Embedded Files
INB COMPUTERS "Honestidad, calidad y profesionalismo"
Actualizado el 28 de octubre de 2020
OWISAM (13 de mayo, 2018). OWISAM (Open WIreless Security Assessment Methodology) [Archivo de imagen]. Recuperado el 28 de octubre de 2020 desde https://www.owisam.org/index.php?title=P%C3%A1gina_principal
OWISAM, Open Wireless Security Assessment Methodology
OWISAM, Open Wireless Security Assessment Methodology
OWISAM es una metodología abierta para el análisis de seguridad Wireless que busca llenar el vació actual en cuanto mejores prácticas a la hora de realizar una auditoría de una red inalámbrica.
Esta metodología fue creada el año pasado por Andrés Tarasco y Miguel Tarasco, dos hermanos españoles que se han echado al hombro este proyecto y que han sabido sacarlos adelante con una comunidad activa y en constante crecimiento.
DragonJAR (2014). OWISAM, Open Wireless Security Assessment Methodology. Recuperado el 28 de octubre de 2020 desde https://www.dragonjar.org/owisam-open-wireless-security-assessment-methodology.xhtml
El OWISAM Top 10, que define los principales riesgos de seguridad en las redes inalámbricas se ha consolidado y definido:
El OWISAM Top 10, que define los principales riesgos de seguridad en las redes inalámbricas se ha consolidado y definido:
OWISAM-TR-001: Red de comunicaciones Wi-Fi abierta.
OWISAM-TR-002: Presencia de cifrado WEP en redes de comunicaciones.
OWISAM-TR-003: Algoritmo de generación de claves del dispositivo inseguro (contraseñas y WPS).
OWISAM-TR-004: Clave WEP/WPA/WPA2 basada en diccionario.
OWISAM-TR-005: Mecanismos de autenticación inseguros (LEAP,PEAP-MD5,..)
OWISAM-TR-006: Dispositivo con soporte de Wi-Fi protected setup PIN activo (WPS).
OWISAM-TR-007: Red Wi-Fi no autorizada por la organización.
OWISAM-TR-008: Portal hotspot inseguro.
OWISAM-TR-009: Cliente intentando conectar a red insegura.
OWISAM-TR-010: Rango de cobertura de la red demasiado extenso.
DragonJAR (2013). OWISAM, Open Wireless Security Assessment Methodology. Recuperado el 28 de octubre de 2020 desde https://www.dragonjar.org/owisam-open-wireless-security-assessment-methodology.xhtml
Canal de youtube Rooted (14 de marzo, 2014). Andrés y Miguel Tarasco - OWISAM: Open WIreless Security Assessment Methodology [Rooted CON 2013] [Archivo de video]. Recuperado el 28 de octubr de 2020 desde https://www.youtube.com/watch?v=OsiFu1fOrmY
Más información
Más información
Acrylic Wi-Fi Home – Escáner WiFi https://www.acrylicwifi.com/programas-software-herramientas-wifi/escaner-wifi-acrylic-wifi-gratuito/
Hardware Wi-Fi en modo monitor https://www.acrylicwifi.com/soporte-documentacion-videotutoriales-programas-software-herramientas-wifi/hardware-compatible/
OWISAM página oficial https://www.owisam.org/index.php?title=P%C3%A1gina_principal
OWISAM (13 de mayo, 2018). CWSS [Archivo de imagen]. Recuperado el 15 diciembre, 2020 desde https://www.owisam.org/index.php/CWSS
ValorNivel de riesgoimpacto
0 – 2
Mínimo
Mínimo riesgo de acceso no autorizado. Un ataque exitoso requeriría de una ventana temporal mayor al definido en el alcance de esta revisión así como un nivel de especialización alto.
3 – 4
Bajo
Riesgo muy reducido de que un usuario no asociado a la organización sea capaz de acceder a la infraestructura inalámbrica existente. El impacto que puede tener sobre la infraestructura es limitado.
5 - 6
Medio
Existe la posibilidad no despreciable de modificación de información, robo de credenciales o modificación del comportamiento normal del sistema, aunque las consecuencias para el sistema son limitadas. Este ataque es viable dentro de un marco temporal inferior a 1 mes.
7 - 9
Alto
La probabilidad de que ocurra un acceso no autorizado a los activos de la Organización es alta, debido principalmente a la existencia de debilidades en las redes inalámbricas existentes.
Un atacante podrá impactar significativamente en la operación normal de los sistemas.
10
Crítico
La probabilidad de que ocurra un acceso no autorizado en los activos de la organización es muy elevada, debido a la existencia de redes inalámbricas que tienen visibilidad de sistemas internos y que pueden ser accedidas por usuarios externos.
OWISAM (13 de mayo, 2018). CWSS [Archivo de imagen]. Recuperado el 15 diciembre, 2020 desde https://www.owisam.org/index.php/CWSSCWSS
CWSS
CWSS : Common Wireless Security Scoring
CWSS : Common Wireless Security Scoring
Equivalentes de los CVSS
Una vez identificados los riesgos de seguridad es necesario poder asignarle una clasificación de riesgos en base a un grupo de parámetros objetivos. La estandarización del mecanismo de asignación de riesgos permitirá que diferentes personas puedan clasificar del mismo modo la seguridad o inseguridad de una infraestructura Wireless.
OWISAM propone hacer uso de un sistema de clasificación de riesgos compatible con CVSS [1], el estándar de facto a día de hoy. CVSS hace uso de los siguientes elementos para signar el riesgo de una vulnerabilidad:
Metricas Base:: "Exploitability Metrics" e "Impact Metrics"
Metricas de entorno:: "General Modifiers" e "Impact Subscore Modifiers"
Métricas temporales:: Temporal Score Metrics
La propuesta es modificar dos elementos de las métricas base
Related exploit range (AccessVector): Se modificará este elemento por "Cobertura de red" (NetworkCoverage): Los valores pueden ser, Alta, media, baja.
Baja: Necesidad de estar en una ubicación muy cercana al punto de acceso
Media: Fuera del perímetro del edificio/local/oficina.
Alta: visibilidad con antena direccional.
Attack complexity (AccessComplexity): Se modificará este elemento con "credenciales de acceso" (Credentials) con valores: Muy compleja , compleja, débil, predecible.
Muy compleja: No existe viabilidad técnica para obtener, adivinar o descifrar dicha clave a largo plazo.
Compleja: Existe una posibilidad de que la clave se pueda adivinar, o descifrar a medio plazo.
Débil: Un ataque orientado a la adivinación o descifrado de claves de acceso podría obtenerla a corto plazo.
Predecible: La contraseña no existe, es trivial, o puede adivinarse en base a otros parámetros operativos.
Este sistema de clasificación de riesgos, compatible con CVSS, se ha denominado CWSS (Common Wireless Security Scoring)
OWISAM (13 de mayo, 2018). CWSS [Archivo de imagen]. Recuperado el 15 diciembre, 2020 desde https://www.owisam.org/index.php/CWSSPage updated
Report abuse