Existen multitud de estándares, modelos o normas en el mundo de la seguridad y que son aplicables en un proceso de Ethical Hacking. Realmente, utilizar uno de éstos permite dotar de cierta categoria a los auditores o empresa que llevará a cabo dicho proceso. En muchas ocasiones las empresas contratantes de los servicios proporcionan la necesidad de utilizar alguno de estos estándares con el fin de homogeneizar las comparativas entre procesos llevados a cabo por distintas empresas auditoras.
Se podría dedicar el contenido de un libro completo para definir y explicar cada uno de los estándares y modelos presentados en este apartado. El objetivo del libro es proporcionar un listado de alguno de éstos, proporcionando al auditor una idea global de lo que puede encontrar a día de hoy.
OWASP, Open Web Application Security Project, es un proyecto de código abierto dedicado a determinar las vulnerabilidades en el software. OWASP está compuesta por empresas, organizaciones y particulares alrededor del mundo. OWASP recomienda enfocar la seguridad de aplicaciones informáticas considerando las dimensiones de personas, procesos y tecnologías.
OWASP proporciona una guía de buenas prácticas en el desarrollo de las aplicaciones y un documento de autoevaluación, denominado OWASP Top 10. En este documento se detallan las vulnerabilidades más comunes localizadas en las auditorias. Hay que tener en cuenta que las vulnerabilidades como inyecciones SQL y los Cross-Site Scripting, XSS, siempre suelen copar los primeros lugares.
OSSTMM, Open Source Security Testing Methodology Manual, es una metodologia, cuyo manual se puede descargar de forma libre y gratuita del sitio web de la ISECOM, estructurada en 15 capitulos donde se explica cómo llevar a cabo las pruebas de auditoria correspondientes a distintos ámbitos. En esta metodología se explica que es un análisis de seguridad, cómo enfocarlo, cuáles son las métricas de seguridad operativas, como se debe estructurar el flujo de trabajo, las pruebas de seguridad que se deben realizar a las personas, por ejemplo en el ámbito de la ingeniería social, las pruebas de seguridad en telecomunicaciones, wireless, pruebas de seguridad en entornos físicos, de red, etcétera. Es una metodología muy completa, la cual puede ser estudiada en la siguiente URL http://www.isecom.org.
Un aspecto importante que se recoge en OSSTMM es la elaboración de informes y como se deben generar éstos. Un auditor de seguridad, como se ha mencionado anteriormente, puede caer en el error de utilizar métricas o valoraciones distintas. Es decir, cada persona habla un lenguaje distinto, por lo que la comparativa no será posible. OSSTMM propone una vía de generación de informes estandarizada, por lo que se facilitará el trabajo desde el punto de vista evolutivo. Además, OSSTMM es una metodología certificable, es decir, un auditor puede estar certificado en ella como analista, tester o experto.
MITRE desarrolló una serie de estándares, como se mencionó en el apartado anterior. El primero que se tratará es el CWE, Common Weakness Enumeration, el cual proporciona un marco unificado para catalogar las vulnerabilidades de software. Las CWE pretender ser genéricas, por lo que una vulnerabilidad tipificada bajo un CVE especifico podrá mapearse contra alguna de las más de 630 debilidades base que se encuentran en los CWE. Estas debilidades a su vez se podrán clasificar en alguna de las más de 60 categorias definidas por CWE.
Por otro lado, los CVE son una lista de información sobre vulnerabilidades conocidas, donde cada una dispone de una referencia. Mediante esta vía se proporciona a los usuarios de una manera de entender y proporcionar al público este tipo de problemas. El formato utilizado para identificar los elementos de esta lista es el siguiente CVE-ID. EI ID está compuesto por YYYY-NNNN, dónde YYYY es el año y NNNN el número de la vulnerabilidad.
En el año 2014, el formato de ID del CVE ha cambiado, siendo los digitos de tipo N de longitud variable. En otras palabras, anteriormente el formato era CVE-YYYY-NNNN, y ahora si se necesitasen más digitos, por el número de vulnerabilidades conocidas, se añadiría un número más quedando asi CVE-YYYY-NNNNN, y así sucesivamente en caso de necesitarse.
La guia de CVSS, proporciona una clasificación estandarizada y normalizada por el FIRST, con la que los auditores podrán comparar diferentes auditorías con un enfoque real.
La guia se encuentra en la siguiente URL http://www.first.org/cvss/cvss-guide.html
El CVSS proporciona una métrica base compuesta por los siguientes elementos:
Vector de acceso o AV
- • Local. Vulnerabilidades explotables en un equipo local.
- •Red de vecinos o adyacente. Vulnerabilidades explotables dentro de la misma red, es decir, capa 2.
- оRemoto. Vulnerabilidades accesibles o explotables desde cualquier ubicación de red.
Complejidad de acceso o AC:
- Alta. Complejidad, combinación y circunstancias muy especiales.
- Media. Complejidad de explotación media para un grupo de usuarios.
- Baja. Configuración por defecto
-.Autenticación.
- Ninguna. No se requiere autenticación para explotar la vulnerabilidad.
- Simple. Se requiere una autenticación para poder explotar la vulnerabilidad.
- Múltiple. Se requieren varias autenticaciones para poder explotar la vulnerabilidad.
- Impacto en la confidencialidad, es decir, si esta se viera afectada.
- Impacto en la disponibilidad.
- Impacto en la integridad.
- Distribución de equipos vulnerables, es decir, si el número de equipos vulnerables es elevado, o es un caso aislado.
- Daños colaterales. Las posibilidades de que se produzcan pérdidas económicas o de personas por la vulnerabilidad detectada.
- Requisitos de seguridad.
- También se aporta una métrica temporal, donde se especifica una ventana temporal donde se puede actuar tanto para la explotación, como la corrección de la vulnerabilidad. Se define de la siguiente manera:
- Explotabilidad. Existencia o no de código que aproveche la vulnerabilidad, es decir, si existen exploits.
- Dificultad para aplicar una medida correctora.
- Fiabilidad del informe de vulnerabilidades. Como ejemplo real definir que en algunas ocasiones se anuncia la existencia de una vulnerabilidad pero no se confirma la fuente.
- Con la clasificación que se ha mostrado este estándar CVSS define una serie de ponderaciones con la que obtener una puntuación exacta, la cual resultará muy útil para comparar productos, organizaciones, trabajos de auditoría, etcétera.
- Descubrimiento de dispositivos. Recopilación de información sobre las redes inalámbricas.
- Fingerprinting. Comprobación y análisis de funcionalidades de los dispositivos de comunicaciones.
- -Pruebas de autenticación.
- -Cifrado de las comunicaciones.
- Verificación de la configuración de las redes.
- Pruebas de control de la seguridad sobre la infraestructura wireless.
- - Controles orientados a verificar la disponibilidad del entorno, es decir, pruebas de denegación de servicio.
- Pruebas sobre directivas del uso de las redes wireless.
- Pruebas sobre los clientes inalámbricos.
- Pruebas sobre hotspots y portales cautivos.
