PDF de programación - OSSTMM.2.1.es - Manual de la Metodología Abierta de Testeo de Seguridad

INSTITUTE FOR SECURITY AND OPEN



METHODOLOGIES



OSSTMM 2.1.

Manual de la Metodología Abierta de Testeo de Seguridad


Creado por Pete Herzog



Última Versión:

Nota:

Cambios:

FECHA DE LA ÚLTIMA VERSION:

FECHA DE LA VERSION ORIGINAL:

OSSTMM 2.1

Las secciones y módulos todavía están basados en la versión 2.0. Sin embargo, esta
versión tiende un puente hacia la nueva estructura de la próxima versión, 3.0. Luego de un año y
medio hemos recabado más que suficiente información que permita asegurar un mejor y mas
exhaustivo testeo de seguridad, aunque el formato actual no satisface la estructura deseada
para procesar toda la información obtenida. El nuevo formato garantizará que la información
permita al máximo la transferencia de conocimiento.

Todo el material actualizado hasta la versión 2.5 inclusive, únicamente será distribuido a
nuestros subscriptores.

Los siguientes cambios están incluidos: legibilidad, estructura del documento, las 6
metodologías fueron actualizadas, leyes actualizadas y prácticas recomendadas, estructura de
los lineamientos de acción, reglas basadas en la experiencia, código ético de ISECOM, y cálculo
de RAVs.

Sábado, 23 de agosto de 2003

Lunes, 18 de diciembre de 2000


Ninguna porción o parte de la información contenida en este documento puede ser modificada o vendida sin el

consentimiento expreso de su autor.

Copyright 2000-2003, Peter Vincent Herzog, the Institute for Security and Open Methodologies. Todos los Derechos

Reservados, Disponible para su distribución gratuita bajo la Licencia de Metodología Abierta (OML).

OSSTMM 2.1. –Manual de Metodología Abierta de Testeo de Seguridad
23 de agosto de 2003

Colaboradores

Aquellas personas que han contribuido de manera valiosa y consistente han sido listadas aquí, aunque también
muchas otras personas deberían recibir nuestro agradecimiento. Cada persona recibe un reconocimiento por el
tipo de contribución que ha realizado, pero no se menciona lo que exactamente ha contribuido cada
colaborador. La no revelación de las contribuciones personales a este documento se utiliza con el propósito de
evitar prejuicios y para promover las nuevas ideas. Si UD está interesado en colaborar, por favor acceda al
sitio web de ISECOM para obtener más información.


CREADO POR:
ORGANIZADORES:

ASISTENTES:

COLABORADORES:

Pete Herzog

Director de ISECOM - pete<at>isecom.org

Marta Barceló
Robert E. Lee

Rick Tucker
Nigel Hedges
Colby Clark
Tom O’Connor
Andrea Barisani
Gary Axten
Marco Ivaldi
Raoul Chiesa

Dru Lavigne
Felix Schallock
Anton Chuvakin
Efraín Torres
Lluís Vera
Rogelio M. Azorín
Richard Feist
Rob J. Meijer
John Pascuzzi
Miguel Ángel de Cara
L Chris N Shepherd
Darren Young
Clemens Wittinger
Nabil Ouchn
Sean Cocat
Leonardo Loro
Carles Alcolea
Claudia Kottmann

Jaume Abella
Travis Schack
Andre Maxwell
John Regney
Peter Klee
Martin Pivetta
Daniel Fdez Bleda
Clément Dupuis
Waidat Chan
Josep Ruano Bou
Tyler Shields
Javier Fdez. Sanguino
Vicente Aguilera
John Rittinghouse
Kris Buytaert
Xavier Caballé
Brennan Hay

ISECOM

la Junta Directiva de

Directora Adjunta de ISECOM - marta<at>isecom.org
Vice Presidente de
robert<at>isecom.org
Asesor de la Junta Directiva de ISECOM - rick<at>isecom.org
nigel.hedges<at>ca.com
colby<at>isecom.org
tom91<at>elivefree.net
lcars<at>infis.univ.trieste.it
gary.axten<at>lineone.net
raptor<at>medíaservice.net
raoul<at>medíaservice.net

-

Gerente del OPRP de ISECOM - dru<at>isecom.org
felix.schallock<at>e-security-net.de
anton<at>chuvakin.org
et<at>cyberspace.org
lvera<at>isecb.com
rma<at>isecb.com
rfeist<at>nyxtec.net
rmeijer<at>xs4all.nl
johnpas<at>hushmail.com
miguelangel.decara<at>dvc.es
chris.shepherd<at>icctcorp.com
darren<at>younghome.com
cwr<at>atsec.com
nouchn<at>net2s.com
scocat<at>remingtonltd.com
leoloro<at>microsoft.com
calcolea<at>menta.net
claudia.kottmann<at>gmx.net

jaumea<at>salleurl.edu
travis<at>vitalisec.com
amaxwel3<at>bellsouth.net
sregney<at>gedas.es
klee<at>de.ibm.com
martin.pivetta<at>itatwork.com
dfernandez<at>isecauditors.com
cdupuis<at>cccure.org
waidat<at>interrorem.com
jruano<at>capside.com
tcroc<at>cow.pasture.com
jfernandez<at>germinus.com
vaguilera<at>isecauditors.com
jwr<at>rittinghouse.homeip.net
buytaert<at>stone-it be
xavi<at>caballe.com
hayb<at>ncr.disa.mil



2
Copyright 2000-2003 Peter V. Herzog, ISECOM – Instituto para la Seguridad y las Metodologías Abiertas. – www.isecom.org - www.osstmm.org
ISECOM es la autoridad oficial para las certificaciones OSSTMM Professional Security Tester (OPST) y OSSTMM Professional Security Analyst
(OPSA).

OSSTMM 2.1. –Manual de Metodología Abierta de Testeo de Seguridad
23 de agosto de 2003



ASISTENTES Y
COLABORADORES
ANTERIORES:


TRADUCCIÓN:


COORDINACIÓN
TRADUCCION/REVISIÓN

AGRADECIMIENTOS A

Rafael Ausejo Prieto
Debbie Evans
Daniel R. Walsh
Juan Antonio Cerón
Jordi Martínez Barrachina
Michael S. Hines
Miguel Ángel Domínguez Torres
Rich Jankowski
Manuel Fernando Muiños Gómez
Kevin Timm
Sacha Faust
Ángel Luis Uruñuela
José Luis Martín Mas
Vincent Ip
Anders Thulin
Marcus M. Andersson


rafael<at>ausejo.net
Debbie.Evans<at>dsnuk.com
daniel.walsh<at>Total-Trust.com
ja_ceron<at>terra.es
jordi<at>security.gft.com
mshines<at>purdue.edu
mdominguez<at>security.gft.com
richj<at>lucent.com
mmuinos<at>dsecurity.net
ktimm<at>var-log.com
sacha<at>severus.org
alum<at>phreaker.net
jose.l.martin<at>dvc.es
vincentiptingpong<at>hotmail.com
anders.x.thulin<at>telia.se
marcus.m.andersson<at>telia.se

Marta Barceló
Gabriel O. Zabal
Gabriel Crivelli
Fabián G. Chiera
Xavier Carbonell
Jose Nicolas Castellano
Ezequiel M. Sallis
Carlos Fragoso Mariscal
Hernán Marcelo Racciatti
Javier Fernandez-Sanguino
Andres Mauricio Mujica

marta<at>isecom.org
gabriel<at>alt126.com
gcrivelli<at>femechaco.com
fabian.chiera<at>e-risk.com.ar
xcarbonell<at>isecauditors.com
josenicolas<at>debaleares.net
ezequiel.sallis<at>e-risk.com.ar
cfragoso<at>cesca.es
hracciatti<at>hotmail.com
jfernandez<at>germinus.com
linux<at>seaq.com.co



Organizadores: Esta designación es para aquellos individuos que han aportado su tiempo y energía en crear
un mejor OSSTMM. Para ello fue necesario volver a redactar secciones completas, mejorar los módulos y el
desarrollo de los lineamientos de acción.

Asistentes: Esta designación es para aquellos individuos que han contribuido de modo significativo con ideas,
diseños y desarrollo del OSSTMM. Esto incluye reescrituras de secciones, colaboración en los módulos y una
edición significativa del documento.

Colaboradores: Esta designación es para aquellos individuos que han realizado esfuerzos significativos en la
promoción y explicación del manual OSSTMM en nombre de ISECOM. Esto requirió la escritura de artículos y
publicaciones, mejoras en el OSSTMM y un soporte regular de conocimiento.

Asistentes y Colaboradores Anteriores: Esta designación es para aquellos individuos cuyas ideas y trabajo
aún persiste en las versiones actualizadas del OSSTMM pero que ya no contribuyen de manera regular con el
mismo. Aquellos que han solicitado no continuar afiliados por razones gubernamentales o corporativas, han
sido dados de baja.



3
Copyright 2000-2003 Peter V. Herzog, ISECOM – Instituto para la Seguridad y las Metodologías Abiertas. – www.isecom.org - www.osstmm.org
ISECOM es la autoridad oficial para las certificaciones OSSTMM Professional Security Tester (OPST) y OSSTMM Professional Security Analyst
(OPSA).

OSSTMM 2.1. –Manual de Metodología Abierta de Testeo de Seguridad
23 de agosto de 2003

Prólogo

En las versiones anteriores del OSSTMM, el enfoque principal estaba en QUÉ hacemos como testeadores de
seguridad. Debido al éxito de esas ediciones y la creciente aceptación del OSSTMM en la comunidad de
seguridad de TI, he tenido el prolongado placer de tratar más extensamente y en detalle el OSSTMM.
Para permitir llevar a cabo esta metodología, he creado las certificaciones de Testeador Profesional de
Seguridad OSSTMM (OPST) y de Analista Profesional de Seguridad (OPSA). Además, he tenido el placer de
enseñar estos cursos en numerosas ocasiones, y fue durante estas clases que he observado una creciente
necesidad de definir PORQUÉ realizamos testeos de seguridad.

Cuando tratamos con seguridad y gestión de riesgos, muchos piensan con respecto a estos aspectos en
términos de probabilidades y predecibilidad. Ellos preguntan: ¿Cuales son las chances de que un incidente,
amenaza o ataque pueda ocurrir? ¿Cuán predecible es que este evento ocurra?
Si bien es verdadero que algunas defensas son suficientemente proactivas para identificar ataques
desconocidos e impredecibles, la mayoría de las organizaciones depende de defensas que estén fortalecidas
con una base de datos de los ataques conocidos. Un testeador de intrusión sabe que para contrarrestar las
defensas, también debe tener una base de datos actualizada sobre los ataques conocidos. Esto ayuda en la
rapidez y la efectividad de cada intento. Una y otra vez, determinados "hacks éticos" serán exitosos, y el
testeador apreciará mucho estas joyas de su base de datos de ataques, registrando el índice de éxitos.
Armado de esta información, el testeador de intrusión, intentará abusar de la red de su cliente hasta que uno de
sus ataques tenga éxito.
Esta técnica es de lo mejor, sin embargo en la práctica, la organización del cliente se convierte en un casino y
los testeadores de intrusión están jugando contra los factores predeterminados por su cliente. Esto e