Auditoría de Sistemas de

Información en
GNU/Linux

Alejandro Sánchez Acosta

asanchez@gnu.org
 Agenda

●
¿Qué es una Auditoría?
●
Metodologías utilizadas
●
Tipos de Auditorías
●
Clasificación de Auditorias
●
Ejemplos prácticos
●
Herramientas utilizadas
 Definición

●
¿Qué es una auditoria?
●
Objetivos de una auditoria
●
Requisitos de una auditoría
 Metodología

●
Pasos a realizar
●
Recopilación de información
●
Notificación de las pruebas
●
Listas de comprobación
●
Realización de las pruebas
●
Pentesting
 Tipos de Auditorías

●
Caja blanca
●
Caja negra
 Clasificación de Auditorías

●
Red interna/externa
●
Perimetrales
●
Aplicaciones/servicios
●
Código
●
Análisis forense
●
Tests de intrusión
 Auditorías Internas

●
Análisis activo
– Checklists
– Revisión de parches
– Revisión de actualizaciones
– Comprobaciones de seguridad
 Auditorías Externas

●
Análisis pasivo
– Recopilación de información
– Análisis de información
– Revisión de vulnerabilidades
 Auditorías de Aplicaciones

●
Web (XSS, SQL Injection, XSRF, etc)
●
Servicios (exploits locales, remotos, etc)
 Auditorías de Código

●
Dependencia del lenguaje
●
Búsqueda de patrones
 Métricas

●
Conteo de vulnerabilidades
●
Entradas de usuario
●
Factores críticos
 Valoración

●
Criticidad del problema
 Informe técnico

●
Generación de informe técnico para cliente
 Resolución de incidencias

●
Parcheo de sistemas y servicios
●
Corrección de código
●
Actualizaciones
●
Securización de sistemas
 Ejemplos prácticos

●
Auditoria de código
– Java: getParameter, getAttributes
– PHP: $_GET, $_POST
– C: malloc, free, strcpy
 Herramientas utilizadas

●
Recopilación de información: whois, dig,
nslookup.
●
Red: nessus, nmap, unicornscan
●
Código: rats, splint, flawfinder
●
Web: nikto, wikto, paros, webscarab, webgoat
¿Preguntas?