Video Tutoriales Gratuitos

Backtrack y Kali Linux

Servicios

Penetration Testing

Las pruebas de intrusión son un método para evaluar la seguridad de un hardware sistema ó red informática, simulando el ataque de un usuario malicioso, usualmente conocido como hacker. El proceso involucra un análisis activo del sistema en busca de cualquier posible vulnerabilidad que pueda resultar de una configuración inapropiada, fallo en el hardware ó una debilidad en el proceso operacional o contramedida técnica. Este análisis es generado desde la posición de un hacker potencial y puede involucrar la explotación real de vulnerabilidades de seguridad. Todos los problemas de seguridad que sean descubiertos serán presentados al development team del sistema en conjunto con una propuesta o recomendación de soluciones técnicas. El objetivo de las pruebas de intrusión es determinar la posibilidad de un ataque real y la cantidad de impacto en el negocio de una explotación real generando escenarios de ataque bien planteados y efectivos. El proceso para realizar una prueba de intrusión revela información confidencial de la organización. La OMHE hace constar que cuenta con especialistas certificados en seguridad de la información y estos se adhieren a los códigos de ética de cada certificación, así como al de nuestra organizaciòn y leyes gubernamentales. "Acuerdo de Confidencialidad" Toda información adquirida en las pruebas de intrusión correspondientes será entregada al representante de la empresa únicamente y nuestro consultor estará regido por el acuerdo de confidencialidad firmado entre las partes. "Metodología" Las pruebas de intrusión pueden realizarse de varias maneras. La mayor diferencia radica en la cantidad de conocimiento de la implementación del sistema a evaluar que sea entregada a los consultores. Las pruebas asumen que no se tiene ningún conocimiento de la infraestructura a ser evaluada. Los consultores deben de reunir información del sistema previo a la prueba. Este tipo de prueba usualmente toma más tiempo de ejecutar ya que se necesita una investigación previa de la tecnología e infraestructura del sistema para poder generar oficialmente la prueba usualmente incluyendo diagramas de red, código fuente e información de direcciones IP. Simulamos las acciones de un usuario malicioso real. Esta ignora el hecho que un ataque hacia un sistema muy probablemente requiere un conocimiento del mismo. Típicamente, un usuario interno puede accesar a este tipo de información como los propietarios del sistema. En muchos casos es preferible asumir un worst case scenario y proveer a los consultores tanta información como ellos necesiten, asumiendo que el atacante ya tenga en posición esta información por algún medio. Una prueba de intrusión debe ser realizada en sistemas que estén conectados a ambientes hostiles. La metodología a seguir se basa en la metodología OSSTMM (Open Source Security Testing Methodology Manual). Esta metodología está dividida en 5 capítulos los cuales prueba: controles de información y datos, niveles de concientización del personal, niveles de control de fraude e ingeniería social, redes de telecomunicaciones y ordenadores, dispositivos inalámbricos, dispositivos móviles, controles de acceso de seguridad física, procesos de seguridad y áreas físicas. La OSSTMM se enfoca en los detalles técnicos necesarios de los dispositivos a auditar, el que hacer antes, durante, y después de la prueba, y determina como medir resultados. La OSSTMM también define tanto para el consultor como para el cliente por medio de la Rule of Engagement como debe de realizarse el convenio para eliminar publicidad falsa del consultor y asegurar al cliente el reporte esperado. Nuevas pruebas son actualizadas constantemente para satisfacer mejores prácticas internacionales, leyes, regulaciones y códigos éticos. Etapas de una prueba de intrusión: Alcance: Se definen los sistemas los cuales se auditarán. Descubrimiento: Se consigue el espacio de nombres y los rangos de direcciones del 
sistema objetivo así como toda la información posible sobre el sistema a auditar. Exploración: Análisis masivo del objetivo e identificación de servicios de escucha. Enumeración: Identificación de cuentas de usuario válidas o recursos compartidos 
poco protegidos. Se auditan los sistemas para el descubrimiento de 
vulnerabilidades existentes. btener acceso: Si en el alcance de la prueba se encuentra la autorización de un 
ataque, este puede ser comprometido mediante los resultados obtenidos en las 
etapas anteriores. Intento formal de acceso al objetivo. Escalada de privilegios: Si en la etapa anterior sólo se ha podido acceder a nivel de 
usuario, en esta etapa se intenta obtener un control total del sistema. Eliminación del rastro: Una vez se ha asegurado la propiedad del objetivo, se borran 
todas las posibles huellas dejadas en el proceso. Creación de puertas traseras: Dejar puertas traseras en diferentes partes del sistema para asegurar que se volverá a obtener con facilidad un acceso privilegiado al sistema siempre que así se desee. Reporte: Se detallan descubrimientos y recomendaciones basadas en la etapa del análisis. "Herramientas" Para las pruebas de intrusión se utilizan varias herramientas: Kali GNU/Linux, Backtrack5 y conocimientos de hardware hacking para diferentes tipos de pruebas a dispositivos. En conjunto se utilizan herramientas comerciales para la obtención de mejores resultados, haciendo que estas se realicen de manera exhaustiva.

Information Security Testing and Assessment

Nuestros servicios se basan en NIST (National Institute of Technology) y para probar distintos detalles técnicos se utilizan metodologías como ISECOM, ISSAF y OWASP. Así mismo no se dejan de lado recomendaciones de instituciones como el SANS, ACFE y IAPP para cuestiones de privacidad. NOTA: En caso de que su empresa no pueda utilizar algún estandar extranjero por motivos de seguridad nacional y soberanía, podemos cambiar nuestra metodología. Un servicio efectivo de pruebas de seguridad tiene que servir para determinar que tan efectiva es su tecnología empleada con relación a sus objetivos en cuanto a seguridad. Se utilizan 3 métodos principalmente (Testing, Examinación y Entrevistas) Ya que las pruebas de seguridad requieren de tiempo, staff, hardware y software es importante analizar estos requerimientos previamente con la empresa a examinar. Muchas empresas de seguridad piensan que penetrar un sistema y bloquear ese acceso les brindará la seguridad lo cual es una total mentira. Para nosotros como OMHE es importante generar casos reales de ataques con el fin de prevenir los mismos.

Seguridad en Sitios Web

Su sitio web es la imagen de su organización en Internet, es fundamental que esta presencia sea segura. Diariamente se detectan nuevos problemas de seguridad en Internet y los hackers maliciosos están al tanto de ellos... pero requiere tiempo, esfuerzo y conocimientos el mantenerse constantemente informado. Ese es nuestro trabajo, continuamente monitorizamos cientos de fuentes de información sobre seguridad, la OMHE tiene un compromiso con las organizaciones de México ya sean estas del sector público o privado. Los servidores web son especialmente sensibles a los ataques informáticos, especialmente aquellas que incorporan contenido dinámico con bases de datos. Imagine el daño que podría causar un hacker malicioso que lograra acceder a los datos y ficheros de su servidor web.

Conferencias

Como parte del desarrollo de cualquier programa de Seguridad de la Información, se requiere la formación del personal de las áreas de tecnología. Las conferencias impartidas por la OMHE permiten tener el primer paso en esa formación a través de la transferencia de conceptos, conocimientos y experiencias en la ejecución de análisis de vulnerabilidades y pruebas de penetración. Esta conferencia llevará al público a un entorno interactivo, donde se les mostrará como explorar, probar y asegurar sus propios sistemas. Lo que se refleja en un profundo conocimiento y experiencia práctica con los actuales sistemas esenciales de seguridad. Los estudiantes empezarán por entender como funcionan las defensas periféricas y posteriormente serán llevados a explorar y atacar sus propias redes; ninguna red real es dañada. Luego los estudiantes aprenden como los intrusos escalan privilegios y que pasos se pueden tomar para asegurar un sistema. Los estudiantes también aprenderán sobre la Detección de Intrusos, Creación de Políticas, Ingeniería Social, Prevención de Ataques DDoS. Al terminar esta conferencia, el pùblico conocerá y tendrá experiencia en Prevención de ataques informáticos. "Acuerdo previo de enseñanza" Todos los conocimientos se ofrecen con fines didácticos y de aprendizaje y los instructores no se hacen responsables del mal uso de los mismos. Así mismo la OMHE pretende brindar al público los conocimientos para que sean utilizados de una forma ética y responsable. El interesado deberá de firmar este acuerdo de enseñanza para poder recibir el conocimiento.

Quienes Somos

Fundador
Héctor López

Héctor López

Information Security Audit and Control Association (ISACA)
Association of Certified Fraud Examiners (ACFE)
SANS Institute for GIAC Education
Information Systems Security Association (ISSA)
Association for Computing Machinery in the Special Group on Security, Audit and Control (SIGSAC)
Operations Security Professional’s Association (OPSEC)
Anti-Phishing Working Group (APWG)
International Association of Privacy Professionals (IAPP)

Contacto

OMHE

  • hl@omhe.org
  • (477) 144-4938
  • La OMHE solo trabaja con miembros registrados la anualidad tiene un costo de $500 pesos mexicanos ó $50 USD si eres de otra parte del globo.
  • Scotiabank No. 01704983424
  • CLABE: 044225017049834249
  • Twitter: @omhe_org
    México