Intrusion test and open source methodologies

Authors

  • Liliana Carolina Pinzón Fundación Universitaria Juan de Castellanos
  • MihdíBadí Talero Fundación Universitaria Juan de Castellanos
  • John Alexander Bohada Jaime Fundación Universitaria Juan de Castellanos

DOI:

https://doi.org/10.38017/2390058X.120

Keywords:

Open source methodology, Penetration test, Security, Vulnerability assessment.
Abstract Authors References How to Cite

Abstract

Due to the growth of the attacks on the infrastructure of information technology and communications (TIC) which for 2012 was increased by 42% reaching, for example, in the case of the attacks on websites 190.370 daily attacks, according to information of Symantec Corporation (2013). The TI managers have seen the need to conduct periodic penetration testing in each of the important elements of your infrastructure, this kind of practice seeks to act proactively to shield the internal information and the customers information and also to prevent malicious staff can to appropriate of the information, taking economic advantage or causing damage in the data.   Therefore, this article presents a review and analysis of some sources of information about penetration testing and the main open methodologies that currently exist, in order to publicize the importance of implementing this kind of security assessments framed in a methodology that engages the needs of the company and it becomes a support to achieve their business goals.

Author Biographies

Liliana Carolina Pinzón, Fundación Universitaria Juan de Castellanos

Grupo de investigación MUISCA Facultad de Ingeniería Especialización en Seguridad de la Información Fundación Universitaria Juan de Castellanos

MihdíBadí Talero, Fundación Universitaria Juan de Castellanos

Grupo de investigación MUISCA Facultad de Ingeniería Especialización en Seguridad de la Información Fundación Universitaria Juan de Castellanos

John Alexander Bohada Jaime, Fundación Universitaria Juan de Castellanos

Grupo de investigación MUISCA Facultad de Ingeniería Especialización en Seguridad de la Información Fundación Universitaria Juan de Castellanos

References

[1] Symantec Corporation, Internet Security Threat Report, 2013, pp. 10. [On-line]. Disponible en https://www.insight.com/content/dam/insight/en_US/pdfs/symantec/symantec-corp-internet-security-threat-report-volume-18.pdf

[2] E. Cruz, D. Rodríguez, Modelo de seguridad para la medición de vulnerabilidades y reducción de riesgos de datos, Instituto Politécnico Nacional, México, 2010.

[3] J. Rivera, "Ciclo de vida de una prueba de intrusión física", Universidad San Carlos de Guatemala, Guatemala, 2011. [On-line]. Disponible en http://biblioteca.usac.edu.gt/tesis/08/08_0562_CS.pdf

[4] Sec Track, Test de Intrusión, (2013, noviembre). [On-line]. Disponible en http://www.sec-track.com/test-de-penetracion.

[5] A. Villalon, Seguridad en Linux y redes, GNU, Free Documentation License. [On-line]. Disponible en http://www.rediris.es/cert/doc/unixsec/unixsec.pdf.

[6] M. Bisogno, "Metodología para el Aseguramiento de Entornos Informatizados– MAEI", Universidad de Buenos Aires, Buenos Aires, 2004. [On-line]. Disponible en http://materias.fi.uba.ar/7500/bisogno-tesisdegradoingenieriainformatica.pdf

[7] C. Barón, "Metodología de análisis de vulnerabilidades para la red de datos en la dirección de telemática de la Policía Nacional", Universidad Militar Nueva Granada, Bogotá, 2010. [On-line]. Disponible en https://www.yumpu.com/es/document/read/14079646/1-metodologia-de-analisis-de-vulnerabilidades-para-la-red-de-datos-

[8] M. Coello, Procedimiento Formal de Ethical Hacking para la Infraestructura tecnológica de los servidores por internet de la banca Ecuatoriana, Escuela Politécnica Nacional, Quito, 2012.

[9] M. Bishop, "About Penetration Testing", Security & Privacy, IEEE, California Vol. 5, 2007. doi: 10.1109/MSP.2007.159.

[10] MJ. Ochoa, "Seguridad física, prevención y detección", Universidad Autónoma de Nuevo León, México, 2013. [On-line]. Disponible en http://eprints.uanl.mx/3619/1/SEGURIDAD_FISICA_PREVENCION_Y_DETECCION.pdf

[11] A. Carvajal, Introducción a las técnicas de ataque e investigación forense, un enfoque pragmático, Global Tek Security: tecnologías globales para la seguridad de la información, Colombia, 2007. [On-line]. Disponible en https://acis.org.co/portal/sites/all/themes/argo/assets/img/Pagina/TecnicasAtaqueComputacionForense.pdf

[12] W. Mejía, Auditoría Forense, Revista de Información, Tecnología y Sociedad, Universidad Mayor de San Andrés, 2009.

[13] P. Engebretson, The Basics of Hacking and Penetration Testing: Ethical Hacking and Penetration Testing Made Easy, Elsevier Inc., USA, 2011. [On-line]. Disponible en https://wqreytuk.github.io/Patrick+Engebretson+The+Basics+of+Hacking+and+Penetration+Testing,+Second+Edition+%282013%29.pdf

[14] J. Bertolín, A. Bertolín, Test de penetración y gestión de vulnerabilidades, estrategia clave para evaluar la seguridad de red, España, 2009.

[15] F. Pacheco, H. Jara, Hackers al descubierto, Fox Andina, Buenos Aires, 2010. [On-line]. Disponible en https://manualdehacker.com/wp-content/uploads/2018/06/91-Hackers-al-Descubierto-pdf.pdf

[16] K. Wyk, (2013, mayo), Adapting Penetration Testing for Software Development Purposes, Build Security In, [On-line]. Disponible en https://buildsecurityin.uscert.gov/articles/best-practices/security-testing/adapting-penetration-testing-software-development-purposes.

[17] S. Umrao, M. Kaur, G. Gupta, "Vulnerability assessment and penetration testing", International Journal of Computer & Communication Technology, 2012. doi:10.47893/IJCCT.2016.1367

[18] A. Vieites, Enciclopedia de la Seguridad Informática, México, Alfaomega, 2007.

[19] P. Mell, K. Scarfone, S. Romanosky, A Complete Guide to the Common Vulnerability Scoring System, 2007. [On-line]. Disponible en https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=51198

[20] H. Jara, F. Pacheco, Ethical hacking 2.0, Fox Andina, Buenos Aires.

[21] L. Flores, G. Hernández, "Pruebas de Hacking ético en un laboratorio de la Facultad de Ingeniería de la UNAM", Tesis de Licenciatura, Facultad de Ingeniería, Universidad Nacional Autónoma de México, 2012. [On-line]. Disponible en http://132.248.9.195/ptb2011/agosto/0671568/0671568_A1.pdf

[22] V. Baena, "La seguridad de Tecnología de la Información (TI) como una variable de la cultura organizacional", Universidad EA-FIT, Medellín, 2009. [On-line]. Disponible en https://repository.eafit.edu.co/bitstream/handle/10784/214/VictorManuel_BaenaCano_2010.pdf?sequence=1&isAllowed=y

[23] L. Sandoval, A. Vaca, "Implantación de técnicas y administración de laboratorio para investigación de ethical hacking", Escuela Politécnica del ejercito, Sangolquí, 2013. [On-line]. Disponible en http://repositorio.espe.edu.ec/bitstream/21000/6483/1/T-ESPE-047094.pdf

[24] A. Basta, W. Halton, computer security and penetration testing, Cengage Learning, Estados Unidos, 2007.

[25] T. J. Klevinsky, S. Laliberte, A. Gupta, Hack I.T., Security Through Penetration Testing, Pearson Education Inc., Indianapolis, 2004.

[26] J. Ramírez, "Desarrollo de un esquema de análisis de vulnerabilidades y pruebas de penetración en sistemas operativos para una organización de la administración pública federal", Escuela Superior de Ingeniería Mecánica y Eléctrica, México, 2009. [On-line]. Disponible en https://tesis.ipn.mx/bitstream/handle/123456789/8451/40.pdf?sequence=1&isAllowed=y

[27] A. Whitaker, D. Newman, Penetration Testing and Network Defense, Cisco Press, Indianapolis, 2006. [On-line]. Disponible en https://ptgmedia.pearsoncmg.com/images/9781587052088/samplepages/1587052083.pdf

[28] E. Nabbus, Penetration Testing A Vital System Security Assessment Method, Electrosoft, 2007. [On-line]. Disponible en https://electrosofttest.electrosoft-inc.com/sites/default/files/2017-03/Penetration%20Testing%202007.pdf

[29] A. Verdesoto, "Utilización de hacking ético para diagnosticar, analizar y mejorar la seguridad informática en la intranet de vía celular", comunicaciones y representaciones, Escuela Politécnica Nacional, Quito, 2007. [On-line]. Disponible en https://bibdigital.epn.edu.ec/bitstream/15000/548/1/CD-1053.pdf

[30] K. Xynos, I Sutherland, H. Read, Penetration testing and vulnerability assessments: A professional approach, University of Glamorgan, United Kingdom, 2010. [On-line]. Disponible en https://www.researchgate.net/publication/49285560_Penetration_Testing_and_Vulnerability_Assessments_A_Professional_Approach

[31] D. Parker, "The Strategic Values of Information Security in Business". Computers & Security, Vol. 16, 1997. doi: https://doi.org/10.1016/S0167-4048(97)80793-6

[32] E. Quispe, Asegurándose contra delitos informáticos, Universidad Mayor de San Andrés, Bolivia, 1997.

[33] G. Baker, A. "Vulnerability Assessment Methodology for Critical Infrastructure Facilities", James Madison University, Estados Unidos, 2005. doi: 10.13140/RG.2.1.3673.5841

[34] Risk Assessment Special Interest Group (SIG), PCI Security Standards Council, PCI Data Security Standard (PCI DSS), version 2.0, 2012.

[35] M. Simpson, K. Backman, J. Corley, Hands-on ethical hacking and network defense, 2nd Edition, Cengage Learning, 2010. [On-line]. Disponible en https://docplayer.net/186960674-Hands-on-ethical-hacking-and-network-defense.html

[36] G. Chicaiza, "Hacking ético para detectar vulnerabilidades en los servicios de la intranet del Gobierno Autónomo Descentralizado Municipal del Cantón Cevallos", Universidad Técnica de Ambato, Ambato, 2012. [On-line]. Disponible en https://repositorio.uta.edu.ec/bitstream/123456789/2900/1/Tesis_t764si.pdf

[37] E. Robayo, "Detección de intrusos en redes de telecomunicaciones IP usando modelos ocultos de Markov", Universidad Nacional de Colombia, Bogotá, 2009. [On-line]. Disponible en https://repositorio.unal.edu.co/bitstream/handle/unal/70224/299726.2009.pdf?sequence=1&isAllowed=y

[38] D. Garzón, J. Gómez, A. Vergara, "Metodología de análisis de vulnerabilidades para empresas de media y pequeña escala", Pontificia Universidad Javeriana, Bogotá, 2013. [On-line]. Disponible en https://repository.javeriana.edu.co/bitstream/handle/10554/7467/tesis181.pdf?sequence=1&i

[39] VeriSing, Libro Blanco, Introducción a las pruebas de vulnerabilidad de red. [On line]. Disponible en www.verisign.es.

[40] A. Espinosa, "Análisis de Vulnerabilidades de la Red LAN de la UTPL", Universidad Técnica Particular de Loja, Loja, 2010. [On line]. Disponible en https://dspace.utpl.edu.ec/bitstream/123456789/1352/3/Espinosa_Otavalo_Ang%C3%A9lica%20del%20Cisne.pdf

[41] D. Monrroy, "Análisis inicial de la anatomía de un ataque a un sistema informático". [On line]. Disponible en http://www.segu-info.com.ar/tesis/.

[42] J. Bolívar, C. Villarroel, "Propuesta de Best Practice para el análisis de vulnerabilidades, métodos de prevención y protección aplicados a la infraestructura de red del laboratorio de sistemas", Escuela Superior Politécnica de Chimborazo, Riobamba, 2012. [On line]. Disponible en http://dspace.espoch.edu.ec/bitstream/123456789/1943/1/98T00013.pdf

[43] K. Byeong-Ho, "About Effective Penetration Testing Methodology", Instituto de Investigación en Ingeniería de Seguridad, Journal of Security Engineering. Vol. 5, 2008.

[44] L. Navas Leydy, "Análisis, diseño e implementación de la metodología OSSTMM para aplicar penetration test y ethical hacking en la unidad administrativa de sistemas de información de la Universidad Técnica de Machala", Universidad Técnica de Machala, Ecuador, 2010. [On line]. Disponible en http://repositorio.utmachala.edu.ec/handle/48000/2052?mode=full

[45] M. Prandini, M. Ramilli, "Towards a practical and effective security testing methodology", IEEE Simposio sobre Computadores y Comunicaciones (ISCC), Italia, junio 22-25, 2010. doi: 10.1109/ISCC.2010.5546813

[46] National Institute of Standards and Technology (NIST), Special Publication 800-115, Technical Guide to Information Security Testing and Assessment, 2008. [On line]. Disponible en https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf

[47] OWASP Fundation, OWASP TESTING GUIDE V3.0, 2008. [On line]. Disponible en https://owasp.org/www-pdf-archive/OWASP_Testing_Guide_v3.pdf

[48] OISSG, Information System Security Assessment Framework (ISSAF), Penetration Testing Framework (PTF), 2006. [On line]. Disponible en https://untrustednetwork.net/files/issaf0.2.1.pdf

[49] O. Acosta, "Análisis de riesgos y vulnerabilidades de la infraestructura tecnológica de la secretaría nacional de gestión de riesgos utilizando metodologías de ethical hacking", Escuela Politécnica Nacional, Quito, 2013. [On line]. Disponible en https://bibdigital.epn.edu.ec/bitstream/15000/6059/1/CD-4781.pdf

[50] ISECOM, OSSTMM 3 – The Open Sour-ce Security Testing Methodology Manual, 2009. [On line]. Disponible en https://www.isecom.org/OSSTMM.3.pdf

[51] A. López, "Estudio de metodologías para pruebas de intrusión a sistemas informáticos", Instituto Politécnico Nacional, México, 2011.

[52] T. Wilhelm Thomas, Professional Penetration Testing: Creating and Operating a Formal Hacking Lab, Elsevier Inc., USA, 2010.

How to Cite

Pinzón, L. C., Talero, M., & Bohada Jaime, J. A. (2013). Intrusion test and open source methodologies. Science, Innovation and Technology Journal, 1, 25–38. https://doi.org/10.38017/2390058X.120

Downloads

Download data is not yet available.

Downloads

Published

2013-11-25

Issue

Vol. 1 (2013): Ciencia, Innovación y Tecnología

Section

Artículo de Revisión

License

Copyright (c) 2013 Ciencia, Innovación y Tecnología

Creative Commons License

This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.