INFORME DE OSSTMM CIBERSEGURIDAD

Documento desarrollado por:

Jennifer Montes
Bryan Rojas Quejada
Sebastin Gomez Paz

1
INFORME DE OSSTMM CIBERSEGURIDAD

Contenido
INTRODUCCION ................................................................................................................................................................... 3
METODOLOGIA.................................................................................................................................................................... 4
DEFINIR UN TEST DE SEGURIDAD: ....................................................................................................................................... 4
TIPOS DE TESTS DE SEGURIDAD: ......................................................................................................................................... 5
LAS REGLAS DE ACUERDOS (CONTRATOS): ......................................................................................................................... 8
RESULTADOS DE LOS TESTS: ................................................................................................................................................ 8
COMPRENDIENDO LA METODOLOGA OSSTMM: ............................................................................................................... 9
MTRICAS OPERATIVAS DE SEGURIDAD: ......................................................................................................................... 10
MAPA MENTAL DE OSSTMM ............................................................................................................................................. 12

2
INFORME DE OSSTMM CIBERSEGURIDAD

INTRODUCCION
OSSTMM (Open Source Security Testing Methodology Manual) proporciona una
metodologa para una exhaustiva prueba de seguridad, en este documento se
referencia como una auditora OSSTMM. Una auditora OSSTMM es una medicin
precisa de la seguridad a nivel operacional, lo cual evita suposiciones y evidencia
anecdtica. Como una metodologa, esta diseada para ser consistentes y repetible.
Como un proyecto de fuente abierta, permite a cualquier profesional en pruebas de
seguridad contribuir con ideas para realizar pruebas de seguridad ms precisas,
concretas y eficientes. Adems esto permite la libre difusin de informacin y
propiedad intelectual.

3
INFORME DE OSSTMM CIBERSEGURIDAD

METODOLOGIA

OSSTMM (Open Source Security Testing Methodology Manual).

Si la anterior metodologa la podemos considerar un framework, esta es una

metodologa de libro, de manual. La ISSAF se explayaba en 845 pginas y sta, a
pesar de tener solamente 213 pginas, es considerada meticulosa como ninguna.
Revisada recientemente, se encuentra en la versin 3.0 lo que nos da una idea de su
constante revisin y actualizacin tanto conceptual como estratgica. De momento,
no hay traduccin espaola.

Est diseada para ser consistente y repetible y ofrece al mismo tiempo que una
estrategia, tests de evaluacin y medida de riesgos, una valoracin intrnseca en
funcin de los resultados arrojados por los tests. Esto en si mismo es novedoso en
comparacin a las otras metodologas y garantiza esa meticulosidad de la que hace
gala y comentamos en la introduccin de este apartado. Las valoraciones de las
versiones anteriores son incompatibles con la nueva versin.

De hecho, ya establece de antemano la posibilidad de usar hasta 4 tipos de tests en

funcin del alcance y necesidades programadas.

DEFINIR UN TEST DE SEGURIDAD:

Podemos establecer 7 pasos para la definicin de las pruebas que realizar el analista:

Definir qu queremos proteger: los activos. Los mecanismos de proteccin

son los controles que pondrs a prueba para encontrar sus limitaciones.

Identificar la zona, el rea que denominaremos zona de acuerdos alrededor

de la cual hay procesos, mecanismos y servicios construidos para proteger
esos activos.

Definir la zona externa que necesitas para proteger las operaciones de tus
activos... hay aspectos sobre los que podremos incidir (electricidad, agua,
aire, alimentacin, etc) y otros sobre los que no (humedad, sequedad,
colegas, partners, socios, etc...). Esto es, definir el alcance del test.

4
INFORME DE OSSTMM CIBERSEGURIDAD

Definir como el alcance interacta dentro y fuera. Compartimentar los

activos y la direccin desde la que se interacta con y hacia ellos: dentro-
fuera, fuera-dentro, dentro-dentro, fuera-fuera, desde el Departamento A
hacia el B... Estos son los vectores. Cada vector debera ser de forma ideal
un test separado para proteger cada test por separado y de corta duracin,
antes de que pudiera incidir demasiado en cambios dentro del entorno de
trabajo.

Decidir qu equipamiento ser necesario para cada test. Dentro de cada

vector puede suceder que la interaccin suceda a varios niveles. Estos
niveles pueden ser muchos, pero hemos separado 5 canales por funcin.
Cada canal debe ser probado separadamente para cada vector.

Preparar qu informacin pretende extraer de cada prueba. La respuesta

de los activos a cada medida de seguridad. Los tipos de test deben ser
definidos para cada prueba especfica.

Asegurar que las pruebas de cada test cumplen o estn conformes con las
Reglas de Acuerdos (contratos) previos. No hay que crear falsas
expectativas, incomprensiones y malos entendidos.

El resultado final ser lo que denominamos: Superficie de ataque (extensin y

profundidad del ataque es ms correcto).

TIPOS DE TESTS DE SEGURIDAD:

La eleccin del tipo de test no determina ni orienta la aplicacin de todo el sistema de

la metodologa. La implementacin prctica de OSSTMM requiere la definicin
individualizada de las pruebas prcticas. Esto significa que seguir esta metodologa
su aplicacin y su tcnica reflejar el tipo de test que hayamos elegido. Estos pueden
ser (y no se limita a estas combinaciones):

a. Blind (a ciegas): el auditor interacta con el objetivo sin conocimiento previo de

sus defensas, activos o canales (entendidos como vas de acceso)... El objetivo
es preparado para ir avanzando en su conocimiento. Este tipo de test pone a
prueba al propio auditor. Este conocimiento ser mayor cuanta mayor sea la
preparacin del auditor. Unos le llaman hacking tico y otros juegos de
guerra.

5
INFORME DE OSSTMM CIBERSEGURIDAD

b. Double blind (doblemente a ciegas): tambin conocido como tcnica black box
(caja negra). No se sabe bien qu es lo que nos vamos a encontrar.
Prcticamente no se sabe nada del objetivo y ser puesto a prueba de forma
brusca a veces. Su xito depende de la calidad del auditor...

c. Gray box (caja gris): el auditor tiene un conocimiento limitado de las defensas
del objetivo y de sus activos, pero sabe todo acerca de sus canales. El objetivo
conoce el alcance de la auditora, pero no las vas y vectores de ataque. La
eficacia de este tipo de test depender de la calidad de la informacin provista
al auditor antes de que el conocimiento del test revele su aplicabilidad (o no?).

d. Double gray box (o tambin white box): El auditor tiene tambin un

conocimiento limitado de sus defensas y activos y un completo conocimiento
de sus canales. Le diferencia del anterior el hecho de que depender no
solamente de la calidad de la informacin de la que sea provista el auditor, sino
tambin de la que reciba el objetivo.

e. Tndem: Ambas partes conocen todos los detalles de la auditora. Se pone

a prueba la proteccin y los controles aplicados en el objetivo. La verdadera
naturaleza de los tests depende de la meticulosidad con la que se preparen
para tener una visin global de los tests y sus respuestas. Se le llama Cristal
box o proceso transparente donde el auditor ya forma parte del equipo de
seguridad y control de los procesos.

f. Reversal (Reversible): el auditor trabaja con pleno conocimiento de todas las

operativas, pero el objetivo (podemos traducirlo como cliente tambin) no sabe
cmo, ni con qu, ni cuando el auditor le auditar... Todo el proceso depender
de la creatividad y conocimientos del auditor.

En el informe se har constar cul o cules tipos de tests han sido utilizados. Es
Importante comparar posibles desviaciones en comparacin con otros procesos en
similares circunstancias,El alcance comprende 3 canales (vas de acceso) posibles de
actuacin e interaccin:

COMSEC (communications security)

PHYSSEC (physical security)
SPECSEC (spectrum security)

6
INFORME DE OSSTMM CIBERSEGURIDAD
Una meticulosa auditora requiere de pruebas en los tres canales, en realidad, las
auditoras van a depender de la pericia del auditor y los medios y equipamiento
requerido. Este manual disecciona estos 3 canales en 5 secciones lgicas:

CHANNEL SECCIN DESCRIPCIN

Comprende el elemento humano de

comunicacin donde la
HUMANO interaccin puede ser fsica o sicolgica.
PHYSSEC
(entorno
fsico) Pruebas de seguridad fsica los canales son ambos
a la vez
fsicos y no electrnicos. Comprende elementos
FSICO tangibles
donde es necesario esfuerzo fsico o un transmisor de
enrga
para manipulacin.

SPECSEC ELSEC (comunicaciones electrnicas)

(espectro... Wireless SIGSEC (seales)
EMSEC (emanaciones no encadenadas por
wireless) communications cable)

7
INFORME DE OSSTMM CIBERSEGURIDAD

LAS REGLAS DE ACUERDOS (CONTRATOS):

Para no extenderme en los apartados que definen los distintos acuerdos y sus
contenidos, dir que OSSTMM es pulcro y claro en este terreno. Es tico hasta en el
detalle. Ni ofrece ms de lo necesario, ni regala los odos del cliente. Hay ciertos
lmites que todo auditor que use esta metodologa deber respetar... Para muestra,
un botn: no usar el miedo, la duda

y el engao como parte del marketing y el proceso de ventas..., si fallan los tests,
est prohibido ofrecer servicios gratis, etc...

El alcance debe estar perfectamente definido antes de proceder a la auditora...

La planificacin de cada test debe estar limitada al rea de experiencia de cada

miembro del equipo o a la del auditor encargado...

Hay ms, pero no es objeto del estudio presente. Nos centraremos en los aspectos
metodolgicos.

RESULTADOS DE LOS TESTS:

Los resultados de los tests van acompaados habitualmente de las soluciones

recomendadas. stas a veces son un valor aadido en el trabajo de auditora, pero no
son obligatorias. Ms incluso, las soluciones no forman parte de las auditoras
OSSTMM.

El uso de esta metodologa debera concluir con STAR (Security Test Audit Report),
informe de la auditora del test de seguridad... Este tipo de certificacin para empresas,
requiere la siguiente informacin:

Fecha y hora de los tests

Duracin

Nombre de los analistas responsables

Tipo de test

8
INFORME DE OSSTMM CIBERSEGURIDAD

Alcance del test

index o mtodo de enumeracin de objetivos

canales testeados

vector o vectores del test

Mtrica de la superficie de ataque (extensin del ataque)

Cules se han completado y cules no tambin cuales asunto considerando

la validez del test y los resultados

El uso completo de OSSTMM muestra una actualizada medicin de los controles de

seguridad. La no representacin de los informes puede inducir a una fraudulenta
verificacin de los controles de seguridad. El analista debe aceptar su responsabilidad
en los informes inapropiados e imprecisos.

COMPRENDIENDO LA METODOLOGA OSSTMM:

OSSTMM no permite una separacin entre la recoleccin de datos activos y la

verificacin a travs del efecto de la alteracin (el proceso de tests). No diferencia
entre pruebas activas y pasivas. La metodologa requiere ambas cosas. Es ms, el
auditor puede no ser capaz de diferenciarlas. Armonizar OSSTMM con otras
metodologas puede ser contraproducente, solo en la medida que esas constrian el
fluido de esta metodologa ralentizando el proceso ?

Para elegir el tipo de test adecuado hay que comprender primeramente como estn
diseados los MDULOS para trabajar. Dependiendo de la empresa, el tipo de
negocio, el tiempo disponible, los requerimientos de la auditora, el auditor puede
planificar y distribuir los detalles de la auditora por FASES.

Hay cuatro fases para la ejecucin de esta metodologa:

A. Fase regulatoria
Cada viaje empieza en una sola direccin. A menudo el tipo de test se decide aqu.
Habr que tener en cuenta los requerimientos y los lmites de la auditora, as como el
alcance y las restricciones del alcance.

9
INFORME DE OSSTMM CIBERSEGURIDAD

B. Fase de definicin
Conocimiento del alcance interactuando con los objetivos (blancos de la auditora) y
los activos. Aqu s se tiene constancia de la definicin clara del alcance de la auditora.

C. Fase de informacin

Muchas de las auditoras son sobre la informacin que no est cubierta. Los varios
tipos de valores, as como los activos mal ubicados y desatendidos y mal gestionados,
son sacados a la luz.

D. Fase interactiva de prueba y control

Centrada en la penetracin misma y en los trastornos que conlleva. Suele ser la fase
final de los tests. Asegurarse de que las perturbaciones son poco invasivas y que el
efecto de la informacin extrada no pueda ser conocida hasta que otras fases hayan
sido llevadas a efecto. Hay que verificar que las conclusiones son ciertas.

MTRICAS OPERATIVAS DE SEGURIDAD:

Una mtrica operativa es una medida constante que nos informa cuantitativamente de
la relacin de hechos que acontecen en nuestra vida, a nuestro alrededor. Por
analoga, en OSSTMM las mtricas se usan para medir el grado de seguridad de
nuestros activos.

En el argot de esta metodologa, se usan unos patrones denominados Rav (Risk

Assesment Values), valores de evaluacin de riesgos.

10
INFORME DE OSSTMM CIBERSEGURIDAD

En el resto del apartado del manual se hacen sesudas consideraciones para ensear
a hacer clculos Rav. En otra versin de este documento podramos ocuparnos de
ello. El esquema es elocuente ya que nos dice qu factores debemos tener en cuenta
para hacer los clculos en funcin de la permeabilidad de nuestros activos, si existen
o no controles y los lmites de acceso a los mismos.

Las frmulas anteriores y del siguiente:

derivan del esquema

11
INFORME DE OSSTMM CIBERSEGURIDAD

MAPA MENTAL DE OSSTMM

12