caja de herramientas del testeador. Se requiere cierta competencia en dirección de proyectos, discernimiento acerca de las necesidades de su cliente y excelentes destrezas comunicativas. ¿Hay tiempo suficiente para que el test sea presupuestado? ¿Habrá suficientes recursos en el presupuesto para reparar las vulnerabilidades descubiertas? ¿Qué tipos de riesgos serán considerados sin mérito suficiente por los altos directivos como para merecer ser incluídos en el presupuesto? El resultado final del test de seguridad será entregado a su cliente o a la administración de su cliente – con todos los factores financieros previstos de antemano. Después de todo, ¿cuál es la diferencia entre un excelente test de seguridad y uno malo si el informe es ignorado?

14. Descifrado de Contraseñas
Descifrar las contraseñas es el proceso de validar la robustez de una contraseña a traves del uso de herramientas de recuperación de contraseñas automatizados, que dejan al descubierto la aplicación de algoritmos criptográficos débiles, implementaciones incorrectas de algoritmos criptográficos, o contraseñas debiles debido a factores humanos. Este módulo no debe ser confundido con el de recuperación de contraseñas via escucha de de texto por canales libres, es más sencillo de entender que un transtorno del sistema de seguridad, pero solo que tiene mecanismos de autenticacion sin cifrar, nada de debilidades en contraseñas [Nota: Este módulo puede incluir técnicas para averiguar manualmente las contraseñas, que explote los usuarios y contraseñas por defecto en aplicaciones o sistemas operativos (p.ej. Usuario: System Contraseña: Test) o fácilmente predecible por parte del error de un usuario (p.ej. Usuario: joe ontraseña: joe). Este puede ser un sistema para obtener acceso a un sistema inicialmente, quizá sea siempre con acceso de administrador o root, pero solo con fines educativos. Más allá de la predictibilidad manual de las contraseñas, a través de combinaciones por defecto o simples, se puede hacer fuerza bruta de contraseñas para aplicaciones como Telnet, usando scripts o programas personalizados, almenos no es viable por valores de espera agotados, siempre con aplicaciones de fuerza bruta con multiconexión (simulando el multihilo). ] Una vez entrado con privilegios de root o administrador en un sistema, el descifrado de contraseñas onsiste en obtener acceso a sistemas o aplicaciones adicionales (gracias a los usuarios cuyas contraseñas sean coincidentes en múltiples sistemas) y es una técnica válida que puede ser usada por influencia del sistema a traves de un test de seguridad. Descifrados de contraseñas minuciosos pueden ser realizados como un ejercicio de simple y debe ser subrayada la necesidad de algoritmos criptográficos fuertes para contraseñas de almacenamiento de sistemas de llave, tambien subrayar la necesidad del refuerzo de una política estricta de contraseñas de usuario, generación automática, o módulos del tipo PAM.

Bueno si quereis obtener mas información descargar el fichero en el enlace que dejo a continuación pero antes de nuevo la fuente original:

FUENTE RIGINAL
INSTITUTE FOR SECURITY AND OPEN METHODOLOGIES
Creado por Pete Herzog
www.isecom.org – www.osstmm.org

Descargar Manual de Metodolgía Abierta de Testeo de Seguridad

Un saludo y que aproveche!!

Sin categoría

Deja una respuesta