Documentos de Académico
Documentos de Profesional
Documentos de Cultura
5 TEMA
Esquema
TEMA 5 – Esquema
El proceso y las fases de la auditoría de SI
2
Auditoría de
Auditoría de
seguridad en
seguridad en Anexos
dispositivos
Internet
móviles
Auditoría de la Seguridad
Ideas clave
Para estudiar este tema lee las Ideas clave que encontrarás a continuación y que han
sido elaboradas por el profesor. Al finalizar, el tema, debes leer el apartado «a fondo»
para reforzar los principales conocimientos desarrollados. Además, tienes que realizar las
lecturas recomendadas y apoyarte en la bibliografía y la webgrafía asociadas al tema.
Por último, deberás deberá realizar el caso práctico con el objetivo de repasar los
principales contenidos del tema y asegurar la adecuada adquisición de los conceptos
clave.
Las auditorías técnicas de seguridad engloban muchos tipos de análisis y pruebas (test)
de seguridad, en función de aquella parte de los sistemas de información que en una
empresa se quiera revisar.
El hacking ético utiliza como base para las pruebas de auditoría de seguridad los
métodos, técnicas y ataques utilizados por hackers de forma ética, controlada y
autorizada.
Dentro de las auditorías de seguridad de caja blanca, vamos a englobar los dos
primeros apartados tratados en el tema 4:
Dentro de las auditorías de seguridad de caja negra, vamos a englobar los 2 últimos
apartados tratados en este tema:
Sistemas
Caja blanca
Redes
Test de intrusión
(PenTest)
Internet
Caja negra
Móviles
Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la
autenticación mediante una clave pre compartida, que de un modo similar al
WEP, requiere introducir la misma clave en todos los equipos de la red. Tanto la
versión 1 de WPA, como la denominada versión 2, se basan en la transmisión de las
autenticaciones soportadas en el elemento de información correspondiente. En el
caso de WPA 1, en el tag propietario de Microsoft, y en el caso de WPA2 en el tag
estándar 802.11i RSN.
Existen diferentes herramientas, para realizar este tipo de auditorías en cada una de las
fases:
Pantalla de Netcraft
Pantalla de DirBuster
o SQL Injection. Este ataque consiste en introducir sentencias SQL en los campos
de los formularios de la web, permitiéndole tener acceso a la base de datos desde
su navegador. Si una aplicación web posee este tipo de fallo, el atacante podrá leer,
modificar, eliminar y crear registros de la base de datos, dependiendo de los
privilegios o permisos que posea este usuario. Todo esto es posible debido a una
mala validación o filtrado de las variables que son enviadas al servidor.
Los dispositivos móviles han tenido una gran extensión en los últimos años.
A esto hay que añadirle que habitualmente estos dispositivos no incorporan ningún
antivirus o firewall, en cuyo caso una posible intrusión sería en muchos casos
«invisible».
Es posible realizar una auditoría de seguridad técnica sobre la conexión wifi y obtener
las credenciales de acceso.
Existen diferentes herramientas para realizar este tipo de auditorías en cada una de las
fases:
Por ejemplo, con la herramienta Gestor de Red Wicd comprobamos la redes wifi
que existen
Por ejemplo, la herramienta Wifite2 se lanza para averiguar qué redes son más
vulnerables.
Se obtiene la lista y la más vulnerable es la que nos marca todo en verde. Se selecciona
y se lanza automáticamente una serie de baterías de ataque para obtener las claves
WIFI
Una vez con la clave wifi obtenida, ya tienes acceso a la red a través del router wifi. En
este punto CAIN podrá hacer un descubrimiento de la red y comenzar a capturar el
tráfico de dispositivos móviles conectados.
INTRODUCCIÓN
OBJETIVO Y ALCANCE
TIPO DE AUDITORÍA
CONCLUSIONES Y RECOMENDACIONES
INTRODUCCIÓN
OBJETIVO Y ALCANCE
TIPO DE AUDITORÍA
Existen muchas herramientas para realizar las diferentes pruebas y que ayudan a
realizar las auditorías técnicas.
» Google.com.
» Netcraft.com.
» DirBuster (www.owasp.org)
OSSTMM
» Seguridad de la Información.
» Seguridad de los Procesos.
» Seguridad en las tecnologías de
Internet Seguridad en las
Comunicaciones Seguridad
Inalámbrica.
» Seguridad Física.
OWASP
Pendiente de actualizar por la comunidad OWASP para 2015, se incluye el top ten en
2014 de los riesgos para las aplicaciones móviles es:
Para ello, OWASP propone una serie de controles de seguridad que, adecuadamente
implantados, permiten minimizar los 10 riesgos anteriores:
Lo + recomendado
No dejes de leer…
Hacking Ético
Calles García, J.A., y González Pérez, P. (Flu Project) (2011). La biblia del Footprinting.
ISO 25000
ISO 12207
Se trata del estándar para los procesos del ciclo de vida del software de la organización
ISO. Con una terminología muy bien definida, la estructura del estándar ha sido
concebida de manera que pueda ser adaptada a las necesidades de cualquiera que lo use.
Para conseguirlo, el estándar se basa en dos principios fundamentales: modularidad y
responsabilidad.
+ Información
A fondo
En este artículo se explica por qué la plataforma Android no es totalmente segura, lo que
la ha convertido en una de las más atacadas por los cibercriminales, y proporciona una
serie de consejos para desarrollar aplicaciones que sean más seguras.
Monográfico: Zenmap
En este artículo encontrarás una descripción de Nmap que ha sido diseñada para
permitir a administradores de sistemas y a usuarios curiosos en general, explorar y
realizar auditorías de seguridad de redes para determinar qué servidores se encuentran
activos y qué servicios ofrecen.
Test de intrusión
En este artículo encontrarás los pasos para llevar a cabo un test de penetración en una
empresa. Aunque a grandes rasgos los tests de penetración son todos similares es cierto
que cada uno tiene su arte y su punto fuerte, y eso es lo que otorga el valor añadido a las
distintas empresas que se dedican a esto.
Fingerprinting
A través de este sitio web veremos algunas herramientas que nos permitirán realizar un
fingerprint a nuestro wordpress e incluso escanear posibles vulnerabilidades.
Enlaces relacionados
OxWORD
OWASP
OSSTMM
Bibliografía
Fernandez, C.M; Piattini, M., Pino, F. (2014). Modelo de madurez de ingeniería del
software. AENOR Ediciones.
Actividades
Para realizar este laboratorio, el primer paso es descargar el proxy web ParosProxy, ya
que esta será la herramienta que utilicemos. La versión necesaria es
«paros3.2.13-win.exe Last Update: 2013-08-14» y habrá que instalarla en el PC con
sistema operativo Windows. Hay que tener acceso a Internet.
Necesitaremos la última máquina virtual de java, que puede instalarse desde la web de
java.com la versión 8 update 73
El objetivo del laboratorio es la adquisición de las destrezas básicas por parte del alumno
para interceptar y analizar peticiones de cliente web, modificarlas, alterarlas y
determinar si existen errores de programación en la parte del servidor.
Este laboratorio nos permitirá conocer los riesgos reales de seguridad asociados al
desarrollo de software (aplicaciones web) y lo que supone no considerar
recomendaciones y buenas prácticas de desarrollo seguro; desde la toma de requisitos
hasta el código fuente en aplicaciones web.
Test