ReYDeS's blog

Captura de Inteligencia para una Prueba de Penetración

  • Posted on: 4 August 2021
  • By: ReYDeS

¿Qué es?

La Captura de Inteligencia implica realizar un reconocimiento contra aquello en evaluación, con el propósito de obtener tanta información como sea posible, la cual será luego utilizada cuando se penetre durante las fases correspondientes a la evaluación de vulnerabilidades y explotación. Cuanta más información se capture durante esta etapa, más vectores de ataque factibles de ser utilizados en el futuro.

Conceptos Fundamentales para Captura de Inteligencia en una Prueba de Penetración

  • Posted on: 3 August 2021
  • By: ReYDeS

Los niveles son un concepto importante como un todo. Es un modelo de madurez para pruebas de penetración. El definir los niveles permite clarificar la salida esperada y actividades dentro de ciertas limitaciones del mundo real, como el tiempo, esfuerzo, acceso hacia información, etc.

Capacidades y Tecnologías Implementadas Previo al Contrato de una Prueba de Penetración

  • Posted on: 6 July 2021
  • By: ReYDeS

Las buenas pruebas de penetración no simplemente verifican por cuales sistemas no tienen aplicados los parches. También prueban las capacidades de la organización en evaluación. Con este propósito, se presente a continuación un listado de elementos a comparar durante las pruebas.

Información para Contacto de Emergencia Previo al Contrato de una Prueba de Penetración

  • Posted on: 29 June 2021
  • By: ReYDeS

Obviamente el ser capaz de contactarse con el cliente o la organización en una emergencia es vital. Las emergencias pueden surgir, y un punto de contacto debe ser establecido para poder manejarlas. Crear una lista de contacto para emergencias. Esta lista debe incluir información de contacto para todas las partes dentro del alcance de las pruebas. Una vez creada, la lista de contactos para emergencia debe ser compartida con todos aquellos incluidos en la lista. Tener en consideración la organización en evaluación puede no ser el cliente.

Coordinación de las Metas Previo al Contrato de una Prueba de Penetración

  • Posted on: 25 June 2021
  • By: ReYDeS

Cada prueba de penetración debe estar orientada a metas. Es decir el propósito de las pruebas debe ser identificar vulnerabilidades específicas, las cuales conduzcan hacia el compromiso de la empresa, u objetivos por misión del cliente. No se trata de encontrar sistemas sin parchar. Esto se trata sobre identificar el riesgo el cual impactará negativamente a la organización.

Primario

Pruebas para Denegación de Servicio Previo al Contrato de una Prueba de Penetración

  • Posted on: 24 June 2021
  • By: ReYDeS

Las pruebas de estrés o denegación de servicio deben discutirse antes de empezar las pruebas. Puede ser un tema incómodo para muchas organizaciones, esto debido a la naturaleza potencialmente dañina de las pruebas. Si una organización está únicamente preocupada por la confidencialidad o integridad de sus datos, las pruebas de estrés pueden no ser necesarias; pero si la organización está preocupada sobre la disponibilidad de sus servicios, entonces las pruebas de estrés deben ser realizadas en un entorno de no producción, el cual es idéntico al entorno en producción.

Definición de Pretextos Aceptables para Ingeniería Social Previo al Contrato de una Prueba de Penetración

  • Posted on: 23 June 2021
  • By: ReYDeS

Muchas organizaciones requerirán se pruebe la postura de seguridad, de una manera la cual se alinee con las ataques actuales. Los ataques de Ingeniería social y Spear-Phishing son ampliamente utilizados por muchos atacantes en la actualidad. Mientras la mayoría de los ataques exitosos utilizan pretextos como sexo, drogas, etc. algunos de estos pretextos podría no ser aceptable en el entorno de la organización. Consecuentemente se debe estar seguro de cualquier pretexto elegido sea aprobado por escrito antes de iniciar las pruebas.

Relación con Terceros Previo al Contrato de una Prueba de Penetración

  • Posted on: 22 June 2021
  • By: ReYDeS

Existen una serie de situaciones donde el contrato incluirá probar un servicio o aplicación el cual se hospedada en un tercero. Esto se torna más frecuente en los recientes años, conforme los servicios en la “nube” se han convertido en algo más popular. Lo más importante es recordar, si bien el cliente ha otorgado el permiso, este no habla por sus proveedores externos. Por lo tanto se debe obtener permiso explicito de estos para probar los sistemas hospedados.

Especificar Dominios y Rangos de Direcciones IP Previo al Contrato de una Prueba de Penetración

  • Posted on: 21 June 2021
  • By: ReYDeS

Antes de iniciar la prueba de penetración, debe ser identificada toda la infraestructura a evaluar. Esta infraestructura debe ser obtenida desde el cliente durante la fase inicial de preguntas. La infraestructura puede ser proporcionada en la forma de direcciones IP, rangos de red, o nombres de dominio del cliente. En algunas instancias el único dato proporcionado por el cliente es el nombre de la organización, quien espera los profesionales en pruebas de penetración sean capaces de identificar el resto por si mismos.

Pages

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: https://www.reydes.com/d/?q=node/1