Scribd Logo
Upload

Welcome to Scribd!

  • Osstmm V3

    Uploaded by

    Joseph Alfaro Soto
    365 views31 pages
    MODELO DE TESTEO

    Original Title

    OSSTMM V3

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    MODELO DE TESTEO

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    365 views31 pages

    Osstmm V3

    Uploaded by

    Joseph Alfaro Soto
    MODELO DE TESTEO

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 31

    OSSTMM

    Metodologa Abierta de Testeo de Seguridad

    En un principio

    Exista un agente secreto X malvolo que controlaba la ciudad

    Mantena el control de todo

    Y de todos

    Hasta que apareci

    La agente Secreta Z

    y con solo 17 aos!!

    Agenda
    Que provee OSSTMM Pblico al que va dirigido Limitaciones Acreditacin Lineamientos de Accin Ventas y Mercadeo Evaluacin de riesgo Mapa de la seguridad

    Qu es OSSTMM?
    Conjunto de reglas y lineamientos para CUANDO, QUE y CUALES eventos son testeados. Copyright, Peter Vincent Herzog. Institute for Security and Open Methodologies (ISECOM). Licencia de Metodologa Abierta (OML).

    Qu es OSSTMM?
    Cubre solamente el testeo de seguridad externo. Provee conceptos de tica profesional. Pruebas integrales. Lineamientos precisos a seguir en un test de seguridad

    mbito
    Cuando, que y cuales eventos son testeados. ISECOM Exige que un test de seguridad puede considerarse OSSTMM si:
    Es cuantificable. Consistente y que se puede repetir. Vlido ms all del periodo de tiempo actual. Basado en el merito del testeador y analista, y no en marcas comerciales. Exhaustivo. Concordante con las leyes individuales y locales y el derecho humano a la privacidad.

    Pblico al que va dirigido


    Profesionales del testeo de seguridad. Diseadores, arquitectos y desarrolladores.

    Limitaciones
    Si bien OSSTMM se preocupa de entregar lineamientos para el CUANDO, QUE y CUALES eventos son testeados. La metodologa slo cubre testeo de seguridad externo, es decir, testing desde un ambiente no privilegiado, hacia un entorno privilegiado.

    Acreditacin
    Una planilla de datos de test de seguridad es necesaria, firmada por los testeadores, acompaando todos los reportes finales para obtener un test certificado OSSTMM.
    Incluyen cuales mdulos y tareas han sido testeadas hasta su conclusin. Cuales no han sido testeados hasta su conclusin y su justificacin. Y cuales son los test no aplicables y su justificacin.

    Razones del uso de Planillas


    Las razones para el uso de planillas de datos son las siguientes:
    Sirve como prueba de un testeo de OSSTMM minucioso. Responsabiliza al testeador por el test. Es una declaracin precisa al cliente. Brinda una apropiada visin general. Suministra una lista de comprobacin clara para el testeador.

    Sellos de informe

    Este test ha sido ejecutado con OSSTMM disponible en http://www.osstmm.org y mediante este sello se afirma que est Dentro de las mejores prcticas de se testeo de seguridad.

    Lineamientos de Accin
    Ventas y Mercadeo
    Miedo infundado. Ofrecer servicios gratuitos a cambio de fallar en el test o entregar premios del objetivo estn prohibidos. Competencias de hacking, cracking y violacin de sitios, estn prohibidos. Ejecutar test de seguridad sin permiso. Usar nombre de clientes previos. Asesora acertada, aun cuando se deba desviar a otra compaa.

    Lineamientos de Accin
    Contratos y negociaciones:
    No divulgacin. Explicar claramente los lmites y peligros de un anlisis de seguridad. Especificar el origen de las pruebas (anlisis remoto). Incluir informacin de contacto en caso de emergencia. Permisos claros y especficos para anlisis que involucre fallas de supervivencia, negacin de servicios, anlisis de procesos o ingeniera social. Contener los procesos para contratos futuros y cambios en las condiciones de trabajo.

    Lineamientos de Accin
    mbito:
    Claramente definido. Explicar claramente los lmites del anlisis de seguridad.

    Plan de trabajo
    Incluir tiempo calendario como horas hombre. Incluir horas de anlisis.

    Lineamientos de Accin
    Entregar reglas del contrato al cliente
    No se permiten cambios de red inusuales durante el anlisis. El cliente debe notificar slo al personal clave, para evitar aumentos en la seguridad (trampa). Para pruebas con privilegios, se debe proveer de mecanismos de acceso independientes. Con privilegios tpicos. Primero testear sin privilegios y luego con los permisos otorgados.

    Test
    Para la realizacin de los test los analistas deben conocer su herramientas. No realizar pruebas de negacin de servicios sin permiso explicito. Para la Ing. Social se deben realizar encuestas annimas a personal no especializado. Las vulnerabilidades de alto riesgo se deben informar de inmediato con una solucin prctica. Prohibida la denegacin de servicios distribuida (DDOS). Prohibido todo tipo de ataques por inundacin o saturacin.

    Informes
    Los informes debe incluir una solucin prctica. Se deben incluir los hallazgos desconocidos e informarse como tales. Se deben especificar todos los estados de seguridad encontrados, no solo las medidas de seguridad fallidas. Usar indicadores cualitativos, basndose en formulas matemticas y no en la intuicin. Confirmar la recepcin del informe. Los canales para la entrega de informes deben ser confidenciales.

    Mapa de seguridad
    Las secciones del manual de OSSTMM son: 1. Seguridad de la informacin 2. Seguridad de los procesos. 3. Seguridad de las tecnologas de Internet. 4. Seguridad de las comunicaciones. 5. Seguridad inalmbrica. 6. Seguridad fsica.

    Seguridad Procesos Seguridad Fsica Seguridad de la Informacin


    S Com eguri uni dad cac io n es

    Seguridad Inalmbrica

    d a d i ur rnet g e S Inte . c e T

    Evaluacin de Riesgo
    Es mantenida por el analista. Toda la informacin se considera vlida, para proveer una evaluacin de riesgo vlida. El riesgo significa que todos los lmites de la presencia de seguridad tendrn un efecto perjudicial en la gente.

    Seguridad perfecta
    En la seguridad perfecta los analistas calibran con el cliente que se puede considerar seguridad perfecta. Mejores prcticas. Regulaciones en la industria del cliente. La poltica de seguridad del cliente y los asuntos legales. Se puede comparar el estado actual de seguridad y la seguridad perfecta

    Valores de evaluacin de riesgo


    Los valores de evaluacin de riesgo (RAV), se definen como la degradacin de la seguridad sobre un ciclo de vida especfico. Se debe basar en las mejores prcticas para test peridicos. Estn definidos matemticamente. Clasificaciones de tipo de riesgo:
    a. Identificados b. Verificado c. No aplicable

    Consideraciones finales
    Existen otras vas de intrusin Seguridad integral a travs de estndares p.e. ISO 27000, BSC 7799 etc. Pueden verificarse otras reas operativas de seguridad paralelamente.

    Preguntas

    Ms informacin
    Pgina de InfoClan
    http://www.infoclan.cl

    Pagina oficial OSSTMM


    http://www.osstmm.org

    Penetration framework testing


    http://www.infosecwriters.com/text_resouces/ pdf/PenTest_Toggmeister.pdf

    Juan Rodrigo Anabaln R.


    Ingeniero (E) en Informtica Lic. en Ciencias de la Ingeniera Estudiante de Magster en Ingeniera Informtica Subdirector de InfoClan http://www.infoclan.cl ISSA-Chile Chapter Member http://www.issa.org Blog: http://deoxy.spaces.live.com jranabalon@yahoo.es

    You might also like