Ing. Omar Andrés Silva GarcíaIng. Jimmi Elles Camargo

Mgs. Wilson Castaño

Universidad Popular del CesarIngenierías y Tecnologías

Ingeniería de SistemasAguchica-Cesar

2013

OSS TMM

El manual se encuentra realizado por ISECOM, una organización sin animo de lucro de dedicada al desarrollo de metodologías de libre utilización para la verificación de la seguridad, la programación segura, la verificación de software y la concientización en seguridad.

ISECOM se encuentra dirigida por Pete Herzog y Marta Barceló Jordan y se encuentra respaldada por un amplio número de expertos de seguridad por todo el mundo.

OSSTMM es el proyecto más destacado de ISECOM

¿QUIEN PUBLICA OSSTMM?

Es un manual de metodologías  para  pruebas y análisis de seguridad realizado siguiendo la metodología OML siendo el manual en sí publicado bajo licencia Creative Commons 3.0, lo cual permite el libre uso y distribución del mismo.

Como proyecto de Software Libre, permite a cualquier analista de seguridad contribuir a la mejora del manual  lo cual, además, garantiza unas pruebas de  seguridad más certeras, eficientes y  procesables.

QUE OSS TMM

La metodología OSSTMM se centra en los detalles técnicos de los elementos que necesitan ser comprobados, qué hacer antes, durante y después de las pruebas de seguridad, así como evaluar los resultados obtenidos.

Las pruebas que recoge el manual incluyen todos los canales de operación: Humanos, físicos, wireless, telecomunicaciones, y redes de datos.

El OSSTMM por sus siglas en ingles “Open Source Security Testing Methodology Manual” o “Manual de la Metodología Abierta del Testeo de Seguridad” tal como fuera nombrada oficialmente su versión en español, es uno de los estándares profesionales más completos y comúnmente utilizados a la hora de revisar la Seguridad de los Sistemas y se encuentra en constante desarrollo, actualmente se compone de las siguientes secciones:

UN BREVE VISTAZO A OSSTMM

1. Revisión de la Inteligencia Competitiva

2. Revisión de Privacidad3. Recolección de Documentos

Sección A -Seguridad de la Información

Este módulo, quizás sea el menos valorado de todos a la hora de realizar un test de penetración(legal o no), ya que no es intrusivo, y se puede realizar sin ningún tipo de conocimiento técnico en tests de intrusión. Básicamente, se trata de recabar toda la información posible de la empresa auditada.

Revisión de la inteligencia competitiva

La revisión de la privacidad, se encarga de las partes éticas y legales referentes al almacenaje, transmisión y control de datos de empleados y clientes. Se encarga de que se cumplan los derechos de las personas dentro de una empresa, para que sus datos personales no queden al descubierto de todo el mundo. Se refiere también, a como se distribuyen las contraseñas. No es lo mismo transmitirlas mediante palabra, que por escrito, vía mail etc... Esto puede ser muy comprometedor tanto para la empresa como para la persona afectada. 

Revisión de la Privacidad

Esta sección, guarda cierta relación con el punto uno de esta sección (Revisión de inteligencia competitiva), aunque esta se centra más, en aspectos más pequeños y concretos, como emails, ofertas de trabajo etc... que se pueden extraer de la información o metadatos que incluyen los documentos.

Recolección de documentos

1. Testeo de Solicitud2. Testeo de Sugerencia Dirigida3. Testeo de las Personas Confiables

Sección B – Seguridad de los Procesos

Este tipo de testeo, es una rama de lo que se conoce como ingeniería social. En este caso, tratamos de ganar acceso solicitando permiso al personal encargado de dar permisos de acceso, mediante el uso de sistemas de comunicación (email, teléfono, etc...) haciéndonos pasar por otra persona. Uno de los principios básicos de la ingeniería social dice, que “los usuarios son el eslabón débil”. Y esto es muchas veces cierto. Muchas veces, los fallos de seguridad de la información no provienen de la mala programación o configuración del sistema, sino de la gente no entrenada, poco precavida, o simplemente indiscreta.

Testeo de Solicitud

Este módulo, también es una rama de la ingeniería social. En muchos aspectos, coincidirá con elmódulo anterior, es decir, que no son mutuamente excluyentes.La diferencia básica entre ellos, es que en este caso, el atacante se hace pasar por otra persona, einvita a otra a visitar un lugar externo (por ejemplo, una página web, o cuenta de email).

Testeo de sugerencia guiada

Este es el tercero de los módulos que trata sobre ingeniería social. En este último, se distingue de los demás, en el hecho de que en éste, lo que se busca es información privilegiada. No tiene porqué ser un password, o conseguir permisos. Muchas veces, la mayoría de las personas no tiene ninguna dificultad en revelar información sensible, lo cual, para una persona malintencionada puede ser muy útil. 

Testeo de las Personas Confiables

1. Logística y Controles2. Exploración de Red3. Identificación de los Servicios del Sistema4. Búsqueda de Información Competitiva5. Revisión de Privacidad6. Obtención de Documentos7. Búsqueda y Verificación de Vulnerabilidades8. Testeo de Aplicaciones de Internet9. Enrutamiento10. Testeo de Sistemas Confiados11. Testeo de Control de Acceso12. Testeo de Sistema de Detección de Intrusos13. Testeo de Medidas de Contingencia14. Descifrado de Contraseñas15. Testeo de Denegación de Servicios16. Evaluación de Políticas de Seguridad

Sección C – Seguridad en las tecnologías de Internet

1. Testeo de PBX2. Testeo del Correo de Voz3. Revisión del FAX4. Testeo del Modem

Sección D – Seguridad en las Comunicaciones

1. Verificación de Radiación Electromagnética (EMR)2. Verificación de Redes Inalámbricas [802.11]3. Verificación de Redes Bluetooth4. Verificación de Dispositivos de Entrada Inalámbricos5. Verificación de Dispositivos de Mano Inalámbricos6. Verificación de Comunicaciones sin Cable7. Verificación de Dispositivos de Vigilancia Inalámbricos8. Verificación de Dispositivos de Transacción Inalámbricos9. Verficación de RFID10. Verificación de Sistemas Infrarrojos11. Revisión de Privacidad

Sección E – Seguridad Inalámbrica

1. Revisión de Perímetro2. Revisión de monitoreo3. Evaluación de Controles de Acceso4. Revisión de Respuesta de Alarmas5. Revisión de Ubicación6. Revisión de Entorno

Sección F – Seguridad Física

Gracias…