26 de septiembre de 2017

Metodologías éticas de Hacking

Ethical Hacking Methodologies, Metodologías éticas de Hacking, ethical hacking methodology, Metodología ética de hacking, Metodologías de Ethical Hacking

Metodologías éticas de Hacking


Metodologías disponibles privadas y libres/publicas [1]:

A. Privadas: Empresas que ofrecen servicios y certificaciones.

1) IBM
2) ISS
3) Foundstone (McAfee)
4) EC-Council LPT

B. Libres/Publicas

1) OSSTMM (Open Source Security Testing Methodology Manual) [2]

Manual de la Metodología Abierta del Testeo de Seguridad, proporciona metodología exhaustiva a nivel operacional que no deja su pociones o pruebas anecdóticas las pruebas. Es proyecto de código abierto creado en el año 2000 por Pete Herzog. El libro en si es la metodología y explica como trabajarla [3].

2) CISSP (Certified Information Systems Security Professional)
Es una certificación que cumple el estándar ISO/IEC 17024 como criterio de cumplimiento de habilidades, en términos de seguridad cibernética [4].

La certificación cubre los siguientes ítems [5]:

• Seguridad y gestión del Riesgo
• Seguridad de activos
• Ingeniería de seguridad
• Seguridad de la red y comunicación
• Gestión de acceso e identidad
• Evaluación y pruebas de seguridad
• Seguridad operaciones
• Seguridad desarrollo de software

3) CISA (Certified Information Systems Auditor) [6]

La certificación de auditoria CISA cubre los siguientes conceptos [7]:

• El proceso de Auditoría de Sistemas de Información
• Gobierno y Gestión de TI
• Adquisición, Desarrollo e Implementación de Sistemas de Información
• Gestión de Servicio, Mantenimiento y Operaciones de Sistemas de Información
• Protección de Los Activos de Información

4) CHECK [1]

Esta metodología trata de detectar las vulnerabilidades de un sistema que puede causar perdida de información.

5) OWASP (Open Web Application Security Project)

Es una metodología basada en la calificación del riesgo, y se basa en la fórmula:

Risk = Likelihood * Impact
Riesgo = Probabilida * Impacto

Y su cálculo se basa en seis (6) pasos [7]:

- Paso 1: Identificación del riesgo.
- Paso 2: Factores para estimar la probabilidad.
- Paso 3: Factores para estimar el impacto.
- Paso 4: Determinación de la gravedad del riesgo.
- Paso 5: Decidir que se debe arreglar.
- Paso 6: Personalizar su modelo de calificación del riesgo.

6) ISSAF (Information Systems Secutiry Assesment Framework) [8]

De OISSG (Open Information System Security Group) se basa en criterios de evaluación son los siguientes:

- Descripción de los criterios de evaluación.
- Propósitos y objetivos
- Pre-requisitos para llevar a cabo la evaluación.
- Proceso de evaluación.
- Mostrar los resultados esperados
- Contramedida recomendadas
- Referencia a documentos externos.

Este marco de trabajo proporciona validación de estrategias de seguridad como “penetration testing” y estandarización para verificación de auditoria para las políticas de información.


Notas y Referencias:


  • [1] EC-Council, "Penetration Testing Methodologies List," in Penetration Testing: Procedures & Methodologies, Cengage Learning, 2010, pp. 12-14.
  • [2] P. Herzog, ISECOM, [Online]. Available: http://www.isecom.org/research/. [Accessed 31 Agosto 2017].
  • [3] J. D. Muñoz, "jesusdml.es," 16 Junio 2011. [Online]. Available: http://www.jesusdml.es/2011/06/16/metodologia-de-auditoria-de-seguridad-osstmm/. [Accessed 31 Agosto 2017].
  • [4] (ISC)², Inc, "Certified Information Systems Security Professional," [Online]. Available: https://www.isc2.org/Certifications/CISSP. [Accessed 31 Agosto 2017].
  • [5] ISACA, "Certified Information Systems Auditor (CISA)," [Online]. Available: http://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Pages/default.aspx. [Accessed 31 Agsoto 2017].
  • [6] ISACA,CISA, "Spanish: Manual de Preparación para el Examen CISA," [Online]. Available: https://www.isaca.org/bookstore/Pages/Product-Detail.aspx?Product_code=CRM26EDS. [Accessed 31 Agosto 2017].
  • [7] OWASP, "The Open Web Application Security Project," [Online]. Available: https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology. [Accessed 2 Septiembre 2017].
  • [8] OISSG, "Information Systems Security Assessment Framework (ISSAF)," [Online]. Available: http://www.oissg.org/issaf.html. [Accessed 2 Septiembre 2017].



20 de agosto de 2017

Dígito de verificación - NIT

Calculo del dígito de verificación


El Numero de Identificación Tributaria (NIT) contiene un dígito de verificación que es calculado por el Método Modulo 11, este tipo de métodos se usa para verificar los datos ingresados.

Método usado por la DIAN usa una serie de números primos [3, 7, 13, 17, 19, 23, 29, 37, 41, 43, 47, 53, 59, 67, 71] .

Se tiene un numero 123456789 al cual se le realizara el calculo de esta forma:

(9*3) + (8*7) + (7*13) + (6*17) + (5*19) + (4*23) + (3*29) + (2*37) + (1*41) =  665

Se calcula modulo 11 (o residuo):

665 % 11 = 5

Se valida si la operación anterior es 0 o 1 se deja este valor de lo contrario se resta al 11 el valor dado.

Dígito de Verificación: 11 - 5 = 6


Ingrese el numero a calcular:
Dígito de verificación:


Notas y Referencias


19 de febrero de 2017

Google Backup


La cuenta de Google permite exportar tus datos de los servicios que estés usando:


Es útil, cuando se usa una cuenta corporativa y deseas una copia de los correos.



Puedes seleccionar el producto de google usado, por defecto tiene seleccionado todos los productos. Permite escoger el formato y donde lo quieres, para descargarlo.



Y la espera....  dependiendo de la cantidad de información puede tomar su tiempo.



Notas y referencias:





15 de enero de 2017

Robocopy


robocopy, o "Robust File Copy" (Copia de Ficheros Consistente),  es comando disponible para copiar archivos y directorios de forma masiva, es bueno usarlo cuando el tradicional Ctrl+C y/o Ctrl+V  copiar/pegar demora una eternidad o cuando los archivos son muy grandes.

robocopy <Source> <Destination> [<File>[ ...]] [<Options>]

Ejecución básica:

C:\>robocopy

-------------------------------------------------------------------------------
   ROBOCOPY     ::     Herramienta para copia eficaz de archivos
-------------------------------------------------------------------------------

  Inicio: miércoles, 12 de abril de 201710:35:36
       Uso sencillo :: ROBOCOPY origen destino /MIR

             origen :: Directorio de origen (unidad:\ruta o
                       \\servidor\recurso_compartido\ruta).
            destino :: Directorio de destino  (unidad:\ruta o
                       \\servidor\recurso_compartido\ruta).
               /MIR :: Reflejar un árbol de directorios completo.

    Para obtener más información de uso, ejecute ROBOCOPY /?


****  /MIR puede tanto ELIMINAR archivos como copiarlos


Disponible desde Windows server 2003 o en Windows XP instalando Windows Server 2003 Resource Kit Tools,  en las siguientes versiones de Windows este comando viene incorporado.

 Algunas de sus ventajas son:
  • Copia masiva de ficheros
  • Preservar fechas y atributos de archivos y carpetas(solo la ultima versión parámetro /dcopy:T)
  • Puede copiar archivos y carpetas con nombres largos. 
  • Tolerancia a falla, puede ejecutar re-intentos.
  • Genera copia espejo de archivos y carpetas.

Notas y Referencias