Revisando las presentaciones de la Defcon 16, me he encontrado con una (por ahora) que me ha parecido interesante comentar. Es la presentación de Taylor Banks y Carric que la podéis encontrar aquí : http://164.106.251.250/docs/dc2008/defcon-16-banks-carric.pdf
La presentación versa básicamente sobre los test de intrusión, historia, finalidad, evolución… Nos dan un paseo por los pentest desde los inicios de la informática, nos habla de películas en la que podemos ver a supuestos hackers en acción, libros interesantes…
También habla sobre las certificaciones y sus instructores, se plantea la utilidad de ellas, la importancia que le da mucha gente. Ellos se muestran claramente contrarios a estos títulos, y argumentan que muchos instructores de estas certificaciones asisten a charlas que ellos ofrecen.
Pero la parte interesante de la presentación viene cuando hablan del intrusismo que sufre esa rama, hoy en día cualquiera cree que puede hacer un pentest, tirando de nmap y nessus, como si fuese tan fácil. Hacer un pentest es algo laborioso, que conlleva mucho tiempo, que te obliga a tener unos conocimientos amplios y a saber separar la paja de los resultados realmente válidos que vas obteniendo. Te obliga a saber explotar vulnerabilidades con las cuales demostrar esa debilidad. De nada, o casi nada, le sirve al cliente que le entreguemos 1000 hojas de reports de nessus, necesitan algo más, un estudio de esos resultados, un análisis del código...
Lo importante es que, si queremos dedicarnos a hacer pentest, nos formemos bien, tengamos claro que detrás de las herramientas estamos nosotros, no podemos pretender hacerlo todo automatizadamente, el botón “Scan now” va muy bien, pero no lo es todo, el test de intrusión requiere de mucha parte humana, de saber interpretar los resultados y saber hacia donde moverse en cada momento.
Si somos la parte contratante, tener claro que tipo de pentest nos van a hacer, como nos van a presentar los resultados, dejar claro que no explotarán las vulnerabilidades DoS en entornos de producción. Para todo ello recomendamos firmar un contrato en el que estableceremos los límites del pentest y daremos nuestra aprobación para su realización.
skip to main |
skip to sidebar
AUTORES
OTROS BLOGS
- Esteve Almirall
- Guru de la informática
- Security by Default
- Ismael Valenzuela
- Security art Work
- TIC TAC
- CRYPTEX-Seguridad Información
- Legalidad Informática
- El portal de ISO27000
- Xavi Ribas
- Noticias Seguridad Informática
- Javier Cao
- Seguridad y Gestión
- Samuel Parra
- Kriptopolis
- Heroes Certificados
- Sergio Hernando
- InfoSecMan
- El lado del mal
ETIQUETAS
- lopd (14)
- Blog (8)
- Auditoría (6)
- Confidencialidad (5)
- PCN (4)
- eventos (4)
- privacidad (4)
- certificaciones (3)
- concienciación (3)
- paranoias (3)
- Conceptos de seguridad (2)
- chorradas (2)
- citas (2)
- cloud computing (2)
- contraseñas (2)
- formación (2)
- intimidad (2)
- spam (2)
- articulos (1)
- bcm (1)
- clasificación información (1)
- crisis (1)
- desarrollo software (1)
- esegesei (1)
- evidencias electrónicas (1)
- externalización (1)
- hacking (1)
- incidencias (1)
- metodología (1)
- organización (1)
- pentest (1)
- piratería (1)
- políticas (1)
ARCHIVO DEL BLOG
-
►
2009
(51)
- ► septiembre (6)
Entradas
No hay comentarios:
Publicar un comentario