OSSTMM Resumen

UNIVERSIDAD ANDRÉS BELLO FACULTAD DE INGENIERÍA INGENIERÍA EN COMPUTACIÓN E INFORMÁTICA

MANUAL DE LA METODOLOGÍA ABIERTA DE TESTEO DE SEGURIDAD OSSTMM

Nombre: Juan Vásquez Carrasco Profesor: Gabriel Bergel

SANTIAGO – CHILE OCTUBRE 2014

Índice 1.- INTRODUCCIÓN ............................................................................................... 2 2.- HISTORIA .......................................................................................................... 3 3.- ETHICAL HACKING ........................................................................................... 5 4.- PRINCIPALES ETAPAS DE OSSTMM .............................................................. 8 5.- TESTING MÁS IMPORTANTE ......................................................................... 9 6.- RAV (Valores de Evaluación de Riesgos) ....................................................... 10 7.- IMPORTANCIA DE APLICAR OSSTMM EN UN ETHICAL HACKING ............ 11 8.- RELACIÓN CON LA ISO 27008 ...................................................................... 12 9.- CONCLUSIONES ............................................................................................ 13

1

1.- INTRODUCCIÓN La presente investigación, tiene por objetivo conocer la Metodología OSSTMM (Open Source Security Testing Methodology Manual), como uno de los estándares profesionales más completos y comúnmente utilizados a la hora de revisar la Seguridad de los Sistemas desde Internet. Está siendo actualizado constantemente por expertos en el tema de seguridad y pasa a ser uno de los mejores manuales para pruebas de seguridad y métrica, que se enfoca específicamente en los detalles técnicos a comprobar, qué vigilar durante el proceso de comprobación desde la preparación hasta la evaluación post comprobación y, con un gran énfasis en el cómo deben ser medidos y evaluados los resultados. A lo largo de este documento, analizaremos parte de él y haremos algunas conclusiones de la percepción que nos ha dejado el documento.

2

2.- HISTORIA La primera versión de OSSTMM apareció en Diciembre de 2000, creada por Pete Herzog, director de ISECOM (Institute for Security and Open Methodologies), en conjunto con más de 150 colaboradores directos, además de la comunidad mundial de profesionales de la seguridad. Ha marcado un cambio significativo, a la hora de llevar los testeo de seguridad, entregando a las personas que realizan dichos testeos, un marco de trabajo que permite transparencia y calidad en cada uno de los procesos. Hasta la fecha de la publicación de OSSTMM, no existía algún documento que entregara de forma abierta y estandarizada, las diferentes necesidades del profesional cuando se realiza un testeo de seguridad, o si existían, carecían de aspectos como el sentido de colaboración por parte de la propia comunidad de profesionales, que finalmente, son los grandes colaboradores en la construcción del OSSTMM.

La siguiente tabla, muestra algunas de las versiones disponibles en internet, y que nos entregan algunas de las diferencias entre estas y sus principales características: Versión/Fecha Primera versión Diciembre 2000

2.1 23 Agosto 2003

Características Indicaba los paso que debería hacer un testeador de seguridad, en su versión inicial

Las secciones y módulos todavía están basados en la versión 2.0. Sin embargo, esta versión tiende un puente hacia la nueva estructura de la próxima versión, 3.0.

Cambios Primera versión

Legibilidad, estructura del documento, las 6 metodologías fueron actualizadas, leyes actualizadas y prácticas recomendadas, estructuras de los lineamientos de acción, reglas basadas en la experiencia, código ético de ISECOM y cálculo de RAVs.

3

2.2 13 Dic. 2006

Esta versión del OSSTMM incluye más de la nueva metodología 3,0





3.0 14 Dic. 2010

Da por terminado las versiones 2.x y las  deja obsoletas



Esta versión incluye las reglas actualizadas de participación y reglas para las auditorías de certificación OSSTMM. Correcciones adicionales incluyen RAV y Tipos de errores La metodología fue re-escrita totalmente, revisando minuciosamente cada uno de sus puntos. Re-ordenado el Mapa de Seguridad Nuevo concepto de dashboards, que nos permite organizar más fácilmente los datos procedentes de los RAVs y explicarlos mejor. Se explican mejor y se le da más relevancia a los Valores de la Evaluación de Riesgo o RAV, entre otros.



A lo largo de estos años mucho ha sido el esfuerzo y el trabajo de investigación llevado adelante por el equipo de ISECOM, no obstante no muchas han sido las versiones de carácter público, aunque cada una de ellas ha brindado muestras claras de la dirección que el proyecto debía tomar, siendo esta, una que permitiera arribar a una metodología capaz de cubrir las necesidades del profesional de seguridad y las organizaciones, respecto de las tareas de evaluación de la seguridad, siendo capaz a la vez de evolucionar de modo tal que, fuera posible eliminar la mayor cantidad posible de subjetividades de los test de evaluación, brindando de este modo una visión algo más “científica” de la tarea.

4

3.- ETHICAL HACKING Consiste en simular posibles escenarios donde se reproducen ataques de manera controlada, así como actividades propias de delincuentes cibernéticos, tomando la idea de que “para atrapar a un intruso, primero debes pensar como intruso”. Su objetivo principal es explotar las vulnerabilidades existentes en el sistema de interés, valiéndose de test de intrusión, que verifican y evalúan la seguridad física y lógica de los sistemas de información, redes de computadora, aplicaciones web, bases de datos, servidores, etc. Con la intención de ganar acceso y demostrar que un sistema es vulnerable. Esta información es de gran ayuda las organizaciones al momento de tomar las medidas preventivas en contra de posibles ataques malintencionados. Para garantizar la seguridad es Informática, se requiere de un conjunto de sistemas, métodos y herramientas destinados a proteger la información, es aquí donde entran los servicios de “Ethical Hacking”, la cual es una disciplina de la seguridad informática que emplea una gran variedad de métodos para realizar sus pruebas, estos métodos incluyen tácticas de ingeniería social, uso de herramientas de hacking, uso de Metasploits que explotan vulnerabilidades conocidas, etc. Son válidas todas las tácticas que conllevan a vulnerar la seguridad y entrar en áreas críticas de las organizaciones. A través de estas actividades, es posible detectar el nivel de seguridad interno y externo de los sistemas de información de una organización, esto se logra determinando el grado de acceso que tendría un atacante con intenciones maliciosas a los sistemas informáticos con información crítica.

5

La realización de las pruebas de pruebas de penetración está basada en las siguientes fases: 1.- Recopilación de información

2.- Descripción de la red

3.- Exploración de los sistemas

4.- Extracción de la información

5.- Acceso no autorizado a información

6.- Auditoría de aplicaciones Web

7.- Elaboración de informes

8.- Informe final

Las pruebas de penetración se enfocan principalmente en las siguientes perspectivas: 

Pruebas de penetración con objetivo: se buscan las vulnerabilidades en partes específicas de los sistemas informáticos críticos de la organización.



Pruebas de penetración sin objetivo: consisten en examinar la totalidad de los componentes de los sistemas informáticos pertenecientes a la organización. Este tipo de pruebas suelen ser las más laboriosas.



Pruebas de penetración a ciegas: en estas pruebas sólo se emplea la información pública disponible sobre la organización.



Pruebas de penetración informadas: aquí se utiliza la información privada, otorgada por la organización acerca de sus sistemas informáticos. En este tipo de pruebas se trata de simular ataques realizados por individuos internos de la organización que tienen determinado acceso a información privilegiada.



Pruebas de penetración externas: son realizas desde lugares externos a las instalaciones de la organización. Su objetivo es evaluar los mecanismos perimetrales de seguridad informática de la organización.



Pruebas de penetración internas: son realizadas dentro de las instalaciones de la organización con el objetivo de evaluar las políticas y mecanismos internos de seguridad de la organización.

6

A su vez, cada tipo de pruebas descrito anteriormente se puede ubicar en dos modalidades dependiendo si el desarrollo de las pruebas es de conocimiento del personal informático o no. Red Teaming: Es una prueba encubierta, es decir que sólo un grupo selecto de ejecutivos sabe de ella. En esta modalidad son válidas las técnicas de "Ingeniería Social" para obtener información que permita realizar ataque. Ésta obviamente es más real y evita se realicen cambios de última hora que hagan pensar que hay un mayor nivel de seguridad en la organización. Blue Teaming: El personal de informática conoce sobre las pruebas. Esta modalidad se aplica cuando las medidas tomadas por el personal de seguridad de las organizaciones ante un evento considerado como incidente, repercuten en la continuidad de las operaciones críticas de la organización, por ello es conveniente alertar al personal para evitar situaciones de pánico y fallas en la continuidad del negocio.

7

4.- PRINCIPALES ETAPAS DE OSSTMM Si bien es cierto, OSSTMM se encuentra seccionada por fases bien definidas que a su vez, están divididas cada una para abarcar cada una de las áreas involucradas en la seguridad de la información, estas fases principales son: 

Seguridad de la Información



Seguridad de los Procesos



Seguridad en las Tecnologías de Internet



Seguridad en las Comunicaciones



Seguridad Inalámbrica



Seguridad Física

Además se plantean categorizaciones para identificar el alcance de las pruebas de testeo en cada una de las áreas, como son: Búsqueda de vulnerabilidades, escaneo de seguridad, test de intrusión, evaluación de los riesgos, auditoría de seguridad, hacking ético. Se trata de realizar una medición del estado de la seguridad en ambiente donde se desarrollan operaciones, teniendo en cuenta las medidas de seguridad en las interacciones y las debilidades o vulnerabilidades que éstos puedan presentar. Se define el concepto de seguridad operacional como una combinación entre separación y controles, donde la separación de una amenaza y el activo, representa la seguridad total, y en caso de no poder separar la amenaza del activo, se establecen controles para la protección. Analizando todas estas características, en mi opinión, todas y cada una de estas etapas de la Metodología, tienen el carácter de principales y me justifico en que no importa el área, no importa la información, no importa la cantidad de personas que trabajen o existan en un lugar determinado, en cada una de estas áreas es imprescindible dotar de los sistemas de una protección que minimice el impacto que pueda ocasionar una intrusión, aplicando controles en cada una de estas áreas, Me parece fantástica la idea de separar para brindar la seguridad total y en el caso de no poder separar, aplicar más controles para aumentar la protección.

8

5.- TESTING MÁS IMPORTANTE Me basaré en una apreciación personal y un concepto que a lo largo de la vida he aplicado no solo para la seguridad de la información, sino que también en muchas áreas que no tienen nada que ver con informática, esto es, el principio de que cada uno debiera saber lo que exclusivamente le corresponde y, de la mano con esto, creo que el Testing más importante es el de Ingeniería social, uno de los test más sencillos y con menos requerimientos técnicos. Este tipo de ataque, sí requiere de conocimientos intelectuales que provean las herramientas y técnicas necesarias para capturar la mayor cantidad información de una empresa u organización (servidores, contraseñas, número de teléfono, etc…) de los empleados o de la empresa, para posteriormente con estos mismos, efectuar ataques contra los sistemas. Volviendo a la primera idea planteada, y contrastando con el segundo párrafo, al entregar a los usuarios información solamente de lo que deben saber para desarrollar el trabajo y complementando esto con una política de seguridad de entrega de información, se disminuye considerablemente el riesgo de que información importante, quede en manos de terceros. Obviamente, los esfuerzos mayores son aquellos que debemos esperar de las personas que trabajan con la información, ya que si no existe el compromiso de efectivamente poner en práctica estas políticas, todos nuestros esfuerzos quedarán opacados y harán que nuestras políticas no sean más que un montón de papeles con algo escrito. Es importante tener presente que aquellas medidas de seguridad que se implementen con procedimientos automatizados o con hardware, son efectivos en la medida en que se configuren de forma correcta y se les mantenga con un plan escrito, sin embargo, aquellas medidas de seguridad en que se les instruye a las personas las políticas de seguridad que se deben aplicar, siempre quedarán al margen del cumplimiento del personal. Somos lo más débil, si de seguridad se trata.

9

6.- RAV (Valores de Evaluación de Riesgos) Los RAV se encuentran integrados en cada módulo, definiéndose como la elevación del riesgo en un ciclo específico, basándose en mejores prácticas en test realizados de manera periódica. Las métricas de seguridad proporcionadas por OSSTMM permiten:   

Establecer un ciclo estándar de tiempo para testear. Mantener en niveles cuantificables los riesgos cuya gravedad cambia con el tiempo. Medir el riesgo de forma detallada antes y después del análisis.

Factores que definen matemáticamente a los RAV:     

Grados de degradación de los módulos por separado. Determinar el ciclo de más duración requerido para la degradación total. Influencia de otros módulos. Procesos establecidos por las dimensiones de seguridad. Tipo de riesgo y si han sido: o Identificado (no investigado sin resultados concluyentes). o Verificado (vulnerabilidad explotada o un positivo absoluto). o No aplicable (no aplicable o mecanismo de seguridad ausente).

Los tipos de Riesgos, que permiten una visión bastante objetiva si se sigue el marco de trabajo del OSSTMM, se muestran en la siguiente tabla, con los parámetros para los valores de la Evaluación de Riesgos:

Vulnerabilidad Debilidad Preocupación Filtrado de Información Desconocidos

Verificado 3.2 1.6 0.8 0.4 0.2

Identificado 1.6 0.8 0.4 0.2 0.1

No Aplicable 0.4 0.3 0.2 0.1 -

10

7.- IMPORTANCIA DE APLICAR OSSTMM EN UN ETHICAL HACKING En mi opinión personal, el seguir las recomendaciones propuestas por la Metodología OSSTMM y, tomando en cuenta la importancia que el mundo profesional en el área de Seguridad le ha dado a esta metodología, propone una de las mejores y más confiables guías con un marco de trabajo que permite transparencia y calidad en cada uno de los procesos asociados a Ethical Hacking. El aplicar esta metodología creo que es lo más importante dentro de un Ethical Hacking, ya que divide todas y cada una de las áreas que pueden ser afectadas por intrusión y que, muchos profesionales especialistas en seguridad, han aportado con información valiosa para que esta guía sea lo más completa posible. El punto está en que esta metodología puede proponer actividades a realizar en cada área, sin embargo, creo que no asegura 100% que mi sistema informático no pueda ser atacado por terceros. Si bien es cierto, este manual es bastante amplio y detallado en lo que recomienda o propone, y estando a disposición de la mayoría de las personas, podríamos pensar perfectamente que con ello tenemos las herramientas suficientes para proteger nuestro sistema, sin embargo, así como nosotros tenemos acceso a estos documentos, estos también llegan a manos de aquellas personas que se dedican a hacer lo contrario, y perfectamente podrían tomas esta guía como un manual de las cosas que deben vulnerar y en base a lo que se propone, modificar sus procedimientos, evolucionando y perfeccionando sus técnicas de intrusión. No siempre seremos blancos de terceros para intrusión porque quizás nuestro sistema no sea llamativo para este tipo de actividades, pero no por ello debemos dejar un sistema sin seguridad, porque no siempre se busca obtener ganancias monetarias en este tipo de actividades.

11

8.- RELACIÓN CON LA ISO 27008 ISO 27008 es un estándar que suministra orientación acerca de la implementación y operación de los controles, es aplicable a cualquier tipo y tamaño de empresa, tanto pública como privada que lleve a cabo revisiones relativas a la seguridad de la información y los controles de seguridad de la información. Supone un valor añadido y una mejora en la calidad de las normas de la serie ISO 27000. OSSTMM es un manual que pretende ser una norma y que, finalmente incluye a diferencia de la norma, orientaciones específicas sobre la verificación del cumplimiento relativo a la medición y evaluación de riesgos (RAV). Sin embargo, como se puede apreciar, ambas pretenden orientar en cierta medida a las organizaciones o empresas públicas o privadas, a aplicar los controles de seguridad en sistemas de información. Ambas pretender entregar una guía bastante completa, abarcando cada una de las áreas en las que se deben aplicar controles. Cada una con un cierto grado de precisión.

12

9.- CONCLUSIONES Si bien es cierto, la lectura de la Metodología como de la ISO 27008 no se efectuó de forma completa, sino más bien aquellos puntos que se consideraron más relativos e importantes para esta investigación, esta hace pensar y deja claro que la seguridad en sistemas informáticos no es un tema menor, al que podamos dejar de prestar atención cuando trabajamos en un sistema o pertenezcamos a una empresa que utilice sistemas. Hacer uso de estas herramientas, nos provee de una base sólida para implementar en nuestras organizaciones, base que puede ayudarnos y sacarnos de más de algún problema como desarrolladores de sistemas.

13