METODOLOGIA OSSTMM PARA TESTE DE SEGURANA EM TI

Edilberto Silva1, Idalncio Machado2, Marconi Oliveira2, Roberto Amorim2

1
2

Docente da disciplina Projeto de Gesto da Segurana da Informao

Ps-graduandos do Curso MBA em Gesto de Segurana da Informao da UniDF/ICAT

E-mails: edilms@yahoo.com; idalencio@superig.com.br; marconi_souza@yahoo.com.br; amorim.roberto1@gmail.com

Resumo Este artigo apresenta uma breve contextualizao da metodologia open source de Teste de Segurana OSSTMM em sua verso
mais estvel 2.2. O Open Source Security Testing Methodology Manual um documento elaborado pelo ISECOM1 que apresenta uma
metodologia cientfica para o planejamento, execuo e verificao (relatrios) de testes de segurana em ambientes de TI. Pode ser usado
como referncia independentemente do tipo e da forma do teste escolhido pela organizao-alvo. A ltima fase do PDCA (Agir) no
contemplada na metodologia, pois se refere avaliao dos resultados encontrados e reportados nos relatrios de teste, tarefa eminentemente
de responsabilidade da organizao, que deve lanar mo de suas solues de Gesto de Segurana da Informao para adoo das melhorias
propostas.
Palavras-chave Teste de Segurana; OSSTMM; PGSI; PenTest; Hacking tico.

Institute for Security and Open Technologies organizao de pesquisa de segurana cientfica, colaborativa, aberta e sem fins lucrativos registrada na
Catalunha, Espanha, e em NY, EUA.

1
Introduo
O termo Teste de Segurana quando aplicado no
escopo da Segurana de TI pode assumir vrios significados
isoladamente ou ento embarcar alguns deles em uma
espcie de pacote. Sua definio semntica quais tipos e
formas de testes a serem usados depende dos objetivos e
requisitos escolhidos pela organizao.
Entretanto, pacfica a importncia desse processo
dentro da Gesto da Segurana da Informao, na medida
em que proporciona um mapeamento da postura de
segurana quanto s vulnerabilidades, ameaas e riscos, e
em conseqncia, possibilita a efetiva conformidade e
adequao s melhores prticas, quando e no que for
aplicvel.
Porm, para qu o uso de uma metodologia? Um Teste
de Segurana que no segue metodologia cientfica no
possui direcionamento nem apresenta resultados claros e de
valor mensurvel [1].
Neste sentido, em 2000, foi criada por Pete Herzog a
metodologia de Teste de Segurana OSSTMM Open
Source Security Testing Methodology Manual. Atualmente,
o desenvolvimento do documento, em sua verso estvel
2.2, conta com a colaborao de diversos profissionais da
comunidade de segurana.
O OSSTMM um documento de pesquisa cujo
contedo pode ser aplicado e distribudo livremente, desde
que sem fins lucrativos, sob a OML Open Methodology
License; o caso de uso comercial sujeito a restries de
licena e deve ser solicitado ao ISECOM. Esta metodologia
no se preocupa com o tipo de teste efetivamente escolhido,
tampouco com o porte da organizao ou de suas
tecnologias e protees em uso. Seu objetivo primordial
apresentar um padro metodolgico prtico e consistente de
verificao e avaliao (com uso de mtricas) da presena
de segurana2 operacional da empresa, alm da proposio
de controles apropriados depois dos resultados encontrados.
Ainda se compromete a listar regras de compromisso para
garantir aos aplicadores do teste doravante auditores
2

Ambiente de um Teste de Segurana (pontos de risco)

uma anlise imparcial e lgica, bem como procura

apresentar um padro para certificao dos relatrios de
auditoria de segurana [1].
Baseando-se na estrutura de um Projeto de Gesto de
Segurana da Informao PGSI, mostrada na Figura 1,
pode-se situar o Teste de Segurana nas fases de Execuo
(5 etapa) e de Verificao/Ao em um momento inicial, e
como suporte para as fases de Concepo, de Planejamento
(3 etapa) e de Execuo (4 etapa) em um momento
posterior, quando o ciclo realimentado.

Figura 1: Ciclo PGSI

Considerando o ciclo de qualidade do PDCA Figura

2, normatizado na ISO 9001 e usado tambm para a Gesto
de Segurana da Informao pela NBR/ISO 17799:2005, o
processo do Teste de Segurana deve abordar elementos da
fase de Planejamento (Pr-Teste), de Execuo (Teste) e
Verificao (Ps-Teste). A fase de Ao fica a cargo da
organizao que solicitou o teste, que julgar a
1

aplicabilidade das recomendaes resultantes e expressas no

Ps-Teste, de acordo com suas diretrizes estratgicas.
Este artigo abordar essas trs fases do Teste de
Segurana na viso da metodologia OSSTMM, ou seja:
- FASE I: Pr-Teste (Planejamento)
- FASE II: Teste (Execuo)
- FASE III: Ps-Teste (Verificao)

tempo e custo, como mostra a Figura 4. As formas de teste

so independentes dos tipos de teste, apresentados na Figura
3. A princpio, quando escolhida uma forma de teste, podese adotar qualquer abordagem (tipo) para o teste, a depender
tambm dos requisitos adotados pela organizao-alvo.
Vale observar que os termos apresentados no grfico
geram controvrsias inclusive entre os profissionais de
segurana especializados. Um Teste de Segurana metdico
difere-se de um PenTest Teste de Intruso. No primeiro, o
auditor tem uma base de dados com os ataques atuais
conhecidos e tenta explorar falhas no ambiente da empresaalvo at conseguir sucesso. No segundo, o auditor combina
criatividade, base de conhecimento das melhores prticas e
das ameaas conhecidas, e a amplitude da presena de
segurana da empresa-alvo. Neste caso, h a tentativa de
explorao das falhas previsveis em seus extremos e
das imprevisveis com o uso das melhores prticas contra
os cenrios de pior caso.

Figura 2: Ciclo PDCA

Segundo o manual [1], a metodologia OSSTMM pode

ser utilizada para diversos tipos e formas de Teste de
Segurana. A classificao adotada no manual, mostrada na
Figura 3, aborda seis tipos comuns, cujos critrios so os
nveis de conhecimento do auditor e do(s) alvo(s). Por
exemplo, no Blind, o auditor no tem conhecimento prvio
do ambiente da organizao-alvo, mas o alvo conhece todos
os detalhes do teste e do auditor. J no Reversal, o auditor
tem total conhecimento do alvo e dos seus processos,
enquanto a organizao-alvo no sabe quais os testes, nem
quando e como eles sero executados.
A escolha do teste mais conveniente a ser aplicado
depender das necessidades da organizao e da negociao
com o auditor. Muitas vezes, realizado mais de um tipo de
teste, a fim de comparar os resultados e avaliar desvios da
postura base de segurana da organizao.

Figura 4: Formas de Teste de Segurana

O OSSTMM define as sete formas de Teste de

Segurana da seguinte maneira:
1. Varredura de Vulnerabilidade
verificaes
automatizadas de vulnerabilidades conhecidas
contra um ou mais sistemas em uma rede;
2. Varredura de Segurana
varreduras de
vulnerabilidades que incluem verificao manual
de falso positivo, identificao de fraquezas na
rede, e anlise profissional customizada;
3. Teste de Intruso ou Invaso (PenTest)

projeto orientado ao objetivo de estabelecer o
trofu3 e tentar ganhar acesso privilegiado por
meios pr-condicionais;
4. Avaliao dos Riscos
anlise de segurana por
meio de entrevistas e pesquisas estratgicas que
incluem requisitos de negcio, legais e
regulamentares (rea de atuao da empresa);
5. Auditoria de Segurana
inspeo de
segurana manual, de nvel privilegiado, do sistema
operacional e das aplicaes de um ou mais
sistemas em uma rede;

Figura 3: Tipos de Teste de Segurana

Ainda de acordo com o manual, pode-se classificar as

formas de Teste de Segurana de acordo com os quesitos de

3
Trofu: Snapshot ou retrato da segurana de um ativo da organizao
(tecnologia, pessoas ou processos).

Hacking tico
PenTest cujo objetivo

descobrir diversos trofus por toda a rede dentro
de um limite de tempo predeterminado no projeto;
7. Teste de Segurana, e o equivalente militar
Avaliao de Postura
avaliao de riscos de
sistemas e redes, orientada a projetos, que usa
como meio anlise profissional de uma varredura
de segurana em que a intruso freqentemente
usada para confirmar falsos positivos e falsos
negativos dentro do prazo do projeto.
Assim como o tipo de teste, a escolha da forma do
Teste de Segurana depende das necessidades e dos
requisitos de segurana da organizao-alvo, principalmente
os relacionados a tempo e custo de sua aplicao.
6.

FASE I: Pr-Teste

2.1

Conformidade
Conformidade o alinhamento com um conjunto de
polticas e normas gerais, cujo tipo depende da localidade
(pas, estado, cidade), do tipo de negcio, do setor
regulamentador e/ou regulatrio, e das polticas da
organizao. Apesar de ser teoricamente obrigatrio, o
investimento em certo tipo de conformidade, como qualquer
outra ameaa, deve ter sua viabilidade estudada na avaliao
dos riscos.
O OSSTMM trabalha com trs tipos de conformidade
[1]:
- Legislao: conformidade com a legislao de
acordo com a regio de sua aplicabilidade. A fora e
o cumprimento das leis originam-se na sua
popularidade e em argumentos legais bem-sucedidos
e medidas executrias apropriadas. Seu nocumprimento pode ocasionar ao infrator penas
criminais.
- Regulao: conformidade com normas industriais,
comerciais ou do setor de atuao da empresa. Seu
no-cumprimento pode acarretar ao infrator: sada do
setor, perda de privilgios, multas, penas civis, e em
alguns casos, onde a legislao existe para suportar o
corpo regulador, penas criminais.
- Poltica: conformidade com o negcio da
organizao e suas polticas. Pode incluir tambm as
melhores prticas do mercado, principalmente as de
Segurana da Informao. Seu no-cumprimento
pode provocar ao infrator: sada da organizao,
perda de privilgios, multas, penas civis, e em alguns
casos, onde a legislao existe para suportar o corpo
regulador, penas criminais.
O desenvolvimento do OSSTMM pauta-se na
preocupao com legislao e regulao, principalmente as
da Europa e EUA. Como nem toda conformidade criada
igualmente, o foco principal do OSSTMM a Segurana da
Informao.
Como a legislao e a regulao podem ser auditadas
tanto sob a letra quanto sob o esprito da lei, dependendo do
corpo de auditoria, a prova da aplicao de proteo e de
controles operacionais adequados, como os que podem ser
provados por um teste OSSTMM, pode ou no ser
satisfatria.

Em casos de legislao e regulao sem concretude

prvia, no se pode saber se a letra da lei triunfar o esprito
da lei. Portanto, o OSSTMM tambm foi desenvolvido para
descobrir onde elementos de servios e produtos especiais
podem ser determinados, como saber se uma outra auditoria
obrigatria mostrar conformidade. Nesse sentido, pode-se
aplicar a letra e o esprito da lei sempre que possvel e os
dois no conflitaro.
Alguns exemplos de leis respeitadas pelo OSSTMM
so a GLBA4, SOX e a HIPAA5 (EUA), e a UK Data
Protection Act 1998 (Reino Unido). Aquelas ainda no
analisadas tambm devem ser seguidas por esta
metodologia, ao menos no esprito da lei. J referente s
polticas, o OSSTMM adequa-se ISO 17799:2000
(BS7799), a algumas normas do NIST6 e IT Information
Library (Reino Unido), entre outras.
2.2

Regras de Compromisso dos envolvidos

Devido natureza mais superficial do artigo, sero
apresentadas apenas algumas regras para o comportamento
das pessoas e empresas envolvidas no planejamento,
execuo e verificao (resultados) dos testes, inclusive no
processo de marketing e venda do trabalho e na elaborao
dos relatrios. (Maiores detalhes no documento [1]).
Essas regras, divididas em sete grupos de processos
listados abaixo so como um cdigo de tica e conduta
operacional cujo cumprimento obrigatrio na realizao
de um teste que usa o OSSTMM.
1. Marketing e Venda
 O uso de medo, incerteza, dvida e engano no
pode ser usado nas apresentaes, stios web,
materiais de suporte, relatrios, ou discusses
referentes a marketing e venda, com o propsito
de vender e realizar testes de segurana. Isso
inclui, mas no est limitado a, usar crimes, fatos,
perfis hacker ou criminais glorificados, e
estatsticas, no verificados pessoalmente com a
motivao do medo para criar vendas.
2. Avaliao / Estimativa da Entrega
 proibido verificar limitaes de segurana sem
permisso escrita explcita.
3. Negociaes e Contratos
 Com ou sem contrato de Acordo de NoRevelao, o auditor de segurana deve prover
confidencialidade
e
no-revelao
das
informaes do cliente e dos resultados dos
testes.
4. Definio do Escopo
 O escopo deve ser claramente definido em
contrato antes de se verificarem servios
vulnerveis.
5. Plano de Teste
 O plano de Teste deve incluir o tempo
(calendrio) e os homens-hora.
6. Processo de Teste
4
5
6

U.S. Gramm-Leach-Bliley Act [11]

Health Insurance Portability and Accountability Act of 1996 [12]
National Institute of Standards and Technology [13]

 O auditor deve respeitar e manter segurana,

sade, bem-estar e privacidade do pblico interno
e externo ao escopo.
7. Apresentao dos Resultados (Relatrios)
 O auditor deve respeitar a privacidade de todos
os indivduos e manter a privacidade deles para
todos os resultados.
2.3

Avaliao dos Riscos

A avaliao dos riscos mantida tanto pelo aplicador
do teste auditor quanto pelo analista (podem ser a
mesma pessoa) para todos os dados coletados, visando dar
suporte a uma avaliao vlida por meio de teste noprivilegiado. Isto implica que se forem coletados poucos ou
imprprios dados, ento talvez no seja possvel prover uma
avaliao de risco vlida. O auditor deve, portanto, confiar
nas melhores prticas, nas regulaes industriais ou
comerciais do cliente, na poltica de segurana do cliente, e
em assuntos legais referentes ao cliente e a sua regio de
negcio. [1]
O OSSTMM considera o risco como sendo aqueles
limites na presena de segurana que tm efeito negativo em
pessoas, cultura, processos, negcio, imagem, propriedade
intelectual, direitos legais, ou capital intelectual. O manual
mantm quatro dimenses no Teste de Segurana para um
ambiente de risco mnimo:
Segurana (segurana fsica e emocional das
pessoas);
Privacidade (tica e cultura, algo alm da
legislao);
Senso Prtico (complexidade mnima, viabilidade
mxima e clareza profunda);
Usabilidade (segurana prtica, usvel).
A tcnica aplicada pelo OSSTMM para a avaliao dos
riscos a chamada Segurana Perfeita. Para encontrar a
Segurana Perfeita da organizao-alvo ou do cliente, o
auditor e o analista levantam alguns requisitos e documentos
relacionados empresa, ao seu mercado de atuao e
legislao vigente. Como exemplo, tem-se a Reviso de
Postura (melhores prticas), as regulaes comerciais e
industriais, os requisitos de negcio, a poltica de segurana,
e as questes legais e comerciais de certa regio. A partir
disso, eles realizam uma anlise gap (diferencial ou delta)
entre o estado atual da segurana da organizao e a
Segurana Perfeita.
importante frisar que o resultado do levantamento o
qual define a Segurana Perfeita individual para cada
cliente e deve ser o mais profundo possvel, para garantir
uma boa avaliao dos riscos e servir de benchmark para as
outras fases do teste. E outra questo emanada seria: existe
efetivamente segurana perfeita? Talvez, por causa dessa
dvida, este termo esteja entre aspas nas suas aparies. De
qualquer forma, o manual apresenta um modelo terico que
abrange Servios e Gateway de Internet, Computao
Mvel, Aplicaes, e Pessoas.
2.4

Mtricas de Segurana
As mtricas de segurana so indicadores importantes
do real estado da segurana (presena de segurana) da
organizao. Uma auditoria de segurana minuciosa resulta

em mtricas objetivas, acuradas e efetivas. Ademais, o

sucesso no uso das mtricas no pode depender de
habilidade, nvel de conhecimento e experincia do auditor
e do analista na identificao e anlise dos dados coletados,
por serem critrios subjetivos e mais suscetveis a erros
como falso positivo, falso negativo, erro de amostragem e
erro humano.
A metodologia define e quantifica trs reas dentro do
escopo definido (I) Operaes, (II) Controles, e (III)
Limitaes. Essa abordagem envolve o clculo de hashes,
os chamados RAVs (Risk Assessment Value) das trs reas
separadamente, que so combinados para formar o quarto
hash, chamado Segurana Real. Este RAV ser a mtrica
final para comparaes futuras. importante dizer que a
mudana do escopo acarretar um novo clculo da
Segurana Real.
O RAV usado como mtrica objetiva, consistente e
repetvel, que no se preocupa com a pessoa do auditor.
Com isso, mesmo no sendo uma avaliao de riscos
propriamente dita, ele pode ser usado como base efetiva
para a avaliao de riscos completa da organizao.
Cada uma das trs reas citadas engloba diversos
requisitos que devem ser medidos dentro do escopo
definido. O quadro abaixo apresenta esses requisitos, mas
no faz parte do escopo deste artigo mostrar
desenvolvimento dos clculos de cada um e das reas.
Tabela 1: RAV

Operaes
S
E
G
U
R
A
N

A
R
E
A
L

Classe
A
(interativo)

Controles

Classe
B
(processo)

Limitaes

Visibilidade
Confiana
Acesso
Autenticao
Identificao
Subjugao
Continuidade
Resilincia
No-repdio
Confidencialidade
Privacidade
Integridade
Alarme
Vulnerabilidade
Fraqueza
Preocupao
Exposio
Anomalia

Para se encontrar o delta da Segurana Real, o valor

resultante da soma dos itens da rea Controles deve ser
subtrado do valor resultante da soma dos itens da rea
Operaes e do valor resultante de uma frmula
especfica dos itens da rea Limitaes. O nvel RAV da
Segurana Real dado em porcentagem pela subtrao do
valor ideal de 100%, correspondente ao nvel de Segurana
Perfeita, do delta da Segurana Real.
Na referncia [4], pode ser consultada a planilha com
todas as frmulas envolvidas neste processo de clculo de
mtricas e dos RAVs.

FASE II: Teste

3.1

Mapa de Segurana
O Mapa de Segurana uma visualizao da presena
de segurana da organizao e divide-se em seis sees de
teste, que so as sees do manual e cujas inter-relaes so
mostradas na Figura 5.

comunicao da organizao-alvo, como fax, VoIP, modem,

acesso remoto, PABX, e outros.
Uma seo que tem grande destaque ultimamente a de
Segurana Wireless, por ainda ser de pouco interesse das
organizaes, mas que, em contrapartida, pode apresentar
falhas e vulnerabilidades cuja explorao geram grandes
impactos. Nela, so previstos testes de redes WLAN
(802.11), Bluetooth, RFID, e outras.
A sexta e ltima seo refere-se Segurana
Fsica, ou seja, sua atuao engloba testes de permetro, de
controle de acesso fsico, de ambiente, de resposta a
alarmes, de backup/recovery, etc. Enfim, aborda testes dos
recursos de infra-estrutura fsica da organizao e dos
possveis parceiros.
3.2

Metodologia
A metodologia de testes OSSTMM divide-se em
sees, mdulos e tarefas. As sees so os pontos da
segurana abordados no Mapa de Segurana. Os mdulos
so o fluxo da metodologia de um ponto de presena para
outro, e possuem uma entrada e uma sada de dados. A
entrada usada para processar uma tarefa daquele ou de
outro mdulo, e a sada o resultado obtido desta tarefa
completada, que servir para outro(s) mdulo(s) ou outra(s)
seo(es). Cada seo tem relao com outras sees e
com alguns dos respectivos mdulos.
A Figura 6 abaixo ilustra a metodologia.

Figura 5: Mapa de Segurana

Cada seo composta de vrios mdulos, os quais

devem incluir todas as dimenses de segurana, que se
integram em tarefas para serem atingidas. Para realizar um
teste OSSTMM de uma seo em particular, todos os
mdulos relacionados devem ser testados, com exceo
daqueles em que no h infra-estrutura correspondente e,
por isso, no podem ser verificados. Neste caso, deve-se
ento determin-lo NO APLICVEL nos relatrios de
resultados.
Na seo de Segurana da Informao, feita a coleta
da documentao de nvel ttico, como a avaliao da
postura, reviso da integridade e da privacidade da
informao, reviso dos controles e dos recursos humanos.
Isto subsidiar tambm a fase de avaliao dos riscos e de
definio da Segurana Perfeita.
A seo de Segurana de Processos preocupa-se
primordialmente com a questo da Engenharia Social e o
tratamento dado segurana da informao pelo corpo
funcional. Prev testes de postura, de solicitaes aos
empregados e de suas respostas, de sugesto direcionada, e
de pessoas confiveis.
Pode-se dizer que os testes tecnolgicos envolvendo a
Internet so abordados na seo de Segurana de
Tecnologia de Internet. Nela, so executados testes de
varredura de vulnerabilidades na rede, de deteco de
intruso, de controle de acesso, de quebra de senhas, de
ataques DoS, etc.
Na seo de Segurana das Comunicaes, os testes
envolvem a descoberta de falhas nos diversos canais de

Figura 6: Metodologia OSSTMM

A metodologia permite a separao entre a parte de

Coleta de Dados e a parte de Teste de Verificao dos dados
coletados. O fluxo permite tambm determinar o momento
para coleta e o momento para insero desses dados.
Ademais, cada mdulo relaciona-se com seu anterior e
seu posterior, tendo que atender certos resultados esperados.
Um mdulo pode no ter entrada de dados, devendo ser
ignorado no teste. Caso o mdulo no apresente sada, deve
ser verificado o motivo, podendo ser [1]:
 O canal foi obstrudo de alguma forma durante a
realizao das tarefas;
 As tarefas no foram executadas corretamente;
 As tarefas no foram aplicveis;
 Os dados resultantes da tarefa no foram analisados
corretamente;
 A tarefa revela uma segurana superior.
No total, o Teste de Segurana inicia-se com uma
entrada, que pode ser, por exemplo, o endereo IP ou a URL
5

do servidor ou sistema objeto do teste. Ele termina com o

comeo da fase de anlise dos dados e construo do
relatrio final, que depende essencialmente da experincia e
do conhecimento do auditor e dos objetivos traados pela
organizao-alvo.
Em resumo, os elementos da metodologia e suas
caractersticas so:
I. Sees: modelo de segurana dividido em pedaos
gerenciveis e testveis;
II. Mdulos: variveis de teste nas sees, que
requerem uma entrada para realizar as tarefas
internas e externas (de outro mdulo), cuja sada
ser a entrada para o mdulo posterior ou, em
alguns casos, para o anterior;
III. Tarefas: testes de segurana a serem realizados que
dependem da entrada do mdulo e cujos resultados
sero a sada do mdulo.
4
4.1

FASE III: Ps-Teste

Relatrios
Esta fase, de apresentao dos resultados por
intermdio dos relatrios de teste, de fundamental
importncia na realimentao dos ciclos do PDCA e do
PGSI. Os relatrios mostram a realidade da postura de
segurana da organizao-alvo dentro do escopo elaborado.
A partir disso, pode-se reavaliar os trabalhos feitos nas
etapas de Avaliao de Risco e de Seleo dos Controles a
fim de verificar a viabilidade e a conformidade dos
resultados encontrados nos testes com os riscos previamente
endereados. De fato, uma fase essencial na Gesto do
Risco, pois apontar os acertos e erros das avaliaes
anteriores e propor as possveis melhorias nos controles.
Nesta fase, o OSSTMM aponta alguns requisitos a
serem seguidos para garantir a efetividade e a certificao
dos testes.
importante estender aqui as recomendaes expostas
nas Regras de Compromisso, alm do respectivo exemplo
colocado no item 2.2, no que se refere postura do
profissional na elaborao dos relatrios e aos itens formais
e de contedo tidos como premissa. So elas:
O auditor deve respeitar a privacidade de todos os
indivduos e manter a privacidade deles para todos
os resultados;
Resultados envolvendo pessoas no-treinadas em
segurana ou no-pertencentes rea de segurana
somente devem ser reportados por meios noidentificativos ou estatsticos;
O auditor e o analista no podem assinar resultados
de testes e relatrios de auditoria nos quais no
tiveram diretamente envolvidos;
Os relatrios devem se ater ao objeto sem quaisquer
falsidades e maldades direcionadas a pessoas;
Notificaes ao cliente so requeridas sempre que o
auditor alterar o plano de testes ou o local fsico de
origem do teste, descobrir riscos altos antes de
realizar novos testes com alto risco ou trfego,
ocorrerem problemas nos testes, e houver
atualizaes de progresso;

Solues e recomendaes includas no relatrio

devem ser vlidas e prticas;
Os relatrios devem apontar claramente tudo que
desconhecido e anmalo;
Os relatrios devem declarar todos os controles e as
medidas de segurana encontrados, falhos ou bemsucedidos;
Os relatrios devem usar apenas mtricas
quantitativas para medir a segurana. Essas mtricas
devem ser baseadas em fatos e sem interpretaes
subjetivas;
O cliente deve ser notificado quando o relatrio
estiver sendo confeccionado para contar com a
entrega e confirmar seu recebimento;
Todos os canais de comunicao para a entrega do
relatrio devem ser fim-a-fim e confidenciais;
Os resultados e relatrios nunca devem ser usados
para ganho comercial.
O manual apresenta ainda templates de relatrios com
as informaes consideradas indispensveis para qualificlos como do OSSTMM. Alguns exemplos referem-se a
Perfil de Rede, Firewall, IDS, Informao de Servidor,
Engenharia Social, DoS, Reviso de Medidas de Conteno,
Anlise de Confiana, entre outros.
A ttulo de ilustrao das informaes requeridas nos
templates, aquele que reporta o Perfil de Rede deve conter
os seguintes dados: (I) Faixas de IP a serem testadas e seus
detalhes; (II) Informaes do domnio e configuraes; (III)
Pontos focais de transferncia de zona; e (IV) Lista dos
servidores com IP, Domnio e Sistema Operacional.
4.2

Certificao
Alm dos requisitos mencionados no item 4.1 para
certificao dos relatrios e dos testes, o manual apresenta
ainda outros que devem ser seguidos se o auditor pretende
certificar em qualidade e credibilidade seu teste pelo
OSSTMM. Ao executar os testes, ele deve verificar se:
O teste tem sido conduzido minuciosamente,
atentando para todos os detalhes;
O teste inclui todos os canais necessrios;
A postura para o teste inclui a conformidade com
os direitos civis vigentes;
Os resultados so mensurveis em meios
quantitativos;
Os resultados recebidos so consistentes e
repetveis;
Os resultados contm somente fatos derivados dos
prprios testes.
Aps realizar essas anlises e concluir o cumprimento
de todos os requisitos exigidos, o auditor e o analista devem
assinar o Relatrio de Auditoria OSSTMM. Este relatrio,
com uma verso annima do relatrio de auditoria de
segurana, submetido ao ISECOM para reviso, que
prover a certificao oficial OSSTMM.
No necessrio seguir completamente o manual ou
alguma subseo especfica para garantir o teste certificado
e o relatrio credenciado. Precisa apenas mostrar o que foi e
o que no foi testado para ser passvel de certificao [1].

Apesar de a certificao no ser obrigatria para

realizar uma auditoria OSSTMM, existem alguns benefcios
se ela estiver em conformidade com os requisitos, quais
sejam [1]:
- Serve como prova para um teste efetivo;
- Torna o(s) auditor(es) responsvel(is) pelo teste;
- Mostra uma declarao aberta ao cliente;
- Prov uma abordagem mais conveniente que um
sumrio executivo;
- Prov um checklist vlido para o auditor;
- Prov
mtricas
claramente
calculadas
e
compreensveis.
Para a certificao da organizao auditada,
necessrio que ela mantenha o nvel RAV no mnimo em
95% e valide com uma auditoria anual OSSTMM realizada
por um auditor terceiro. Essas validaes precisam da
verificao por parte do ISECOM para garantir a
consistncia e a integridade.
5
Concluso
A deciso de realizar um Teste de Segurana deve ser
considerada e comprada pela organizao na fase de
planejamento de um PGSI ou da Gesto de Segurana de
Informao, preconizada pela ISO 17799. uma soluo
que prov os indicadores para a avaliao da postura de
segurana operacional da empresa, identificando e
analisando as vulnerabilidades e ameaas do negcio, e
conseqentemente, tratando os riscos de forma mais efetiva.
Os relatrios de teste com as melhorias propostas podem ser
usados pelo gestor como base para a fase de Ao (PDCA),
ou seja, de reviso das polticas de segurana e da anlise de
riscos.
O uso de uma metodologia cientfica como o OSSTMM
agrega mais valor a um Teste de Segurana. Proporciona
que este seja melhor planejado, executado seguindo padres
e melhores prticas, e com resultados expressos em
relatrios que podem ser certificados pelo ISECOM. A
metodologia livre OSSTMM garante maior acurcia no
planejamento e execuo dos testes, alm de resultados mais
apropriados, pois se baseia em mtricas de segurana
objetivas e em um mapa de segurana que abrange todas as
reas afetadas pela Segurana da Informao. Com isso, a
viso que a organizao tem da sua presena de segurana
mais realista e consistente.
6
Referncias Bibliogrficas
[1] HERZOG, Pete. OSSTMM 2.2 Open Source Security
Testing
Methodology
Manual.
Disponvel
em:
http://www.isecom.org/osstmm/. Acessado em: out/2007.

[4] SECURITY METRICS RAVs (Risk Assessment Values).

Disponvel
em:
http://www.isecom.org/securitymetrics.shtml. Acessado em:
out/2007.
[5] NBR ISO/IEC 17799 Tecnologia da informao
Tcnicas de segurana Cdigo de prtica para a gesto
da segurana da informao. 2 ed. ABNT, 2005.
[6] FULLERTON, Chuck. The need for Security Testing An
Introduction to the OSSTMM 3.0. Disponvel em:
http://www.securitydocs.com/library/2694. Acessado em:
out/2007.
[7] MELO, Sandro. Executando PENTEST utilizando
Ferramentas Open Source e OSSTMM (Open Source
Security Testing Methodology Manual). Disponvel em:
http://www.4linux.com.br/pdf/pentest20061221.pdf.
Acessado em: out/2007.
[8] INTRUDERS. Por que realizar um PenTest em minha
empresa?
Disponvel
em:
http://www.intruders.org.br/index.html.
Acessado
em:
out/2007.
[9] NEVES, Eduardo Jorge F. S. OSSTMM v2.1.
Disponvel em: http://h2hc.org.br/repositorio/2004/osstmmpt.pdf. Acessado em: out/2007.
[10] ROGER, Denny. Teste de Invaso. Disponvel em:
http://idgnow.uol.com.br/seguranca/mente_hacker/idgcoluna
.2006-12-11.7946072081/. Acessado em: out/2007.
[11] FEDERAL TRADE COMISSION. U.S. GrammLeach-Bliley
Act.
Disponvel
em:
http://www.ftc.gov/privacy/privacyinitiatives/glbact.html.
Acessado em: out/2007.
[12] CENTERS FOR MEDICARE & MEDICAID
SERVICES.
Health
Insurance
Portability
and
Accountability
Act
of
1996.
Disponvel
em:
http://www.cms.hss.gov/HIPAAGenInfo/. Acessado em:
out/2007.
[13] National Institute of Standards and Technology.
Disponvel em: http://www.nist.gov. Acessado em:
out/2007.

[2] WHITAKER, Andrew; NEWMAN, Daniel P.

Penetration Testing and Network Defense. Indianapolis,
EUA: Cisco Press, 2005.
[3] WACK, John; TRACY, Miles; SOUPPAYA, Murugiah.
NIST Special Publication 800-42 Guideline on Network
Security
Testing.
Disponvel
em:
http://csrc.nist.gov/publications/nistpubs/800-42/NISTSP800-42.pdf. Acessado em: out/2007.
7