Recolección de información en un pentest parte 2

El camino hacia la eCPPT

 

22 de Mayo del 2017

Ocupemos los mapas mentales para poder ordenar nuestra información obtenida en nuestro pentest. Sigamos la metodología propuesta en el PTP v4.

Tal como vimos en el post anterior  es muy importante la forma en la que almacenamos la información recolectada. En este caso revisaré el uso de mapas mentales para registrarla. Se puede utilizar en conjunto con la estrategia vista anteriormente o incluso como alternativa.

Qué herramientas recomiendo para trabajar los mapas mentales:

  1. Freemind. Excelente herramienta open source y gratis desarrollada en java.
  2. Xmind. Una aplicación más pro que Freemind, pero con un uso limitado para su versión Free.
  3. GoConqr. Una plataforma online con excelentes herramientas para el estudio entre las cuales se consideran los mapas mentales. Su versión free te obliga a compartir de manera pública los recursos y por lo tanto pensando en un pentest, no podría utilizarse por temas de privacidad.

Ventajas de utilizar mapas mentales:

  • Los datos quedan jerarquizados de manera visual.
  • Se puede agregar información complementaria a través de comentarios, iconos e imágenes.
  • Podemos agregar a nuestro reporte la imagen del mapa, ya que será bastante claro para nuestro cliente.

La estructura sería como la siguiente imagen:

ejemplo-mind-map.png

 

Podemos utilizar como nodos los mismos items que mencionabamos en nuestra entrada anterior, es decir:

  • IPs
  • Dominios
  • Subdominios
  • Puertos
  • Recursos
  • Personas

En el ejemplo de la imagen vemos algunos recursos complementarios que se pueden agregar a un mind map con iconos y relaciones para dejar más explícito de manera visual ciertos aspectos de la información recolectada.

La relación entre las dos metodologías es bastante clara. Quedará en general a gusto de cada uno cuál de las dos utilizar. Si bien los mapas mentales son más rápidos para ingresar y visualizar la información, el uso de una estructura tipo entidad-relación permitirá almacenar mayor información y hacer un análisis más profundo de la misma. Personalmente, los mapas mentales me hacen más sentido para un pentest pequeño a mediano.
Por supuesto que revisaré cómo obtener esta preciada información con el uso de herramientas y técnicas diversas. Pero eso a medida que avance en el curso.

Por el momento, nuestro siguiente paso después de conocer estas dos metodologías y según nuestra hoja de ruta para la eCPPT es saber cómo realizar un reporte. Mantente atento para la próxima entrada que ya se viene.

 

¿Qué te parecen los mapas mentales como herramienta para recolección de información? ¿Preferirías este método o el de relaciones entre entidades?

Saludos!