Open Source Security

Testing Methodology Manual 

Metodologia Open Source para testes de Seguranca em
sistemas 

Por Richardson Lima

p4ck37f1lt3r@gmail.com
 

Palestrante: Richardson Lima . 

 
Já foi membro do grupo de pesquisas avançadas em redes de
computadores da Universidade Federal de Pernambuco. Tem
experiência na área de Computação, com ênfase em
Arquitetura de Sistemas de Computação e Segurança de
sistemas. Trabalhando tanto na área de proteção de
perímetro (firewalls, IDS/IPS) quanto na área de
monitoramento de atividade maliciosa e tratamento de
incidentes.
 

O OSSTMM é um manual sobre testes de segurança

e análises criado por Pete Herzog e fornecido pelo
ISECOM, um instituto sem fins lucrativos cujo foco são
estudos na área de segurança e metodologias.
 
O manual, o OSSTMM como um todo, é gratuito, distribuído
sob a Creative Commons 2.5. " O manual diz, "Todas as
coisas são interligadas, esta metodologia é livre
precisamente porque é melhor assim."
 

 
A versão mais recente, OSSTMM 3, afirma que é "uma
coleção de fatos verificados, que são benéficos e
progressivos para a melhoria da segurança de sistemas
computadorizados.
 
 
ISECOM/OSSTMM Team
 

O OSSTMM também é uma filosofia sobre a segurança

computacional, pois é uma metodologia, afirmando:
 
"Na arte, o resultado final é uma coisa beleza, ao passo que
na ciência, os meios de alcançar o resultado final tem haver
com a beleza. Quando um teste de segurança é uma arte,
então o resultado é incontrolável e põe em causa o valor de
um teste."
 
Uma forma de assegurar se o teste de segurança tem valor
é saber se o teste foi realizado corretamente.
 

A história ...
O OSSTMM começou como um esboço de Pete Herzog feita
durante um passeio de trem para encontrar um meio de
testes de segurança de acordo com o método científico.
 

Quando ele desceu do trem,ele conheceu a sua esposa e lhe

disse: " Eu acho que descobri algo grande".
A primeira versão foi publicada em janeiro de 2001 e tinha
12 páginas. Fazendo um comparativo a versão mais recente,
OSSTMM RC17 3 tem mais de 150 páginas e ainda está
faltando os modelos.
 
 
 

Desde o seu início no final de 2000, a OSSTMM

rapidamente cresceu e abrangeu todos os canais de
segurança e foi comentado por milhares.
The size of security: the evolution and history of
OSSTMM operational security metrics
# ISSUE 6 (March 2006)
 

 Em 2005, a OSSTMM já  não era considerada apenas uma

documentação para melhorias práticas na área de segurança.
Tornou-se uma metodologia para garantir a segurança.
 

As auditorias de segurança se tornaram  gigantescas com o

passar do tempo, a necessidade de uma metodologia sólida
tornou-se algo crítico.
Em 2006, o OSSTMM começou a aplicar testes
baseados  em firewall e routers ajudando muito aos
auditores.
 
 
 
 

Com a versão 3 , o OSSTMM englobou testes de todos os

canais - humanos,físicos,wireless,telecomunicações e redes
de dados.
 
 Um conjunto de métricas de segurança,chamado de Rick
Assessment Values (RAVs),fornecem uma ferramenta
poderosa que pode fornecer uma representação gráfica de
estado,e mostrar as mudanças no estado ao longo do tempo.
 
 
 
 
Penetration Testing or ethical hacking
 

Este integra-se bem com um "painel" de gestão e é benéfico

para ambos os testes internos e externos, permitindo uma
comparação/combinação dos dois.
 
A gestão quantitativa  de riscos pode ser feita a partir do
relatório de resultados de auditoria,proporcionando um
resultado muito melhor devido a resultados mais precidos,
livre de erros.
 
 
 
 
 

O OSSTMM inclui informações para o planejamento do

projeto, quantificação de resultados,e as regras de
engajamento para a realização de auditorias de segurança. 
 
A metodologia pode ser facilmente integrada a leis e
políticas existentes para assegurar uma auditoria de
segurança completa em todos os canais.
 
 
O Que Você Precisa Saber ?
O primeiro capítulo do OSSTMM 3 é chamado What  You
Need To Know. 
 
É uma introdução  a toda a investigação,incluindo a
verificação  das melhores práticas para fazer um teste de
segurança de acordo com um método científico. 
 
 
 

 
O segundo capítulo é chamado What You Need To Do.

Abrange como iniciar um teste de segurança, 7 passos para a

definição do teste, as regras de engajamento para o teste
profissional, um método melhorado de testes chamado Four
Point Process, a hipótese de um teste de segurança chamado
Trifecta, tratamento de erros, auto-avaliações para
controle de qualidade e tratamento de divulgações de
vulnerabilidades.
 

 
A escrita é menos formal do que os documento de pesquisa
acadêmica para se tornar mais acessível a um público mais
vasto.
 
 
 
 

 
Por onde começar? 
 
O teste é um assunto complicado e como uma coisa
complicada, você abordá-lo em pequenos pedaços
compreensíveis para ter certeza que você não cometa erros.
 

 
"A sabedoria convencional diz que a complexidade é um
inimigo da segurança. Entanto, é apenas em contradição com
a natureza humana. Qualquer coisa que se torna mais
complexo não é inerentemente inseguro. 
 

 
 Considere um computador que controla tarefas complexas.
O problema, como sabemos, não é que o computador vai
errar, confundir as tarefas, ou esqueçer de preencher
alguma documento. Quanto mais tarefas são adicionados ao
computador, ele fica mais lento e mais lento, levando mais
tempo para concluir todas as tarefas. Pessoas, no entanto,
cometem erros, esquecem-se as tarefas, e proposit
 

Pessoas, no entanto, cometem erros, esquecem-se as

tarefas, e de forma proposital abandonam as tarefas que
não são importantes ou necessárias no momento. 
 
Então, quanto a testes de segurança, o que você precisa
fazer é gerir adequadamente toda a complexidade.
 
Isto é feito definindo adequadamente o teste de segurança.
O resto do manual ...
  Capítulos seguintes cobrem: 
 
Análise,
Security Metrics,
Trust Metrics,
Como funciona a Metodologia,
Teste humanos, físicos, Full-espectro sem fio,
Telecomunicações e Segurança Digital,
Certificação,
Templates de teste.
Projetos Relacionados

O projeto OSSTMM entrou em outros projectos da

ISECOM, usando a filosofia original e distinções entre a
segurança e proteção para trazer clareza de outras áreas. 
 
The Möbius Defense 
SCARE 
Hacker Highschool 
Child Safety and Security Methodolog 
Home Security Methodology 
National Security Methodology 
Actus Diaboli, the Dark OSSTMM ("The Dark OSSTMM"
the collection of tests which are too illegal, unethical, or
Certificação e formação

A ISECOM paga suas pesquisas independentes, através de

certificações profissionais. 
 
Os programas de certificação estão disponíveis através da
ISECOM. 
 
Os individuos podem obter certificação:
OPST ( OSSTMM Professional Security Tester ) , 
OPSA ( OSSTMM Professional Security Analyst ),
OPSE ( OSSTMM Professional Security Expert), 
CTA (Certified Trust Analyst ),
e OSSTM Wireless Security Expert.
 
Sites relacionados

OSSTMM Open Source Security Testing Methodology

Manual - http://www.osstmm.org
ISECOM - http://www.isecom.org
Professional Security Analyst - http://www.opsa.org
Professional Security Tester - http://www.opst.org
OSSTMM Wireless Security Expert - http://www.owse.
org
OSSTMM Professional Security Expert - http://www.
opse.org
Certified Trust Analyst - http://www.trustanalyst.org
ISECOM Licensed Auditors - http://www.isecom.
org/auditors.shtml