Você está na página 1de 14

UNIVERSIDAD ANDRS BELLO

FACULTAD DE INGENIERA
INGENIERA EN COMPUTACIN E INFORMTICA

MANUAL DE LA METODOLOGA ABIERTA DE TESTEO DE SEGURIDAD


OSSTMM

Nombre: Juan Vsquez Carrasco


Profesor: Gabriel Bergel

SANTIAGO CHILE
OCTUBRE 2014

ndice
1.- INTRODUCCIN ............................................................................................... 2
2.- HISTORIA .......................................................................................................... 3
3.- ETHICAL HACKING ........................................................................................... 5
4.- PRINCIPALES ETAPAS DE OSSTMM .............................................................. 8
5.- TESTING MS IMPORTANTE ......................................................................... 9
6.- RAV (Valores de Evaluacin de Riesgos) ....................................................... 10
7.- IMPORTANCIA DE APLICAR OSSTMM EN UN ETHICAL HACKING ............ 11
8.- RELACIN CON LA ISO 27008 ...................................................................... 12
9.- CONCLUSIONES ............................................................................................ 13

1.- INTRODUCCIN
La presente investigacin, tiene por objetivo conocer la Metodologa OSSTMM
(Open Source Security Testing Methodology Manual), como uno de los estndares
profesionales ms completos y comnmente utilizados a la hora de revisar la
Seguridad de los Sistemas desde Internet.
Est siendo actualizado constantemente por expertos en el tema de seguridad y
pasa a ser uno de los mejores manuales para pruebas de seguridad y mtrica, que
se enfoca especficamente en los detalles tcnicos a comprobar, qu vigilar
durante el proceso de comprobacin desde la preparacin hasta la evaluacin
post comprobacin y, con un gran nfasis en el cmo deben ser medidos y
evaluados los resultados.
A lo largo de este documento, analizaremos parte de l y haremos algunas
conclusiones de la percepcin que nos ha dejado el documento.

2.- HISTORIA
La primera versin de OSSTMM apareci en Diciembre de 2000, creada por Pete
Herzog, director de ISECOM (Institute for Security and Open Methodologies), en
conjunto con ms de 150 colaboradores directos, adems de la comunidad
mundial de profesionales de la seguridad.
Ha marcado un cambio significativo, a la hora de llevar los testeo de seguridad,
entregando a las personas que realizan dichos testeos, un marco de trabajo que
permite transparencia y calidad en cada uno de los procesos.
Hasta la fecha de la publicacin de OSSTMM, no exista algn documento que
entregara de forma abierta y estandarizada, las diferentes necesidades del
profesional cuando se realiza un testeo de seguridad, o si existan, carecan de
aspectos como el sentido de colaboracin por parte de la propia comunidad de
profesionales, que finalmente, son los grandes colaboradores en la construccin
del OSSTMM.

La siguiente tabla, muestra algunas de las versiones disponibles en internet, y que


nos entregan algunas de las diferencias entre estas y sus principales
caractersticas:
Versin/Fecha
Primera versin
Diciembre 2000

2.1
23 Agosto 2003

Caractersticas
Indicaba los paso que debera hacer un
testeador de seguridad, en su versin
inicial

Las secciones y mdulos todava estn


basados en la versin 2.0. Sin embargo,
esta versin tiende un puente hacia la
nueva estructura de la prxima versin,
3.0.

Cambios
Primera versin

Legibilidad,
estructura
del
documento, las 6 metodologas
fueron
actualizadas,
leyes
actualizadas
y
prcticas
recomendadas, estructuras de
los lineamientos de
accin,
reglas
basadas
en
la
experiencia, cdigo tico de
ISECOM y clculo de RAVs.

2.2
13 Dic. 2006

Esta versin del OSSTMM incluye ms


de la nueva metodologa 3,0

3.0
14 Dic. 2010

Da por terminado las versiones 2.x y las

deja obsoletas

Esta versin incluye las reglas


actualizadas de participacin y
reglas para las auditoras de
certificacin
OSSTMM.
Correcciones
adicionales
incluyen RAV y Tipos de errores
La metodologa fue re-escrita
totalmente,
revisando
minuciosamente cada uno de
sus puntos.
Re-ordenado el Mapa de
Seguridad
Nuevo concepto de dashboards,
que nos permite organizar ms
fcilmente
los
datos
procedentes de los RAVs y
explicarlos mejor.
Se explican mejor y se le da
ms relevancia a los Valores de
la Evaluacin de Riesgo o RAV,
entre otros.

A lo largo de estos aos mucho ha sido el esfuerzo y el trabajo de investigacin


llevado adelante por el equipo de ISECOM, no obstante no muchas han sido las
versiones de carcter pblico, aunque cada una de ellas ha brindado muestras
claras de la direccin que el proyecto deba tomar, siendo esta, una que permitiera
arribar a una metodologa capaz de cubrir las necesidades del profesional de
seguridad y las organizaciones, respecto de las tareas de evaluacin de la
seguridad, siendo capaz a la vez de evolucionar de modo tal que, fuera posible
eliminar la mayor cantidad posible de subjetividades de los test de evaluacin,
brindando de este modo una visin algo ms cientfica de la tarea.

3.- ETHICAL HACKING


Consiste en simular posibles escenarios donde se reproducen ataques de manera
controlada, as como actividades propias de delincuentes cibernticos, tomando la
idea de que para atrapar a un intruso, primero debes pensar como intruso.
Su objetivo principal es explotar las vulnerabilidades existentes en el sistema de
inters, valindose de test de intrusin, que verifican y evalan la seguridad fsica
y lgica de los sistemas de informacin, redes de computadora, aplicaciones web,
bases de datos, servidores, etc. Con la intencin de ganar acceso y demostrar que
un sistema es vulnerable. Esta informacin es de gran ayuda las organizaciones al
momento de tomar las medidas preventivas en contra de posibles ataques
malintencionados.
Para garantizar la seguridad es Informtica, se requiere de un conjunto de
sistemas, mtodos y herramientas destinados a proteger la informacin, es aqu
donde entran los servicios de Ethical Hacking, la cual es una disciplina de la
seguridad informtica que emplea una gran variedad de mtodos para realizar sus
pruebas, estos mtodos incluyen tcticas de ingeniera social, uso de
herramientas de hacking, uso de Metasploits que explotan vulnerabilidades
conocidas, etc. Son vlidas todas las tcticas que conllevan a vulnerar la
seguridad y entrar en reas crticas de las organizaciones.
A travs de estas actividades, es posible detectar el nivel de seguridad interno y
externo de los sistemas de informacin de una organizacin, esto se logra
determinando el grado de acceso que tendra un atacante con intenciones
maliciosas a los sistemas informticos con informacin crtica.

La realizacin de las pruebas de pruebas de penetracin est basada en las


siguientes fases:
1.- Recopilacin de informacin

2.- Descripcin de la red

3.- Exploracin de los sistemas

4.- Extraccin de la informacin

5.- Acceso no autorizado a informacin

6.- Auditora de aplicaciones Web

7.- Elaboracin de informes

8.- Informe final

Las pruebas de penetracin se enfocan principalmente en las siguientes


perspectivas:

Pruebas de penetracin con objetivo: se buscan las vulnerabilidades en


partes especficas de los sistemas informticos crticos de la organizacin.

Pruebas de penetracin sin objetivo: consisten en examinar la totalidad


de los componentes de los sistemas informticos pertenecientes a la
organizacin. Este tipo de pruebas suelen ser las ms laboriosas.

Pruebas de penetracin a ciegas: en estas pruebas slo se emplea la


informacin pblica disponible sobre la organizacin.

Pruebas de penetracin informadas: aqu se utiliza la informacin


privada, otorgada por la organizacin acerca de sus sistemas informticos.
En este tipo de pruebas se trata de simular ataques realizados por
individuos internos de la organizacin que tienen determinado acceso a
informacin privilegiada.

Pruebas de penetracin externas: son realizas desde lugares externos a


las instalaciones de la organizacin. Su objetivo es evaluar los mecanismos
perimetrales de seguridad informtica de la organizacin.

Pruebas de penetracin internas: son realizadas dentro de las


instalaciones de la organizacin con el objetivo de evaluar las polticas y
mecanismos internos de seguridad de la organizacin.

A su vez, cada tipo de pruebas descrito anteriormente se puede ubicar en dos


modalidades dependiendo si el desarrollo de las pruebas es de conocimiento del
personal informtico o no.
Red Teaming: Es una prueba encubierta, es decir que slo un grupo selecto de
ejecutivos sabe de ella. En esta modalidad son vlidas las tcnicas de "Ingeniera
Social" para obtener informacin que permita realizar ataque. sta obviamente es
ms real y evita se realicen cambios de ltima hora que hagan pensar que hay un
mayor nivel de seguridad en la organizacin.
Blue Teaming: El personal de informtica conoce sobre las pruebas. Esta
modalidad se aplica cuando las medidas tomadas por el personal de seguridad de
las organizaciones ante un evento considerado como incidente, repercuten en la
continuidad de las operaciones crticas de la organizacin, por ello es conveniente
alertar al personal para evitar situaciones de pnico y fallas en la continuidad del
negocio.

4.- PRINCIPALES ETAPAS DE OSSTMM


Si bien es cierto, OSSTMM se encuentra seccionada por fases bien definidas que
a su vez, estn divididas cada una para abarcar cada una de las reas
involucradas en la seguridad de la informacin, estas fases principales son:

Seguridad de la Informacin

Seguridad de los Procesos

Seguridad en las Tecnologas de Internet

Seguridad en las Comunicaciones

Seguridad Inalmbrica

Seguridad Fsica

Adems se plantean categorizaciones para identificar el alcance de las pruebas de


testeo en cada una de las reas, como son:
Bsqueda de vulnerabilidades, escaneo de seguridad, test de intrusin, evaluacin
de los riesgos, auditora de seguridad, hacking tico.
Se trata de realizar una medicin del estado de la seguridad en ambiente donde
se desarrollan operaciones, teniendo en cuenta las medidas de seguridad en las
interacciones y las debilidades o vulnerabilidades que stos puedan presentar. Se
define el concepto de seguridad operacional como una combinacin entre
separacin y controles, donde la separacin de una amenaza y el activo,
representa la seguridad total, y en caso de no poder separar la amenaza del
activo, se establecen controles para la proteccin.
Analizando todas estas caractersticas, en mi opinin, todas y cada una de estas
etapas de la Metodologa, tienen el carcter de principales y me justifico en que no
importa el rea, no importa la informacin, no importa la cantidad de personas que
trabajen o existan en un lugar determinado, en cada una de estas reas es
imprescindible dotar de los sistemas de una proteccin que minimice el impacto
que pueda ocasionar una intrusin, aplicando controles en cada una de estas
reas,
Me parece fantstica la idea de separar para brindar la seguridad total y en el caso
de no poder separar, aplicar ms controles para aumentar la proteccin.

5.- TESTING MS IMPORTANTE


Me basar en una apreciacin personal y un concepto que a lo largo de la vida he
aplicado no solo para la seguridad de la informacin, sino que tambin en muchas
reas que no tienen nada que ver con informtica, esto es, el principio de que
cada uno debiera saber lo que exclusivamente le corresponde y, de la mano con
esto, creo que el Testing ms importante es el de Ingeniera social, uno de los test
ms sencillos y con menos requerimientos tcnicos.
Este tipo de ataque, s requiere de conocimientos intelectuales que provean las
herramientas y tcnicas necesarias para capturar la mayor cantidad informacin
de una empresa u organizacin (servidores, contraseas, nmero de telfono,
etc) de los empleados o de la empresa, para posteriormente con estos mismos,
efectuar ataques contra los sistemas.
Volviendo a la primera idea planteada, y contrastando con el segundo prrafo, al
entregar a los usuarios informacin solamente de lo que deben saber para
desarrollar el trabajo y complementando esto con una poltica de seguridad de
entrega de informacin, se disminuye considerablemente el riesgo de que
informacin importante, quede en manos de terceros. Obviamente, los esfuerzos
mayores son aquellos que debemos esperar de las personas que trabajan con la
informacin, ya que si no existe el compromiso de efectivamente poner en prctica
estas polticas, todos nuestros esfuerzos quedarn opacados y harn que
nuestras polticas no sean ms que un montn de papeles con algo escrito.
Es importante tener presente que aquellas medidas de seguridad que se
implementen con procedimientos automatizados o con hardware, son efectivos en
la medida en que se configuren de forma correcta y se les mantenga con un plan
escrito, sin embargo, aquellas medidas de seguridad en que se les instruye a las
personas las polticas de seguridad que se deben aplicar, siempre quedarn al
margen del cumplimiento del personal. Somos lo ms dbil, si de seguridad se
trata.

6.- RAV (Valores de Evaluacin de Riesgos)


Los RAV se encuentran integrados en cada mdulo, definindose como la
elevacin del riesgo en un ciclo especfico, basndose en mejores prcticas en
test realizados de manera peridica.
Las mtricas de seguridad proporcionadas por OSSTMM permiten:

Establecer un ciclo estndar de tiempo para testear.


Mantener en niveles cuantificables los riesgos cuya gravedad cambia con el
tiempo.
Medir el riesgo de forma detallada antes y despus del anlisis.

Factores que definen matemticamente a los RAV:

Grados de degradacin de los mdulos por separado.


Determinar el ciclo de ms duracin requerido para la degradacin total.
Influencia de otros mdulos.
Procesos establecidos por las dimensiones de seguridad.
Tipo de riesgo y si han sido:
o Identificado (no investigado sin resultados concluyentes).
o Verificado (vulnerabilidad explotada o un positivo absoluto).
o No aplicable (no aplicable o mecanismo de seguridad ausente).

Los tipos de Riesgos, que permiten una visin bastante objetiva si se sigue el
marco de trabajo del OSSTMM, se muestran en la siguiente tabla, con los
parmetros para los valores de la Evaluacin de Riesgos:

Vulnerabilidad
Debilidad
Preocupacin
Filtrado de Informacin
Desconocidos

Verificado
3.2
1.6
0.8
0.4
0.2

Identificado
1.6
0.8
0.4
0.2
0.1

No Aplicable
0.4
0.3
0.2
0.1
-

10

7.- IMPORTANCIA DE APLICAR OSSTMM EN UN ETHICAL HACKING


En mi opinin personal, el seguir las recomendaciones propuestas por la
Metodologa OSSTMM y, tomando en cuenta la importancia que el mundo
profesional en el rea de Seguridad le ha dado a esta metodologa, propone una
de las mejores y ms confiables guas con un marco de trabajo que permite
transparencia y calidad en cada uno de los procesos asociados a Ethical Hacking.
El aplicar esta metodologa creo que es lo ms importante dentro de un Ethical
Hacking, ya que divide todas y cada una de las reas que pueden ser afectadas
por intrusin y que, muchos profesionales especialistas en seguridad, han
aportado con informacin valiosa para que esta gua sea lo ms completa posible.
El punto est en que esta metodologa puede proponer actividades a realizar en
cada rea, sin embargo, creo que no asegura 100% que mi sistema informtico no
pueda ser atacado por terceros.
Si bien es cierto, este manual es bastante amplio y detallado en lo que recomienda
o propone, y estando a disposicin de la mayora de las personas, podramos
pensar perfectamente que con ello tenemos las herramientas suficientes para
proteger nuestro sistema, sin embargo, as como nosotros tenemos acceso a
estos documentos, estos tambin llegan a manos de aquellas personas que se
dedican a hacer lo contrario, y perfectamente podran tomas esta gua como un
manual de las cosas que deben vulnerar y en base a lo que se propone, modificar
sus procedimientos, evolucionando y perfeccionando sus tcnicas de intrusin. No
siempre seremos blancos de terceros para intrusin porque quizs nuestro
sistema no sea llamativo para este tipo de actividades, pero no por ello debemos
dejar un sistema sin seguridad, porque no siempre se busca obtener ganancias
monetarias en este tipo de actividades.

11

8.- RELACIN CON LA ISO 27008


ISO 27008 es un estndar que suministra orientacin acerca de la implementacin
y operacin de los controles, es aplicable a cualquier tipo y tamao de empresa,
tanto pblica como privada que lleve a cabo revisiones relativas a la seguridad de
la informacin y los controles de seguridad de la informacin. Supone un valor
aadido y una mejora en la calidad de las normas de la serie ISO 27000.
OSSTMM es un manual que pretende ser una norma y que, finalmente incluye a
diferencia de la norma, orientaciones especficas sobre la verificacin del
cumplimiento relativo a la medicin y evaluacin de riesgos (RAV).
Sin embargo, como se puede apreciar, ambas pretenden orientar en cierta medida
a las organizaciones o empresas pblicas o privadas, a aplicar los controles de
seguridad en sistemas de informacin. Ambas pretender entregar una gua
bastante completa, abarcando cada una de las reas en las que se deben aplicar
controles. Cada una con un cierto grado de precisin.

12

9.- CONCLUSIONES
Si bien es cierto, la lectura de la Metodologa como de la ISO 27008 no se efectu
de forma completa, sino ms bien aquellos puntos que se consideraron ms
relativos e importantes para esta investigacin, esta hace pensar y deja claro que
la seguridad en sistemas informticos no es un tema menor, al que podamos dejar
de prestar atencin cuando trabajamos en un sistema o pertenezcamos a una
empresa que utilice sistemas.
Hacer uso de estas herramientas, nos provee de una base slida para
implementar en nuestras organizaciones, base que puede ayudarnos y sacarnos
de ms de algn problema como desarrolladores de sistemas.

13