SlideShare ist ein Scribd-Unternehmen logo

Oss tmm

Als PPTX, PDF herunterladen
Yadi De La Cruz
Yadi De La Cruz
1 von 18
Ing. Omar Andrés Silva García Ing. Jimmi Elles Camargo Mgs. Wilson Castaño Universidad Popular del Cesar Ingenierías y Tecnologías Ingeniería de Sistemas Aguchica-Cesar 2013 OSS TMM
El manual se encuentra realizado por ISECOM, una organización sin animo de lucro de dedicada al desarrollo de metodologías de libre utilización para la verificación de la seguridad, la programación segura, la verificación de software y la concientización en seguridad. ISECOM se encuentra dirigida por Pete Herzog y Marta Barceló Jordan y se encuentra respaldada por un amplio número de expertos de seguridad por todo el mundo. OSSTMM es el proyecto más destacado de ISECOM ¿QUIEN PUBLICA OSSTMM?
Es un manual de metodologías para pruebas y análisis de seguridad realizado siguiendo la metodología OML siendo el manual en sí publicado bajo licencia Creative Commons 3.0, lo cual permite el libre uso y distribución del mismo. Como proyecto de Software Libre, permite a cualquier analista de seguridad contribuir a la mejora del manual lo cual, además, garantiza unas pruebas de seguridad más certeras, eficientes y procesables. QUE OSS TMM
La metodología OSSTMM se centra en los detalles técnicos de los elementos que necesitan ser comprobados, qué hacer antes, durante y después de las pruebas de seguridad, así como evaluar los resultados obtenidos. Las pruebas que recoge el manual incluyen todos los canales de operación: Humanos, físicos, wireless, telecomunicaciones, y redes de datos.
El OSSTMM por sus siglas en ingles “Open Source Security Testing Methodology Manual” o “Manual de la Metodología Abierta del Testeo de Seguridad” tal como fuera nombrada oficialmente su versión en español, es uno de los estándares profesionales más completos y comúnmente utilizados a la hora de revisar la Seguridad de los Sistemas y se encuentra en constante desarrollo, actualmente se compone de las siguientes secciones: UN BREVE VISTAZO A OSSTMM
1. Revisión de la Inteligencia Competitiva 2. Revisión de Privacidad 3. Recolección de Documentos Sección A -Seguridad de la Información
Este módulo, quizás sea el menos valorado de todos a la hora de realizar un test de penetración(legal o no), ya que no es intrusivo, y se puede realizar sin ningún tipo de conocimiento técnico en tests de intrusión. Básicamente, se trata de recabar toda la información posible de la empresa auditada. Revisión de la inteligencia competitiva
La revisión de la privacidad, se encarga de las partes éticas y legales referentes al almacenaje, transmisión y control de datos de empleados y clientes. Se encarga de que se cumplan los derechos de las personas dentro de una empresa, para que sus datos personales no queden al descubierto de todo el mundo. Se refiere también, a como se distribuyen las contraseñas. No es lo mismo transmitirlas mediante palabra, que por escrito, vía mail etc... Esto puede ser muy comprometedor tanto para la empresa como para la persona afectada. Revisión de la Privacidad
Esta sección, guarda cierta relación con el punto uno de esta sección (Revisión de inteligencia competitiva), aunque esta se centra más, en aspectos más pequeños y concretos, como emails, ofertas de trabajo etc... que se pueden extraer de la información o metadatos que incluyen los documentos. Recolección de documentos
1. Testeo de Solicitud 2. Testeo de Sugerencia Dirigida 3. Testeo de las Personas Confiables Sección B – Seguridad de los Procesos
Este tipo de testeo, es una rama de lo que se conoce como ingeniería social. En este caso, tratamos de ganar acceso solicitando permiso al personal encargado de dar permisos de acceso, mediante el uso de sistemas de comunicación (email, teléfono, etc...) haciéndonos pasar por otra persona. Uno de los principios básicos de la ingeniería social dice, que “los usuarios son el eslabón débil”. Y esto es muchas veces cierto. Muchas veces, los fallos de seguridad de la información no provienen de la mala programación o configuración del sistema, sino de la gente no entrenada, poco precavida, o simplemente indiscreta. Testeo de Solicitud
Este módulo, también es una rama de la ingeniería social. En muchos aspectos, coincidirá con elmódulo anterior, es decir, que no son mutuamente excluyentes.La diferencia básica entre ellos, es que en este caso, el atacante se hace pasar por otra persona, einvita a otra a visitar un lugar externo (por ejemplo, una página web, o cuenta de email). Testeo de sugerencia guiada
Este es el tercero de los módulos que trata sobre ingeniería social. En este último, se distingue de los demás, en el hecho de que en éste, lo que se busca es información privilegiada. No tiene porqué ser un password, o conseguir permisos. Muchas veces, la mayoría de las personas no tiene ninguna dificultad en revelar información sensible, lo cual, para una persona malintencionada puede ser muy útil. Testeo de las Personas Confiables
1. Logística y Controles 2. Exploración de Red 3. Identificación de los Servicios del Sistema 4. Búsqueda de Información Competitiva 5. Revisión de Privacidad 6. Obtención de Documentos 7. Búsqueda y Verificación de Vulnerabilidades 8. Testeo de Aplicaciones de Internet 9. Enrutamiento 10. Testeo de Sistemas Confiados 11. Testeo de Control de Acceso 12. Testeo de Sistema de Detección de Intrusos 13. Testeo de Medidas de Contingencia 14. Descifrado de Contraseñas 15. Testeo de Denegación de Servicios 16. Evaluación de Políticas de Seguridad Sección C – Seguridad en las tecnologías de Internet
1. Testeo de PBX 2. Testeo del Correo de Voz 3. Revisión del FAX 4. Testeo del Modem Sección D – Seguridad en las Comunicaciones
1. Verificación de Radiación Electromagnética (EMR) 2. Verificación de Redes Inalámbricas [802.11] 3. Verificación de Redes Bluetooth 4. Verificación de Dispositivos de Entrada Inalámbricos 5. Verificación de Dispositivos de Mano Inalámbricos 6. Verificación de Comunicaciones sin Cable 7. Verificación de Dispositivos de Vigilancia Inalámbricos 8. Verificación de Dispositivos de Transacción Inalámbricos 9. Verficación de RFID 10. Verificación de Sistemas Infrarrojos 11. Revisión de Privacidad Sección E – Seguridad Inalámbrica
1. Revisión de Perímetro 2. Revisión de monitoreo 3. Evaluación de Controles de Acceso 4. Revisión de Respuesta de Alarmas 5. Revisión de Ubicación 6. Revisión de Entorno Sección F – Seguridad Física
Gracias…

Empfohlen

Osstmm
OsstmmOsstmm
OsstmmDenys Flores
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaCarlos R. Adames B.
 
OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...
OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...
OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...Lenur Dzhemiliev
 
How to Make a Honeypot Stickier (SSH*)
How to Make a Honeypot Stickier (SSH*)How to Make a Honeypot Stickier (SSH*)
How to Make a Honeypot Stickier (SSH*)Jose Hernandez
 
Autoformas ppt
Autoformas pptAutoformas ppt
Autoformas pptktinguemsort
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıBGA Cyber Security
 
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama Kitabı
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama KitabıWeb ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama Kitabı
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama KitabıBGA Cyber Security
 
Micro-segmentación para Infraestructuras críticas
Micro-segmentación para Infraestructuras críticasMicro-segmentación para Infraestructuras críticas
Micro-segmentación para Infraestructuras críticasPablo Fernández Burgueño
 

Empfohlen

Osstmm
OsstmmOsstmm
OsstmmDenys Flores
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaCarlos R. Adames B.
 
OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...
OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...
OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...Lenur Dzhemiliev
 
How to Make a Honeypot Stickier (SSH*)
How to Make a Honeypot Stickier (SSH*)How to Make a Honeypot Stickier (SSH*)
How to Make a Honeypot Stickier (SSH*)Jose Hernandez
 
Autoformas ppt
Autoformas pptAutoformas ppt
Autoformas pptktinguemsort
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıBGA Cyber Security
 
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama Kitabı
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama KitabıWeb ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama Kitabı
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama KitabıBGA Cyber Security
 
Micro-segmentación para Infraestructuras críticas
Micro-segmentación para Infraestructuras críticasMicro-segmentación para Infraestructuras críticas
Micro-segmentación para Infraestructuras críticasPablo Fernández Burgueño
 
OSS TMM
OSS TMMOSS TMM
OSS TMMMaria Villalba
 
Osstmm.3
Osstmm.3Osstmm.3
Osstmm.3Juan Correa
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareMarcelo Fleury
 
Mejora de procesos y Transicion sw cmm a cmmi
Mejora de procesos y Transicion sw cmm a cmmiMejora de procesos y Transicion sw cmm a cmmi
Mejora de procesos y Transicion sw cmm a cmmiLoloUBD
 
7iSF-5 cmm
7iSF-5 cmm7iSF-5 cmm
7iSF-5 cmmprogramadorjavablog
 
Cmmi eufemia m.m
Cmmi eufemia m.mCmmi eufemia m.m
Cmmi eufemia m.mITSM
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingAlonso Caballero
 
Orange book common criteria
Orange book common criteriaOrange book common criteria
Orange book common criteriaAlexander Velasque Rimac
 
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun RathodOpen Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun RathodFalgun Rathod
 
Fundamentos matematicos para la criptografia asimetrica
Fundamentos matematicos para la criptografia asimetricaFundamentos matematicos para la criptografia asimetrica
Fundamentos matematicos para la criptografia asimetricaJuan Carlos Broncanotorres
 
Gestión de Auditorías de Seguridad
Gestión de Auditorías de SeguridadGestión de Auditorías de Seguridad
Gestión de Auditorías de SeguridadConferencias FIST
 
Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Sebastián Bortnik
 
Cmmi piña, martin 7° b ti
Cmmi piña, martin 7° b tiCmmi piña, martin 7° b ti
Cmmi piña, martin 7° b tiCesar Dueñas
 
Expo
ExpoExpo
ExpoDESEMPLEADO BUSCANDO NUEVOS RETOS
 
Ensayo
EnsayoEnsayo
Ensayomeryparra
 
Cmm
CmmCmm
CmmUTCH
 
Exposicion
ExposicionExposicion
Exposicionlos4fantasticos
 
ISO 15408 Common Criteria
ISO 15408 Common CriteriaISO 15408 Common Criteria
ISO 15408 Common CriteriaJulio Santy Gómez Torres
 
Estándar CMM
Estándar CMMEstándar CMM
Estándar CMMAndreaYebra
 
Penetration testing, What’s this?
Penetration testing, What’s this?Penetration testing, What’s this?
Penetration testing, What’s this?Dmitry Evteev
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaMario Herrera
 
Sgsi
SgsiSgsi
SgsiAlexander Velasque Rimac
 

Weitere ähnliche Inhalte

Andere mochten auch

Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareMarcelo Fleury
 
Mejora de procesos y Transicion sw cmm a cmmi
Mejora de procesos y Transicion sw cmm a cmmiMejora de procesos y Transicion sw cmm a cmmi
Mejora de procesos y Transicion sw cmm a cmmiLoloUBD
 
Cmmi eufemia m.m
Cmmi eufemia m.mCmmi eufemia m.m
Cmmi eufemia m.mITSM
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingAlonso Caballero
 
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun RathodOpen Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun RathodFalgun Rathod
 
Fundamentos matematicos para la criptografia asimetrica
Fundamentos matematicos para la criptografia asimetricaFundamentos matematicos para la criptografia asimetrica
Fundamentos matematicos para la criptografia asimetricaJuan Carlos Broncanotorres
 
Gestión de Auditorías de Seguridad
Gestión de Auditorías de SeguridadGestión de Auditorías de Seguridad
Gestión de Auditorías de SeguridadConferencias FIST
 
Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Sebastián Bortnik
 
Cmmi piña, martin 7° b ti
Cmmi piña, martin 7° b tiCmmi piña, martin 7° b ti
Cmmi piña, martin 7° b tiCesar Dueñas
 
Cmm
CmmCmm
CmmUTCH
 
Penetration testing, What’s this?
Penetration testing, What’s this?Penetration testing, What’s this?
Penetration testing, What’s this?Dmitry Evteev
 

Andere mochten auch (20)

OSS TMM
OSS TMMOSS TMM
OSS TMM
 
Osstmm.3
Osstmm.3Osstmm.3
Osstmm.3
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de Software
 
Mejora de procesos y Transicion sw cmm a cmmi
Mejora de procesos y Transicion sw cmm a cmmiMejora de procesos y Transicion sw cmm a cmmi
Mejora de procesos y Transicion sw cmm a cmmi
 
7iSF-5 cmm
7iSF-5 cmm7iSF-5 cmm
7iSF-5 cmm
 
Cmmi eufemia m.m
Cmmi eufemia m.mCmmi eufemia m.m
Cmmi eufemia m.m
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical Hacking
 
Orange book common criteria
Orange book common criteriaOrange book common criteria
Orange book common criteria
 
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun RathodOpen Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
 
Fundamentos matematicos para la criptografia asimetrica
Fundamentos matematicos para la criptografia asimetricaFundamentos matematicos para la criptografia asimetrica
Fundamentos matematicos para la criptografia asimetrica
 
Gestión de Auditorías de Seguridad
Gestión de Auditorías de SeguridadGestión de Auditorías de Seguridad
Gestión de Auditorías de Seguridad
 
Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)
 
Cmmi piña, martin 7° b ti
Cmmi piña, martin 7° b tiCmmi piña, martin 7° b ti
Cmmi piña, martin 7° b ti
 
Expo
ExpoExpo
Expo
 
Ensayo
EnsayoEnsayo
Ensayo
 
Cmm
CmmCmm
Cmm
 
Exposicion
ExposicionExposicion
Exposicion
 
ISO 15408 Common Criteria
ISO 15408 Common CriteriaISO 15408 Common Criteria
ISO 15408 Common Criteria
 
Estándar CMM
Estándar CMMEstándar CMM
Estándar CMM
 
Penetration testing, What’s this?
Penetration testing, What’s this?Penetration testing, What’s this?
Penetration testing, What’s this?
 

Ähnlich wie Oss tmm

Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaMario Herrera
 
SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONJessicakatherine
 
Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosHECTOR JAVIER
 
Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPablo
 
Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥97vega
 
Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥978079218
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad LógicaXavier
 
Isec presentacion agesic_2009_martin_vila_julio_balderrama
Isec presentacion agesic_2009_martin_vila_julio_balderramaIsec presentacion agesic_2009_martin_vila_julio_balderrama
Isec presentacion agesic_2009_martin_vila_julio_balderramaCarlos Montañez
 
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNSeguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNJorge Skorey
 
Unidad2 seguridad informatica 3ero inf
Unidad2 seguridad informatica 3ero infUnidad2 seguridad informatica 3ero inf
Unidad2 seguridad informatica 3ero infivannesberto
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadAniiitha01
 
Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosLauris R Severino
 

Ähnlich wie Oss tmm (20)

Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Sgsi
SgsiSgsi
Sgsi
 
Sgsi
SgsiSgsi
Sgsi
 
SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACION
 
Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas Distribuidos
 
Tema 8
Tema 8Tema 8
Tema 8
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridad
 
Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionales
 
Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥
 
Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥
 
Caso sobre delito informático
Caso sobre delito informáticoCaso sobre delito informático
Caso sobre delito informático
 
Caso sobre delito informático
Caso sobre delito informáticoCaso sobre delito informático
Caso sobre delito informático
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
 
Isec presentacion agesic_2009_martin_vila_julio_balderrama
Isec presentacion agesic_2009_martin_vila_julio_balderramaIsec presentacion agesic_2009_martin_vila_julio_balderrama
Isec presentacion agesic_2009_martin_vila_julio_balderrama
 
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNSeguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
 
Unidad2 seguridad informatica 3ero inf
Unidad2 seguridad informatica 3ero infUnidad2 seguridad informatica 3ero inf
Unidad2 seguridad informatica 3ero inf
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridad
 
Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas Operativos
 
Seguridad presentación
Seguridad presentaciónSeguridad presentación
Seguridad presentación
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
 

Mehr von Yadi De La Cruz

Mehr von Yadi De La Cruz (7)

Glosario seguridadinf
Glosario seguridadinfGlosario seguridadinf
Glosario seguridadinf
 
Criptologia
CriptologiaCriptologia
Criptologia
 
El modelocmmi
El modelocmmiEl modelocmmi
El modelocmmi
 
Uit t-x.805
Uit t-x.805Uit t-x.805
Uit t-x.805
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
 
Iso 17799 (2)
Iso 17799 (2)Iso 17799 (2)
Iso 17799 (2)
 
Isaca expo
Isaca expoIsaca expo
Isaca expo
 

Oss tmm

  • 1. Ing. Omar Andrés Silva García Ing. Jimmi Elles Camargo Mgs. Wilson Castaño Universidad Popular del Cesar Ingenierías y Tecnologías Ingeniería de Sistemas Aguchica-Cesar 2013 OSS TMM
  • 2. El manual se encuentra realizado por ISECOM, una organización sin animo de lucro de dedicada al desarrollo de metodologías de libre utilización para la verificación de la seguridad, la programación segura, la verificación de software y la concientización en seguridad. ISECOM se encuentra dirigida por Pete Herzog y Marta Barceló Jordan y se encuentra respaldada por un amplio número de expertos de seguridad por todo el mundo. OSSTMM es el proyecto más destacado de ISECOM ¿QUIEN PUBLICA OSSTMM?
  • 3. Es un manual de metodologías para pruebas y análisis de seguridad realizado siguiendo la metodología OML siendo el manual en sí publicado bajo licencia Creative Commons 3.0, lo cual permite el libre uso y distribución del mismo. Como proyecto de Software Libre, permite a cualquier analista de seguridad contribuir a la mejora del manual lo cual, además, garantiza unas pruebas de seguridad más certeras, eficientes y procesables. QUE OSS TMM
  • 4. La metodología OSSTMM se centra en los detalles técnicos de los elementos que necesitan ser comprobados, qué hacer antes, durante y después de las pruebas de seguridad, así como evaluar los resultados obtenidos. Las pruebas que recoge el manual incluyen todos los canales de operación: Humanos, físicos, wireless, telecomunicaciones, y redes de datos.
  • 5. El OSSTMM por sus siglas en ingles “Open Source Security Testing Methodology Manual” o “Manual de la Metodología Abierta del Testeo de Seguridad” tal como fuera nombrada oficialmente su versión en español, es uno de los estándares profesionales más completos y comúnmente utilizados a la hora de revisar la Seguridad de los Sistemas y se encuentra en constante desarrollo, actualmente se compone de las siguientes secciones: UN BREVE VISTAZO A OSSTMM
  • 6. 1. Revisión de la Inteligencia Competitiva 2. Revisión de Privacidad 3. Recolección de Documentos Sección A -Seguridad de la Información
  • 7. Este módulo, quizás sea el menos valorado de todos a la hora de realizar un test de penetración(legal o no), ya que no es intrusivo, y se puede realizar sin ningún tipo de conocimiento técnico en tests de intrusión. Básicamente, se trata de recabar toda la información posible de la empresa auditada. Revisión de la inteligencia competitiva
  • 8. La revisión de la privacidad, se encarga de las partes éticas y legales referentes al almacenaje, transmisión y control de datos de empleados y clientes. Se encarga de que se cumplan los derechos de las personas dentro de una empresa, para que sus datos personales no queden al descubierto de todo el mundo. Se refiere también, a como se distribuyen las contraseñas. No es lo mismo transmitirlas mediante palabra, que por escrito, vía mail etc... Esto puede ser muy comprometedor tanto para la empresa como para la persona afectada. Revisión de la Privacidad
  • 9. Esta sección, guarda cierta relación con el punto uno de esta sección (Revisión de inteligencia competitiva), aunque esta se centra más, en aspectos más pequeños y concretos, como emails, ofertas de trabajo etc... que se pueden extraer de la información o metadatos que incluyen los documentos. Recolección de documentos
  • 10. 1. Testeo de Solicitud 2. Testeo de Sugerencia Dirigida 3. Testeo de las Personas Confiables Sección B – Seguridad de los Procesos
  • 11. Este tipo de testeo, es una rama de lo que se conoce como ingeniería social. En este caso, tratamos de ganar acceso solicitando permiso al personal encargado de dar permisos de acceso, mediante el uso de sistemas de comunicación (email, teléfono, etc...) haciéndonos pasar por otra persona. Uno de los principios básicos de la ingeniería social dice, que “los usuarios son el eslabón débil”. Y esto es muchas veces cierto. Muchas veces, los fallos de seguridad de la información no provienen de la mala programación o configuración del sistema, sino de la gente no entrenada, poco precavida, o simplemente indiscreta. Testeo de Solicitud
  • 12. Este módulo, también es una rama de la ingeniería social. En muchos aspectos, coincidirá con elmódulo anterior, es decir, que no son mutuamente excluyentes.La diferencia básica entre ellos, es que en este caso, el atacante se hace pasar por otra persona, einvita a otra a visitar un lugar externo (por ejemplo, una página web, o cuenta de email). Testeo de sugerencia guiada
  • 13. Este es el tercero de los módulos que trata sobre ingeniería social. En este último, se distingue de los demás, en el hecho de que en éste, lo que se busca es información privilegiada. No tiene porqué ser un password, o conseguir permisos. Muchas veces, la mayoría de las personas no tiene ninguna dificultad en revelar información sensible, lo cual, para una persona malintencionada puede ser muy útil. Testeo de las Personas Confiables
  • 14. 1. Logística y Controles 2. Exploración de Red 3. Identificación de los Servicios del Sistema 4. Búsqueda de Información Competitiva 5. Revisión de Privacidad 6. Obtención de Documentos 7. Búsqueda y Verificación de Vulnerabilidades 8. Testeo de Aplicaciones de Internet 9. Enrutamiento 10. Testeo de Sistemas Confiados 11. Testeo de Control de Acceso 12. Testeo de Sistema de Detección de Intrusos 13. Testeo de Medidas de Contingencia 14. Descifrado de Contraseñas 15. Testeo de Denegación de Servicios 16. Evaluación de Políticas de Seguridad Sección C – Seguridad en las tecnologías de Internet
  • 15. 1. Testeo de PBX 2. Testeo del Correo de Voz 3. Revisión del FAX 4. Testeo del Modem Sección D – Seguridad en las Comunicaciones
  • 16. 1. Verificación de Radiación Electromagnética (EMR) 2. Verificación de Redes Inalámbricas [802.11] 3. Verificación de Redes Bluetooth 4. Verificación de Dispositivos de Entrada Inalámbricos 5. Verificación de Dispositivos de Mano Inalámbricos 6. Verificación de Comunicaciones sin Cable 7. Verificación de Dispositivos de Vigilancia Inalámbricos 8. Verificación de Dispositivos de Transacción Inalámbricos 9. Verficación de RFID 10. Verificación de Sistemas Infrarrojos 11. Revisión de Privacidad Sección E – Seguridad Inalámbrica
  • 17. 1. Revisión de Perímetro 2. Revisión de monitoreo 3. Evaluación de Controles de Acceso 4. Revisión de Respuesta de Alarmas 5. Revisión de Ubicación 6. Revisión de Entorno Sección F – Seguridad Física