CornerCircleTop
CornerCircleBottom
VButtonBarBottom
Pàgina Inicial
Una per Dia
Articles
Directori
Biblioteca
Alertes
VButtonBarBottom
Una per Dia

Última Modificació del Document
28 d'abril de 2001


Una per Dia - Tornar a l'índex
Versió en català de "Una al día" d'Hispasec

27 d'abril de 2001 - Publicada una metodologia per a la verificació de la seguretat

El projecte de desenvolupament d’una metodologia, de lliure distribució i ús, per a la realització de les proves de verificació del nivell de seguretat acaba de publicar la versió 1.0 del document. Es tracta d’un manual, adreçat a la comunitat professional de la seguretat informàtica, on es descriuen el conjunt mínim de proves a realitzar.

El manual, que és útil tant per als professionals de seguretat com pels administradors de sistemes, indica el seguit d’accions a realitzar en les proves de penetració, “hacking ètic” i anàlisi de la seguretat de la informació. L’objectiu, per tant, és oferir un marc estàndard per a la realització d’aquest tipus de valoracions de seguretat.

Per al desenvolupament del manual s’han tingut en compte diverses normatives legals (entre les que s’inclou la llei de protecció de dades espanyola), el que pot permetre la utilització d’aquesta metodologia per a l’anàlisi del grau de compliment d’aquestes lleis.

El procés de proves inclòs a la metodologia inclou els següents àmbits:

  1. Anàlisi de la xarxa
  2. Anàlisi de ports
  3. Identificació de sistemes
  4. Proves de debilitats a sistemes sense fils (“wireless”)
  5. Verificació de serveis.
    • Web
    • Correu
    • Servidor de noms
    • Documents visibles
    • Virus i troians
  6. Determinació de vulnerabilitats
  7. Identificació d’"exploits"
  8. Verificació manual de vulnerabilitats
  9. Verificació d’aplicacions
  10. Verificació de tallafocs i ACL
  11. Revisió de la política de seguretat
  12. Revisió dels sistemes de detecció d’intrusions
  13. Revisió dels sistemes de telefonia
  14. Obtenció d’informació
    • Serveis de notícies, notes de premsa i informacions facilitades per la pròpia empresa
    • Ofertes de treball
    • Newsgroups
    • Cracks, números de sèrie i "underground"
    • FTP y Gopher
    • Web
    • P2P
  15. Enginyeria social
  16. Verificació de sistemes "protegits"
  17. Anàlisi de contrasenyes
  18. Denegació de servei
  19. Revisió de la política de privacitat
  20. Anàlisi de cookies y problemes a la web
  21. Revisió de fitxers de registre d’activitat

Malgrat que el document encara no ha assolit tot els seus objectius, en el seu format actual és una guia força bona. Al tractar-se d’un projecte obert, distribuït sota la llicència GNU, totes les contribucions són molt ben rebudes.

La versió actual del document està disponible en anglès, en format HTML, PDF i PS.

Més informació:

Open-Source Security Testing Methodology Manual
http://www.ideahamster.org

Llistes de distribució del projecte
http://sourceforge.net/mail/?group_id=21393

Versió original en català d'aquesta notícia
http://www.quands.com/articles/html/osstmm.html

Xavier Caballé
xavi@quands.com
Contacte: info@quands.com