Hacking Etico

SEMINARIO DE INVES INVESTIGACIÓN TIGACIÓN APLICADA Técnicas de Hacking Ético Renán Quevedo Gómez , CISSP, CISM, ISO 27001 LA, CEH, ECSA, CHFI. SEPTIEMBRE-OCTUBRE DE 2014

TÉCNICAS DE HACKING ÉTICO Duración • 1 semana

Horario • 5:30 pm a 10:00 pm

Modalidad • Presencial

TÉCNICAS DE HACKING ÉTICO Metodología • Discusiones teóricas • Casos de estudio Prácticos • 3 Talleres (20% c/u) • 1 Trabajo Final (40%)

Los enunciados de los talleres y del Trabajo Final serán enviados vía correo electrónico al inicio de cada sesión y deberán ser entregados resuel elttos al finalizar la se sessión (por el mism smo o medio io)) . El estudiante debe asistir por lo menos al 80% de las sesiones y obtten ob ener er un unaa cal alif ific icac ació ión n fi fina nall ma mayyor a 3. 3.5 5

TÉCNICAS DE HACKING ÉTICO ADVERTENCIA •

•

•

Todas las técnicas que se describen y enseñan en este seminario son con fines pedagógicos, las acciones que el estudiante ejecute con este conocimiento son su responsabilidad, ni la universidad ni el docente se hace ha cen n res espo pons nsab able less po porr la lass mi mism smas. as. Maneje este conocimiento dentro de los parámetros del a ética y el profesionalismo. Nuncaa us Nunc usee es esttas té técn cnic icas as y con onoc ocim imie ient nto o pa parra rea ealilizzar ac acci cion ones es al ma marrge gen n de la le leyy ni par araa cau ausa sarr da dañ ño a pe perrso sona nass o em emp presa sas, s, vend nder er infor orma macció ión, n, hac aceer labo la borres de es espi pion onaj ajee o ac acce ceso so ab abus usiv ivo o a lo loss si sist stem emas as..

Kali Linux - Distribución de Linux diseñada para el Hacking Ético. - Antigüo Backtrack - Distribución Gratuita - Herramientas de descubrimiento y enumeración, análisis de vulnerabilidades, ejecución de exploits, cracking de contraseñas, ingeniería social, etc. - Será la base para la ejecución de laboratorios en este seminario.

TEMARIO CONCEPTOS GENERALES

DESCUBRIMIENTO Y ENUMERACIÓN

ANÁLISIS DE VULNERABILIDADES

PRUEBAS DE PENETRACIÓN

GENERACIÓN DE REPORTES

TEMARIO CONCEPTOS GENERALES

DESCUBRIMIENTO Y ENUMERACIÓN

ANÁLISIS DE VULNERABILIDADES

PRUEBAS DE PENETRACIÓN

ANALISIS Y PENTES A APPLICACIONES WEB

HACKING ÉTICO Intrusiones por Reto

Intrusiones de Individuos mal Intencionados

Redes Organizadas

La misma evolución del hacking expone dos términos que deben tenerse claramente entendidos: •

Hacker

•

Cracker

HACKING ÉTICO • Robo de Identidad • Acciones

Fraudulentas • Cyber-Crimen • Cyber-Guerra

Cracker

• Accesos por

Conocimiento. • Fines Pedagógicos. • Hackig Ético.

Hacker

ROL DEL HACKER ÉTICO •

EL PAPEL DE UN HACKER ÉTICO PUEDE ASIMILARSE AL PAPEL DE UN AUDITOR: •

•

•

•

Evaluar el estado de seguridad de un sistema o infraestructura tecnológica. Analizar los resultados obtenidos de la auditoría técnica. Reportar asertivamente los hallazgos a las partes interesadas. Desempeñar el papel de experto en un equipo auditor.

TÉRMINOLOGÍA Amenaza • Acción o Evento que puede afectar la seguridad. (Potencial)

Vulnerabilidad • Debilidad que puede ocasionar un comportamiento no esperado que afecta la

seguridad de los sistemas.

Exploit • Camino definido para Vulnerar la seguridad de un sistema de TI utilizando una

vulnerabilidad.

Ataque • Cualquier acción que viola la seguridad.

Qué es Vulnerar la Seguridad? Confidencialidad

Integridad

Disponibilidad

SEGURIDAD

TÉRMINOLOGÍA Análisis de Vulnerabilidad • Análisis de sistemas informáticos en búsqueda de

vulnerabilidades conocidas, con el fin de listarlas y clasificarlas de acuerdo a su criticidad (alto, medio, bajo). No es característico de un análisis de vulnerabilidad explotar las vulnerabilidades encontradas.

PenTest (Penetration Test): • Ejecución controlada de “exploits” de vulnerabilidades

encontradas en un análisis de vulnerabilidad previo.

VRA

PENTEST EXPLOITS

CLASIFICACIÓN DE PRUEBAS DE PENETRACIÓN PRUEBAS DE PENETRACIÓN

INTERNAS

POR EL ORIGEN DE LAS PRUEBAS

EXTERNAS

Pruebas de Penetración POR EL CONOCIMIENTO DEL OBJETIVO

Caja Negra

Caja Gris

Caja Blanca

METODOLOGÍA DE LAS PRUEBAS DE PENETRACIÓN Etapas de un Hacking mal-intencionado

Descubrimiento y Enumeración

Escaneo

Lograr Acceso

Mantener Acceso

Borrar Huellas

Etapas de un Hacking Ético Descubrimiento y Enumeración

Análisis de Vulnerabilidades

Explotar Vulnerabilidades

Reportar y Recomendar

Normas y Leyes Aplicables CIRCULAR 052

PCI DSS

ISO 27001

Estas normas sustentan la aplicación y ejecución de Pruebas de Penetración y Análisis de Vulnerabilidades.

Circular 052 de 2007 – Superintendencia Financiera de Colombia Actualmente: Circular 042 de 2012 Requerimientos Mínimos de Seguridad y Calidad para la realización de operaciones bancarias. El numeral 7 detalla las requerimientos para el análisis de vulnerabilidades, el numeral 4 en uno de sus subitems especifica las características de las pruebas de penetración.

PCI DSS En noviembre de 2013 se publicó la versión 3. Estándar desarrollado para proteger la información de los tarjethabientes. (proporciona la línea base de los requerimiento técnicos y operacionales) Involucra a todas las partes involucradas en el proceso de compra por medio de tarjetas de crédito (no solo los bancos).

METODOLOGÍAS DE PENTEST Y ANÁLISIS DE VULNERABILIDADES

Existen metodologías para la ejecución de pruebas, algunas de ellas “open source”, algunas otras comerciales. Sin embargo las metodologías Open Source tienen una alta calidad y son punto de referencia para muchas tareas de Hacking ético. Estas metodologías pueden ser accedidas sin costo en internet.

OSSTMM (Open Source Security Testing Methodology Manual) Seguridad de la Información existente en medios públicos (publicada en internet). Seguridad de los procesos en los que interviene el personal de la organización (ingeniería social).

Seguridad de los sistemas expuestos en Internet.

Seguridad de los sistemas de comunicaciones de voz.

Seguridad de las comunicaciones Inalámbricas.

Seguridad desde el punto de vista técnico.

OWASP (Open Web Application Security Project) Guía para construir aplicaciones y servicios web seguros.

Guía de Pruebas (testing guide)

Top Ten

TEMARIO CONCEPTOS GENERALES

DESCUBRIMIENTO Y ENUMERACIÓN

ANÁLISIS DE VULNERABILIDADES

PRUEBAS DE PENETRACIÓN

Generación de Reportes

Descubrimiento y Enumeración •

Son los preparativos del Pentest, en esta etapa se intenta obtener el mayor número de información posible.

Tipos de Descubrimiento

Activos

Pasivos

Descubrimiento y Enumeración Google Hacking Barrido de IP

Ingeniería Social Escaneo de Puertos

Qué información se busca: - Dominios y Subdominios - Servicios Publicados - Información Personal - Correos Electrónicos - Archivos con Información Sensible (Contraseñas, Usuarios, Bases de datos) •

•

•

•

•

Google Hacking - Técnica de Hacking utilizada para obtener información (Information Gathering). - Usa las altas capacidades de google para buscar información. - Las búsquedas sobre google pueden refinarse para lograr encontrar información específica por medio de l uso de operadores lógicos y operadores avanzados.

Construcción de Consultas en Google AND (No se requiere, es redundante para google) Ejemplo: Laurel and Hardy = laurel hardy OR : se usa el símbolo pipe | NOT: Se usa el prefijo : “ -” antes de la palabra que se quiere omitir de la búsqueda •

• •

•

Forzar Inclusión: el prefijo: “+” evita que el buscador de google

omita palabras comunes, pej: +and.

Ejemplo: username | userid | user

Construcción de Consultas en Google – Operadores Avanzados •

•

•

•

•

intitle: encuentra strings en el título de una página. inurl: Encuentra strings en la url de una página. Filetype: encuentra tipos específicos de archivos basados en la extensión. Site: restringe la búsqueda a un sitio o dominio particular Link: busca links en un sitio o url

Ejemplo: inurl:admin intext:username= AND email= AND password= OR pass= filetype:xls inurl:"nph-proxy.cgi" "Start browsing through this CGI- based proxy“ xamppdirpasswd.txt filetype:txt

Google Hacking – Búsqueda de Archivos de Configuración o de Log Conociendo la estructura y palabras clave de archivos de configuración o de log de la infraestructura a analizar se puede usar el motor de Google para encontrar información.

Ejemplo: Cisco: intext:“enable password 7” Php: inurl:php.ini filetype:ini admin account info filetype:log

Google Hacking – Búsqueda de Páginas de Login Las páginas de login permiten establecer el tipo de producto que está usando un objetivo particular: webmail, bases de datos, administradores de contenido, etc.

Ejemplo: “phpMyAdmin””running on” inurl:”main.php ”

Google Hacking – Búsqueda de Archivos de soporte Las instalaciones de bases de datos están acompañadas por archivos de configuración, scripts de debug o archivos de prueba que pueden proporcionar información relevante

Ejemplo: filetype:inc intext:mysql_connect

Google Hacking – Archivos de Error Los archivos de error pueden proporcionar información relevante con respecto a los productos instalados en un sitio (sistema operativo, bases de datos, Servidores Web, etc).

Ejemplo: intitle:"Error Occurred""The error occurred in"filetype:cfm

Google Hacking – Volcado de Bases de datos Por medio de búsquedas en Google pueden encontrarse volcados de bases de datos enteras. Esto proporciona información de estructuras de bases de datos, nombres de tablas, nombres de campos, nombres de usuarios e incluso contraseñas

Ejemplo: "#mysql dump" filetype:sql

Herramientas de Descubrimiento •

Ubicación de URL’s Internas:  –

 –

•

http://news.netcraft.com http://www.webmaster-a.com/link-extractorinternal.php

Extracción de Información:  –

 –

 –

http://www.network-tools.com http://whois.domaintools.com/ http://whatismyipaddress.com/traceroute-tool

Herramientas de Descubrimiento •

Búsqueda de Información Personal  –

 –

 –

 –

•

http://pipl.com http://wink.com http://123people.com https://www.peoplelookup.com

Búsqueda en páginas de Empleo  –

www.elempleo.com

Herramientas de Descubrimiento RECON-NG • Permite Obtener información y hacer reconocimiento de red

Dmitry • Permite buscar información rápidamente sobre un sitio específico

NetDiscover • Facilita el descubrimiento de red de modo pasivo y activo

Zenmap • Versión Gráfica de Nmap

Escaneos Básicos de nmap

•

-sT (TCP connect Scanning):  –

•

Usa el principio de los Sockets de unix para conectarse, que está basado en una función connect( ), este método intenta hacer una conexión tal y como la haría un computador, por esto es fácilmente detectable por los firewalls

-sS (SYN Scanning)  –

Basado en el Three Way Handshake

Three Way HandShake • • • •

SYN (Petición de Sincronización) ACK (Aceptación/ Reconocimiento) FIN (Petición de finalización) RST (Petición de finalización inmediata)

SYN SYN / ACK ACK

Nmap -sS (Syn Scan) SYN SYN / ACK RST

SYN RST

SI el puerto está abierto se recibe un syn/ack

Nmap -sS SYN

•

•

Si no hay respuesta significa que el puerto puede estar filtrado, se usan otras técnicas como manejo de tiempos y de fragmentación de paquetes. Posibles estados de los puertos: Abierto Cerrado Filtrado • • •

Ejemplos de Ejecución •

Nmap –sP xxx xxxx.x x.xxxx. xxx.xxx xxxx.x x.xxxx xxx  –

•

nmap nm ap -s -sSS -O xx xxxx xx.x .xxx xxx. x.xxx xxxx. x.xx xxxx xx  –

•

Ping Scan Syn Sy n Sca Scan n y detec detección ción de Sist Sistema ema Oper Operati ativo vo

Nmap –sS –P0 –A –v  –

Detección de sistema operativo y deshabilita Pings

TALLER 1

EL TALLER DEBE SER REALIZADO EN PAREJAS Y ENVIADO AL CORREO ELECTRÓNICO DEL PROFESOR AL FINALIZAR LA SESIÓN, TIENE UN VALOR DEL 20% DEL SEMINARIO

TEMARIO CONCEPTOS GENERALES

DESCUBRIMIENTO Y ENUMERACIÓN

ANÁLISIS DE VULNERABILIDADES

PRUEBAS DE PENETRACIÓN

ANALISIS Y PENTES A APPLICACIONES WEB

Ciclo de Análisis de Vulnerabilidad y Remediación Escaneo

El ciclo de análisis de vulnerabilidades y pruebas de penetración es un ciclo continuo, que debe tratarse como se ha venido tratando la gestión de herramientas de antivirus.

Retest

Remediación

Reporte

Clasificación

Common Vulnerability and Exposures •

•

La corporación Mitre pone a disposición un diccionario público de vulnerabilidades y les asigna un código el cual ha sido adoptado como estándar incluso para normas locales como la circular 052 de la Superintendencia Financiera de Colombia. http://cve.mitre.org/

Ejemplo del Diccionario CVE

Clasificación de Vulnerabilidades •

•

El CVSS (Common Vulnerability Scoring System) de NIST define los niveles de criticidad de las vulnerabilidades informáticas. Ayuda a determinar la prioridad y la urgencia de las tareas de remediación.

CVSS (Common Vulnerability Scoring System) Es un sistema de puntaje de vulnerabilidades diseñado para proporcionar un método estandarizado y abierto para calificar vulnerabilidades de TI.

Puntaje Estandarizado

Marco Abierto

Priorización del riesgo

• Permite tener un

• Otros métodos de

• Los puntajes reflejan el

puntaje independiente de las plataformas • Permite crear una política única de gestión de vulnerabilidades

calificación pueden ser confusos • Los parámetros para obtener un puntaje están disponibles para libre consulta

riesgo real de la organización. • Los usuarios pueden saber que tan importante es una vulnerabilidad con respecto a otras.

Composición del CVSS Grupo de métricas Base Grupo de Métricas Temporal Grupo de Métricas Ambiental

• Captura las características de una vulnerabilidad

que son constantes con respecto al tiempo y al ambiente.

• Captura las características de una vulnerabilidad

que cambian en el tiempo como el estado de la remediación o que tan explotable es.

• El ambiente juega una influencia directa en el

cálculo de riesgo.

Grupo Base

Vector de Acceso [AV]

Complejidad de Acceso [AC]

Autenticación [Au]

Impacto a la Confidencialidad [C]

Impacto a la Disponibilidad [A]

Impacto a la Integridad [I]

Grupo Base

Vector de Acceso • Local [L] • Adjacent

Network [A] • Network [N]

Complejidad de Acceso

Autenticación

• High [H] • Medium [M] • Low [L]

• Mulitple [M] • Single [S] • None [N]

Grupo Base

Impacto a la Confidencialidad • None [N] • Partial [P] • Complete [C]

Impacto a la Integridad • None [N] • Partial [P] • Complete [C]

Impacto a la Disponibilidad • None [N] • Partial [P] • Complete [C]

Grupo Temporal

Explotabilidad [E]

Nivel de Remediación [RL]

Confianza del Informe [RC]

Grupo Temporal Explotabilidad

Nivel De Remediación

• Unproven [U] • Proof Of Concept

• Oficial Fix [OF] • Temporary Fix

[POC] • Functional [F] • High [H] • Not Defined [ND]

[TF] • Workaround [W] • Unavailable [U] • Not Defined [ND]

Confianza del Informe • Unconfirmed

[UC] • Uncorroborated [UC] • Confirmed [C] • Not Defined

Grupo del Entorno Daño Collateral Potencial [CDP]

Distribución Objetivo [TD]

Requerimientos de Seguridad [CR,IR,AR]

Grupo del Entorno Daño Colateral Potencial • None [N] • Low [L] • Low Medium [LM] • Medium-High [MH] • High [H] • Not Defined [ND]

Objetivo de Distribución • None [N] • Low [L] – (,

< 75%) • High [H] – (>75%) • Not Defined [ND]

Requerimientos de Seguridad (CR, AR, IR) • None [N] • Low [L] • Medium [M] • High [H] • Not Defined [ND]

Afecta los puntajes Base

Resumen Base Temporal Entorno

AV:[L,A,N]/AC:[H,M,L]/Au:[M,S,N]/C:[N,P,C]/I:[N,P,C]/A:[N,P,C] E:[U,POC,F,H,ND]/RL:[OF,TF,W,U,ND]/RC:[UC,UR,C,ND] CDP:[N,L,LM,MH,H,ND]/TD:[N,L,M,H,ND]/CR:[L,M,H,ND]/ IR:[L,M,H,ND]/AR:[L,M,H,ND]

Ejemplo: AV:L/AC:M/Au:N/C:N/I:P/A:C.

Vector de Acceso: L Complejidad de Acceso: M Autenticación: N Confidencialidad: N Integridad: P Disponibilidad: C

CALCULADORA CVSS: http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2

INSTALACIÓN DE NESSUS EN KALI

INSTALACIÓN DE NESSUS EN KALI

INSTALACIÓN DE NESSUS EN KALI

INSTALACIÓN DE NESSUS EN KALI

INSTALACIÓN DE NESSUS EN KALI

INSTALACIÓN DE NESSUS EN KALI

TALLER 2

EL TALLER DEBE SER REALIZADO EN PAREJAS Y ENVIADO AL CORREO ELECTRÓNICO DEL PROFESOR AL FINALIZAR LA SESIÓN, TIENE UN VALOR DEL 20% DEL SEMINARIO

TEMARIO CONCEPTOS GENERALES

DESCUBRIMIENTO Y ENUMERACIÓN

ANÁLISIS DE VULNERABILIDADES

PRUEBAS DE PENETRACIÓN

ANALISIS Y PENTES A APPLICACIONES WEB

PENTEST

Ataques Controlados VRA

Generalmente no se incluyen ataques de Denegación de servicio

PENTEST EXPLOITS

El objetivo es simular las acciones de un hacker malintencionado y dejar evidencia del nivel de penetración logrado

Rompimiento de Contraseñas Rompimiento de contraseñas

Fuerza Bruta

Ataques de Diccionario

Tablas Precomputadas

Tablas Arcoiris

FUERZA BRUTA • •

•

Probar todas las posibles llaves o contraseñas hasta que la se encuentra la correcta. La efectividad de esta técnica está atada a la longitud de la contraseña y a la capacidad de procesamiento del sistema que realiza el ataque Los intentos se generan con las posibles combinaciones de un conjunto de caracteres sin tener ningún criterio para escogerlos.

Ataque de Diccionario • •

Es una evolución del ataque de fuerza bruta. Se utiliza un diccionario de palabras que cumplen ciertas condiciones:  –  –  –

•

Palabras conocidas en un idioma Combinaciones de caracteres Longitud específica de las contraseña

La efectividad está atada a la complejidad de la contraseña y a la Calidad del Diccionario.

Tablas Precomputadas Contraseña

MD5

1

c4ca4238a0b923820dcc509a6f75849b

1234567890 e807f1fcf82d132f9bb018ca6738a19f 

•

•

abc123

e99a18c428cb38d5f260853678922e03

password

5f4dcc3b5aa765d61d8327deb882cf99

Se basa en la búsqueda de una contraseña correspondiente a un Hash. Depende de la Calidad de la tabla, Una buena tabla precomputada requiere Teras de espacio.

Tablas Arco Iris – Rainbow Tables • •

•

Es una Solución al problema de espacio de las tablas precomputadas. Consiste en una tabla de textos planos y hashes Asociados a dicho texto (no es el hash del texto) que facilita la manera de obtener el password a determinado hash. Se cambia almacenamiento por procesamiento

Tablas Arco Iris – Ejemplo de Cónstrucción Texto Claro 123 456 789 111  

Hash c2c400743edd1f7b223c95cd9fcdd3f0 a9196ffec2e43657eabb10782586dbc5 6f3ef77ac0e3619e98159e9b6febf557 f3a11faa34ed836dccd87f39d4c86472

Se construye por medio de funciones de HASH y funciones de reducción. Las funciones de reducción están diseñadas para obtener textos

Tablas Arco Iris – Ejemplo de Construcción x

h1= H(x)

RI

h2= H(R1(h1)) R2

h3= H(R2(h2))

h4=H(R3(h R3 3))

123

854d6fae5ee4291 202cb962ac59075b 1677c739ee17344 7d04bbbe5494ae9d 486 2f5a76aa1c00fa2f  4bb 964b07152d234b70 202 86

c2c400743edd1f  7b223c95cd9fcdd 3f0

456

6c9882bbac1c709 250cf8b51c773f3f8 3bd250418812776 2f37d10131f2a483a 658 8dd005b3d14b0d9 7d1 dc8b4be867a9a02 250 58

a9196ffec2e4365 7eabb10782586d bc5

68053af2923e0020 fccb3cdc9acc14a6 2c62105ee18ecd5f0 4c3ca7c6a3150cf7 680 e70a12f74560c026 026 ee37bc8c35718eb 210

6f3ef77ac0e3619 e98159e9b6febf5 57

698d51a19d8a121c 99bcfcd754a98ce8 5e9f92a01c986bafc e581499d7b701668 698 9cb86f73acc04645 645 abbafd145520b13 f92

f3a11faa34ed836 dccd87f39d4c864 72

789

111

Tablas Arco Iris – Ejemplo de Cónstrucción Supongamos el hash: 6c9882bbac1c7093bd25041881277658 Aplicamos la función de reducción R2 -> 658 Aplicamos el Hash y Obtenemos 2f37d10131f2a483a8dd005b3d14b0d9 A este hash aplicamos la función R3 de reducción obteniendo 7d1 y de nuevo calculamos el hash que resulta en a9196ffec2e43657eabb10782586dbc5, que si está en la Rainbow Table. •

• •

Texto Claro 123 456

789 111

Hash

c2c400743edd1f7b223c95cd9fcdd3f0 a9196ffec2e43657eabb10782586dbc5 6f3ef77ac0e3619e98159e9b6febf557 f3a11faa34ed836dccd87f39d4c86472

Metasploit - Meterpreter

Open Source Se usará en los talleres demostrativos. Ya existe una versión Profesional con licencia comercial  – Rapid-7

TALLER 3

EL TALLER DEBE SER REALIZADO EN GRUPOS Y ENVIADO AL CORREO ELECTRÓNICO DEL PROFESOR AL FINALIZAR LA SESIÓN, TIENE UN VALOR DEL 20% DEL SEMINARIO

TEMARIO CONCEPTOS GENERALES

DESCUBRIMIENTO Y ENUMERACIÓN

ANÁLISIS DE VULNERABILIDADES

PRUEBAS DE PENETRACIÓN

ANALISIS Y PENTES A APPLICACIONES WEB

CREACIÓN DE REPORTES

Presentación de Resultados de manera: • • • • •

Asertiva Ordenada Clara Completa Considerando el perfil, conocimiento e intereses del Lector.

REPORTES USUALES Reportes Técnicos • Dirigidos a Grupos Encargados de la Remediación, a Líderes

Técnicos del proyecto, Analistas de TI o de Seguridad,etc. • Compilado del detalle técnico – deben ser exahustivos. • Son una Herramienta para toma de decisiones de tipo Técnico.

Reportes Ejecutivos • Presentación Resumida de Resultados Relevantes. • Dirigidos a Gerentes y Directores. • Se debe minimizar el uso del lenguaje técnico especializado • Debe ser comprensible para un lector sin conocimientos en el

tema.

REPORTE TÉCNICO INTRODUCCIÓN

OBJETIVOS

ALCANCE

METODOLOGÍA

RESULTADOS

CONCLUSIONES Y RECOMENDACIONES

ANEXOS

INTRODUCCIÓN Y OBJETIVOS Introducción • Describir los antecedentes y entorno del proyecto. • Partes interesadas • Breve descripción de la empresa o del consutor

Objetivos • Objetivos del Proyecto • Tener en cuenta requerimientos normativos, pej: Circular

042 o la norma PCI.

ALCANCE •

Se deben especificar los tipos de pruebas realizados: Análisis de Vulnerabilidad Pentest Interno o Externo Caja Negra o Caja Blanca Con Credenciales o sin ellas Lugar de ejecución Número de activos, aplicaciones o redes involucradas Tiempo de ejecución Periodicidad de las pruebas • • • • •

• • • •

METODOLOGÍA

•

Se especifican las etapas y una descripción de el objetivo de cada una: Descubrimiento y Enumeración Análisis de Vulnerabilidades Pruebas de Penetración Especificar las Herramientas Utilizadas: Nessus, Nikto, Accunetix, etc. Se mencionan las metodologías o guías utilizadas: Metodología del EC-Council OSSTMM OWASP • • •

•

•

•

• • •

RESULTADOS Gráficas: Distribución de Vulnerabilidades de acuerdo a su criticidad. Servidores mas vulnerables Puertos mas Vulnerables Vulnerabilidades mas comunes Clasificación por tipo de Vulnerabilidad: Parches de Sistema operativo Configuraciones por Defecto Vulnerabilidades de Productos, entre otros •

• • • •

• • •

• • •

•

Detalle técnico de los resultados obtenidos en cada etapa Inventario y descripción de información obtenida en la etapa de descubrimiento Inventario de Vulnerabilidades encontradas con descripción, código CVE, puntaje CVSS, información adicional, links de referencia, recomendaciones de remediación. Evidencia de resultados de penetración. APOYARSE EN LOS ANEXOS

CONCLUSIONES Y RECOMENDACIONES • • • •

Análisis de Resultados Discusión de los aspectos mas relevantes Principales problemas o situaciones críticas Recomendaciones de Remediación -> no es una lista de lo que entregan los reportes de las herramientas, es el resultado de un análisis global de los resultados y una guía de cuál es el mejor camino a seguir. (Acciones mas contundentes y de menor costo).

ANEXOS Compilado del detalle técnico

Tablas dinámicas

Archivos de Excel

INFORME EJECUTIVO Contiene las mismas secciones que el informe ejecutivo, pero se presentan resultados resumidos y ejecutivos. INTRODUCCIÓN

OBJETIVOS

Es recomendable usar nombres de aplicaciones en lugar de direcciones ip o describir los servidores de acuerdo a los servicios que presta, pej.

ALCANCE

METODOLOGÍA

RESULTADOS

CONCLUSIONES Y RECOMENDACIONES

También se usan gráficas estadísticas pero de aspectos generales como la cantidad de vulnerabilidades, número de equipos comprometidos, facilidad de la explotación, etc Los resultados se deben presentar en términos del nivel de riesgo y del tipo de consecuencias para la organización.