OSSTMM

Metodologa Abierta de Testeo de

Seguridad

En un principio

Exista un agente secreto X malvolo que

controlaba la ciudad

Mantena el control de todo

Y de todos

Hasta que apareci

La agente Secreta Z

y con solo 17 aos!!

Agenda

Que provee OSSTMM

Pblico al que va dirigido
Limitaciones
Acreditacin
Lineamientos de Accin
Ventas y Mercadeo
Evaluacin de riesgo
Mapa de la seguridad

Qu es OSSTMM?
Conjunto de reglas y lineamientos para
CUANDO, QUE y CUALES eventos son
testeados.
Copyright, Peter Vincent Herzog.
Institute for Security and Open
Methodologies (ISECOM).
Licencia de Metodologa Abierta (OML).

Qu es OSSTMM?
Cubre solamente el testeo de seguridad
externo.
Provee conceptos de tica profesional.
Pruebas integrales.
Lineamientos precisos a seguir en un test
de seguridad

mbito
Cuando, que y cuales eventos son testeados.
ISECOM Exige que un test de seguridad puede
considerarse OSSTMM si:
Es cuantificable.
Consistente y que se puede repetir.
Vlido ms all del periodo de tiempo actual.
Basado en el merito del testeador y analista, y no en
marcas comerciales.
Exhaustivo.
Concordante con las leyes individuales y locales y el
derecho humano a la privacidad.

Pblico al que va dirigido

Profesionales del testeo de seguridad.
Diseadores, arquitectos y
desarrolladores.

Limitaciones
Si bien OSSTMM se preocupa de
entregar lineamientos para el CUANDO,
QUE y CUALES eventos son testeados.
La metodologa slo cubre testeo de
seguridad externo, es decir, testing
desde un ambiente no privilegiado,
hacia un entorno privilegiado.

Acreditacin
Una planilla de datos de test de seguridad
es necesaria, firmada por los testeadores,
acompaando todos los reportes finales
para obtener un test certificado OSSTMM.
Incluyen cuales mdulos y tareas han sido testeadas
hasta su conclusin.
Cuales no han sido testeados hasta su conclusin y
su justificacin.
Y cuales son los test no aplicables y su justificacin.

Razones del uso de Planillas

Las razones para el uso de planillas de
datos son las siguientes:
Sirve como prueba de un testeo de OSSTMM
minucioso.
Responsabiliza al testeador por el test.
Es una declaracin precisa al cliente.
Brinda una apropiada visin general.
Suministra una lista de comprobacin clara para el
testeador.

Sellos de informe

Este test ha sido ejecutado con OSSTMM disponible en

http://www.osstmm.org y mediante este sello se afirma que est
Dentro de las mejores prcticas de se testeo de seguridad.

Lineamientos de Accin
Ventas y Mercadeo
Miedo infundado.
Ofrecer servicios gratuitos a cambio de fallar en el test
o entregar premios del objetivo estn prohibidos.
Competencias de hacking, cracking y violacin de
sitios, estn prohibidos.
Ejecutar test de seguridad sin permiso.
Usar nombre de clientes previos.
Asesora acertada, aun cuando se deba desviar a otra
compaa.

Lineamientos de Accin
Contratos y negociaciones:
No divulgacin.
Explicar claramente los lmites y peligros de un anlisis de
seguridad.
Especificar el origen de las pruebas (anlisis remoto).
Incluir informacin de contacto en caso de emergencia.
Permisos claros y especficos para anlisis que involucre
fallas de supervivencia, negacin de servicios, anlisis de
procesos o ingeniera social.
Contener los procesos para contratos futuros y cambios en
las condiciones de trabajo.

Lineamientos de Accin
mbito:
Claramente definido.
Explicar claramente los lmites del anlisis de
seguridad.

Plan de trabajo
Incluir tiempo calendario como horas hombre.
Incluir horas de anlisis.

Lineamientos de Accin
Entregar reglas del contrato al cliente
No se permiten cambios de red inusuales durante
el anlisis.
El cliente debe notificar slo al personal clave,
para evitar aumentos en la seguridad (trampa).
Para pruebas con privilegios, se debe proveer de
mecanismos de acceso independientes. Con
privilegios tpicos.
Primero testear sin privilegios y luego con los
permisos otorgados.

Test
Para la realizacin de los test los analistas deben
conocer su herramientas.
No realizar pruebas de negacin de servicios sin
permiso explicito.
Para la Ing. Social se deben realizar encuestas
annimas a personal no especializado.
Las vulnerabilidades de alto riesgo se deben informar de
inmediato con una solucin prctica.
Prohibida la denegacin de servicios distribuida (DDOS).
Prohibido todo tipo de ataques por inundacin o
saturacin.

Informes
Los informes debe incluir una solucin prctica.
Se deben incluir los hallazgos desconocidos e
informarse como tales.
Se deben especificar todos los estados de
seguridad encontrados, no solo las medidas de
seguridad fallidas.
Usar indicadores cualitativos, basndose en
formulas matemticas y no en la intuicin.
Confirmar la recepcin del informe.
Los canales para la entrega de informes deben
ser confidenciales.

Mapa de seguridad

Las secciones del manual de OSSTMM son:

1. Seguridad de la informacin
2. Seguridad de los procesos.
3. Seguridad de las tecnologas de Internet.
4. Seguridad de las comunicaciones.
5. Seguridad inalmbrica.
6. Seguridad fsica.

Seguridad
Procesos
Seguridad
Fsica
Seguridad de la Informacin
S
Com eguri
uni dad
cac
io n
es

Seguridad
Inalmbrica

d
a
d
i
ur rnet
g
e
S Inte
.
c
e
T

Evaluacin de Riesgo
Es mantenida por el analista.
Toda la informacin se considera vlida,
para proveer una evaluacin de riesgo
vlida.
El riesgo significa que todos los lmites de
la presencia de seguridad tendrn un
efecto perjudicial en la gente.

Seguridad perfecta
En la seguridad perfecta los analistas
calibran con el cliente que se puede
considerar seguridad perfecta.
Mejores prcticas.
Regulaciones en la industria del cliente.
La poltica de seguridad del cliente y los
asuntos legales.
Se puede comparar el estado actual de
seguridad y la seguridad perfecta

Valores de evaluacin de riesgo

Los valores de evaluacin de riesgo (RAV), se

definen como la degradacin de la seguridad
sobre un ciclo de vida especfico.
Se debe basar en las mejores prcticas para
test peridicos.
Estn definidos matemticamente.
Clasificaciones de tipo de riesgo:
a. Identificados
b. Verificado
c. No aplicable

Consideraciones finales
Existen otras vas de intrusin
Seguridad integral a travs de estndares
p.e. ISO 27000, BSC 7799 etc.
Pueden verificarse otras reas operativas
de seguridad paralelamente.

Preguntas

Ms informacin
Pgina de InfoClan
http://www.infoclan.cl

Pagina oficial OSSTMM

http://www.osstmm.org

Penetration framework testing

http://www.infosecwriters.com/text_resouces/
pdf/PenTest_Toggmeister.pdf

Juan Rodrigo Anabaln R.

Ingeniero (E) en Informtica
Lic. en Ciencias de la Ingeniera
Estudiante de Magster en Ingeniera Informtica
Subdirector de InfoClan http://www.infoclan.cl
ISSA-Chile Chapter Member http://www.issa.org
Blog: http://deoxy.spaces.live.com
jranabalon@yahoo.es