El proyecto de desarrollo de una metodología, de libre uso, para la
realización de las pruebas de verificación de la seguridad acaba de
publicar la versión 1.0 del documento. Se trata de un manual, dirigido a
la comunidad profesional dedicada a la seguridad informática, que describe
el conjunto mínimo de pruebas a realizar.
El manual, útil para los profesionales de seguridad informática así como
para los administradores de redes, marca una serie de acciones a realizar
en las pruebas de penetración, «hacking ético» y análisis de la seguridad
de la información. El objetivo, pues, es ofrecer un marco estandarizado
para la realización de las valoraciones de seguridad.
Para el desarrollo del manual se han tenido presente diversas normativas
legales (entre las que se incluye la ley española de protección de datos),
de forma que también puede ser utilizada en la evaluación del cumplimiento
de las mismas.
El proceso de realización de pruebas detallado en la metodología incluye
los siguientes ámbitos:
1. Análisis de la red
2. Análisis de puertos
3. Identificación de sistemas
4. Pruebas de debilidades en sistemas sin hilos (Wireless)
5. Verificación de servicios
5.1 Web
5.2 Correo
5.3 Servidor de nombres
5.4 Documentos visibles
5.5 Virus y troyanos
6. Determinación de vulnerabilidades
7. Identificación de exploits
8. Verificación manual de vulnerabilidades
9. Verificación de aplicaciones
10. Verificación de cortafuegos y ACL
11. Revisión de la política de seguridad
12. Revisión de sistemas de detección de intrusos
13. Revisión de sistemas de telefonía.
14. Obtención de información:
14.1 Servicios de noticias, notas de prensa, informaciones
facilitadas por la propia empresa.
14.2 Ofertas de trabajo
14.3 Newsgroups
14.4 Cracks, números de serie y «underground»
14.5 FTP y Gopher
14.6 Web
14.7 P2P
15. Ingeniería social
16. Verificación de sistemas «fiables»
17. Análisis de fortaleza de contraseñas
18. Denegación de servicio
19. Revisión de la política de privacidad.
20. Análisis de cookies y bugs en la web
21. Revisión de archivos de anotaciones cronológicas
A pesar de que el documento todavía no cubre todos sus objetivos, en su
formato actual es una muy buena guía. Al tratarse de un proyecto abierto,
distribuido bajo licencia GNU, todas las contribuciones son muy bien
recibidas. La versión actual del documento está disponible en inglés y en
formato HTML, PDF y PS.
xavier.caballe@selesta.es
Más información:
Open-Source Security Testing Methodology Manual:
http://www.ideahamster.org
Listas de distribución del proyecto:
http://sourceforge.net/mail/?group_id=21393
Versión en catalán de esta noticia:
http://www.quands.com/articles/html/osstmm.html
Deja un comentario