Auditora de Sistemas de

Informacin en
GNU/Linux

Alejandro Snchez Acosta

asanchez@gnu.org

Agenda

Qu es una Auditora?
Metodologas utilizadas
Tipos de Auditoras
Clasificacin de Auditorias
Ejemplos prcticos
Herramientas utilizadas

Definicin

Qu es una auditoria?
Objetivos de una auditoria
Requisitos de una auditora

Metodologa

Pasos a realizar
Recopilacin de informacin
Notificacin de las pruebas
Listas de comprobacin
Realizacin de las pruebas
Pentesting

Tipos de Auditoras

Caja blanca
Caja negra

Clasificacin de Auditoras

Red interna/externa
Perimetrales
Aplicaciones/servicios
Cdigo
Anlisis forense
Tests de intrusin

Auditoras Internas

Anlisis activo
Checklists
Revisin de parches
Revisin de actualizaciones
Comprobaciones de seguridad

Auditoras Externas

Anlisis pasivo
Recopilacin de informacin
Anlisis de informacin
Revisin de vulnerabilidades

Auditoras de Aplicaciones

Web (XSS, SQL Injection, XSRF, etc)

Servicios (exploits locales, remotos, etc)

Auditoras de Cdigo

Dependencia del lenguaje

Bsqueda de patrones

Mtricas

Conteo de vulnerabilidades
Entradas de usuario
Factores crticos

Valoracin

Criticidad del problema

Informe tcnico

Generacin de informe tcnico para cliente

Resolucin de incidencias

Parcheo de sistemas y servicios

Correccin de cdigo
Actualizaciones
Securizacin de sistemas

Ejemplos prcticos

Auditoria de cdigo
Java: getParameter, getAttributes
PHP: $_GET, $_POST
C: malloc, free, strcpy

Herramientas utilizadas

Recopilacin de informacin: whois, dig,

nslookup.
Red: nessus, nmap, unicornscan
Cdigo: rats, splint, flawfinder
Web: nikto, wikto, paros, webscarab, webgoat

Preguntas?