4. Evaluación de la seguridad de un sistema informático o red mediante la simulación de un ataque. Test de penetración Metodología reconocida: OSSTMM (Open Source Security TestingMethodology Manual).
6. 1. Fase de reconocimiento Determinar el objetivo y obtener toda la información posible que permita realizar un ataque exitoso. http://www.redusers.com
13. 2. Fase de escaneo Se utiliza la información obtenida en la fase de reconocimiento con el objetivo de detectar posibles ataques. http://www.redusers.com
15. Obtener información relativa a los usuarios, nombres de equipo, recursos y servicios de red. 3. Fase de enumeración En las fases anteriores, se obtenía información de la red interna. Ahora se hace del equipo objetivo. http://www.redusers.com
17. Ingreso al sistema definido como objetivo. No se toma el control del sistema. Se detectan las vulnerabilidades y se proponen soluciones. 4. Fase de acceso El atacante buscará un exploit que le permita explotar la vulnerabilidad y obtener el control. http://www.redusers.com
19. 5. Fase de mantenimiento Se busca mantener el acceso al equipo mediante la instalación y ejecución de todo tipo de software malicioso. http://www.redusers.com
20. Fase de mantenimiento Software utilizado: troyanos, backdoors, keyloggers, spyware, ... Anonimidad en el ataque y ocultar huellas.
22. Referencias Test de penetración: http://www.redusers.com Karen Scarfone,Murugiah Souppaya, Amanda Cody, Angela Orebaugh, “TechnicalGuide to Information Security Testing and Assessment”, 2008 INTECO-CERT, www.inteco.es, Gestión de la seguridad – Catálogo de empresas y soluciones de seguridad TIC, Mayo 2011 www.isecom.org/osstmm http://csrc.nist.gov www.vulnerabilityassessment.co.uk http://www.elladodelmal.com/2007/02/test-de-intrusion-i-de-vi.html