1. Seguridad en pymes MICR Gema López Muñoz

2. Test de penetración

4. Evaluación de la seguridad de un sistema informático o red mediante la simulación de un ataque. Test de penetración Metodología reconocida: OSSTMM (Open Source Security TestingMethodology Manual).

5. Fases http://www.redusers.com

6. 1. Fase de reconocimiento Determinar el objetivo y obtener toda la información posible que permita realizar un ataque exitoso. http://www.redusers.com

7. Fase de reconocimiento

8. Fase de reconocimiento

9. Goolag: http://www.asabox.com/goolag/index_en.htm

10. KartOO (2001- 2010) - http://www.infovis.net/printMag.php?num=97&lang=2

11. Recursos online Traceroute.org (www.traceroute.org) Whois.Net (www.whois.net) Maltego (www.paterva.com/maltego) FixedOrbit (www.fixedorbit.com) Robtex (www.robtex.com) Sam Spade (www.samspade.com)

12. Extensiones Firefox http://www.security-database.com/toolswatch/turning-firefox-to-an-ethical

13. 2. Fase de escaneo Se utiliza la información obtenida en la fase de reconocimiento con el objetivo de detectar posibles ataques. http://www.redusers.com

14. Fase de escaneo

15. Obtener información relativa a los usuarios, nombres de equipo, recursos y servicios de red. 3. Fase de enumeración En las fases anteriores, se obtenía información de la red interna. Ahora se hace del equipo objetivo. http://www.redusers.com

16. Fase de enumeración

17. Ingreso al sistema definido como objetivo. No se toma el control del sistema. Se detectan las vulnerabilidades y se proponen soluciones. 4. Fase de acceso El atacante buscará un exploit que le permita explotar la vulnerabilidad y obtener el control. http://www.redusers.com

18. Fase de acceso

19. 5. Fase de mantenimiento Se busca mantener el acceso al equipo mediante la instalación y ejecución de todo tipo de software malicioso. http://www.redusers.com

20. Fase de mantenimiento Software utilizado: troyanos, backdoors, keyloggers, spyware, ... Anonimidad en el ataque y ocultar huellas.

21. ¿Gasto o inversión? Test de penetración Fallos de seguridad + habituales

22. Referencias Test de penetración: http://www.redusers.com Karen Scarfone,Murugiah Souppaya, Amanda Cody, Angela Orebaugh, “TechnicalGuide to Information Security Testing and Assessment”, 2008 INTECO-CERT, www.inteco.es, Gestión de la seguridad – Catálogo de empresas y soluciones de seguridad TIC, Mayo 2011 www.isecom.org/osstmm http://csrc.nist.gov www.vulnerabilityassessment.co.uk http://www.elladodelmal.com/2007/02/test-de-intrusion-i-de-vi.html