1. Ing. Omar Andrés Silva García
Ing. Jimmi Elles Camargo
Mgs. Wilson Castaño
Universidad Popular del Cesar
Ingenierías y Tecnologías
Ingeniería de Sistemas
Aguchica-Cesar
2013
OSS TMM
2. El manual se encuentra realizado por ISECOM, una
organización sin animo de lucro de dedicada al
desarrollo de metodologías de libre utilización para la
verificación de la seguridad, la programación segura, la
verificación de software y la concientización en
seguridad.
ISECOM se encuentra dirigida por Pete Herzog y Marta
Barceló Jordan y se encuentra respaldada por un amplio
número de expertos de seguridad por todo el mundo.
OSSTMM es el proyecto más destacado de ISECOM
¿QUIEN PUBLICA OSSTMM?
3. Es un manual de metodologías para pruebas y
análisis de seguridad realizado siguiendo la
metodología OML siendo el manual en sí publicado
bajo licencia Creative Commons 3.0, lo cual permite el
libre uso y distribución del mismo.
Como proyecto de Software Libre, permite a
cualquier analista de seguridad contribuir a la mejora
del manual lo cual, además, garantiza unas pruebas
de seguridad más certeras, eficientes y procesables.
QUE OSS TMM
4. La metodología OSSTMM se centra en los detalles
técnicos de los elementos que necesitan ser
comprobados, qué hacer antes, durante y después de
las pruebas de seguridad, así como evaluar los
resultados obtenidos.
Las pruebas que recoge el manual incluyen todos los
canales de operación: Humanos, físicos, wireless,
telecomunicaciones, y redes de datos.
5. El OSSTMM por sus siglas en ingles “Open Source
Security Testing Methodology Manual” o “Manual de
la Metodología Abierta del Testeo de Seguridad” tal
como fuera nombrada oficialmente su versión en
español, es uno de los estándares profesionales más
completos y comúnmente utilizados a la hora de
revisar la Seguridad de los Sistemas y se encuentra en
constante desarrollo, actualmente se compone de las
siguientes secciones:
UN BREVE VISTAZO A OSSTMM
6. 1. Revisión de la Inteligencia Competitiva
2. Revisión de Privacidad
3. Recolección de Documentos
Sección A -Seguridad de la
Información
7. Este módulo, quizás sea el menos valorado de todos a la
hora de realizar un test de penetración(legal o no), ya
que no es intrusivo, y se puede realizar sin ningún tipo
de conocimiento técnico en tests de intrusión.
Básicamente, se trata de recabar toda la información
posible de la empresa auditada.
Revisión de la inteligencia
competitiva
8. La revisión de la privacidad, se encarga de las partes
éticas y legales referentes al almacenaje, transmisión y
control de datos de empleados y clientes. Se encarga de
que se cumplan los derechos de las personas dentro de
una empresa, para que sus datos personales no queden
al descubierto de todo el mundo. Se refiere también, a
como se distribuyen las contraseñas. No es lo mismo
transmitirlas mediante palabra, que por escrito, vía mail
etc... Esto puede ser muy comprometedor tanto para la
empresa como para la persona afectada.
Revisión de la Privacidad
9. Esta sección, guarda cierta relación con el punto uno
de esta sección (Revisión de inteligencia competitiva),
aunque esta se centra más, en aspectos más
pequeños y concretos, como emails, ofertas de
trabajo etc... que se pueden extraer de la información
o metadatos que incluyen los documentos.
Recolección de documentos
10. 1. Testeo de Solicitud
2. Testeo de Sugerencia Dirigida
3. Testeo de las Personas Confiables
Sección B – Seguridad de los
Procesos
11. Este tipo de testeo, es una rama de lo que se conoce como
ingeniería social. En este caso, tratamos de ganar acceso
solicitando permiso al personal encargado de dar permisos
de acceso, mediante el uso de sistemas de comunicación
(email, teléfono, etc...) haciéndonos pasar por
otra persona. Uno de los principios básicos de la ingeniería
social dice, que “los usuarios son el eslabón débil”. Y esto
es muchas veces cierto. Muchas veces, los fallos de
seguridad de la información no provienen de la mala
programación o configuración del sistema, sino de la gente
no entrenada, poco precavida, o simplemente indiscreta.
Testeo de Solicitud
12. Este módulo, también es una rama de la ingeniería
social. En muchos aspectos, coincidirá con elmódulo
anterior, es decir, que no son mutuamente
excluyentes.La diferencia básica entre ellos, es que en
este caso, el atacante se hace pasar por otra persona,
einvita a otra a visitar un lugar externo (por ejemplo,
una página web, o cuenta de email).
Testeo de sugerencia guiada
13. Este es el tercero de los módulos que trata sobre
ingeniería social. En este último, se distingue de los
demás, en el hecho de que en éste, lo que se busca es
información privilegiada. No tiene porqué ser un
password, o conseguir permisos. Muchas veces, la
mayoría de las personas no tiene ninguna dificultad en
revelar información sensible, lo cual, para una persona
malintencionada puede ser muy útil.
Testeo de las Personas Confiables
14. 1. Logística y Controles
2. Exploración de Red
3. Identificación de los Servicios del Sistema
4. Búsqueda de Información Competitiva
5. Revisión de Privacidad
6. Obtención de Documentos
7. Búsqueda y Verificación de Vulnerabilidades
8. Testeo de Aplicaciones de Internet
9. Enrutamiento
10. Testeo de Sistemas Confiados
11. Testeo de Control de Acceso
12. Testeo de Sistema de Detección de Intrusos
13. Testeo de Medidas de Contingencia
14. Descifrado de Contraseñas
15. Testeo de Denegación de Servicios
16. Evaluación de Políticas de Seguridad
Sección C – Seguridad en las
tecnologías de Internet
15. 1. Testeo de PBX
2. Testeo del Correo de Voz
3. Revisión del FAX
4. Testeo del Modem
Sección D – Seguridad en las
Comunicaciones
16. 1. Verificación de Radiación Electromagnética (EMR)
2. Verificación de Redes Inalámbricas [802.11]
3. Verificación de Redes Bluetooth
4. Verificación de Dispositivos de Entrada Inalámbricos
5. Verificación de Dispositivos de Mano Inalámbricos
6. Verificación de Comunicaciones sin Cable
7. Verificación de Dispositivos de Vigilancia Inalámbricos
8. Verificación de Dispositivos de Transacción Inalámbricos
9. Verficación de RFID
10. Verificación de Sistemas Infrarrojos
11. Revisión de Privacidad
Sección E – Seguridad Inalámbrica
17. 1. Revisión de Perímetro
2. Revisión de monitoreo
3. Evaluación de Controles de Acceso
4. Revisión de Respuesta de Alarmas
5. Revisión de Ubicación
6. Revisión de Entorno
Sección F – Seguridad Física