07 marzo 2010

Metodología OSSTMM

El Manual de la Metodología Abierta de Testeo de Seguridad (OSSTMM, Open Source Security Testing Methodology Manual) es una metodología que reúne las diversas pruebas y métricas de seguridad, utilizadas por los profesionales durante las Auditorías de Seguridad.

Este documento ha sido desarrollado gracias a un consenso de más de 150 expertos de seguridad de todo el mundo, y se encuentra en constante evolución.

El OSSTMM se centra en los detalles técnicos de los elementos que deben ser probados. ¿Qué hacer antes, durante y después de una prueba de seguridad?, y ¿cómo medir los resultados?

Los casos de prueba se dividen en las siguientes secciones:
  1. Seguridad de la Información
  2. Seguridad de los Procesos
  3. Seguridad en las tecnologías de Internet
  4. Seguridad en las Comunicaciones
  5. Seguridad Inalámbrica
  6. Seguridad Física
Aquí podéis descargar la versión 3 de pago, y la versión 2.2 de forma gratuita.

También es recomendable la lectura del proyecto de fin de carrera (Julio, 2009) de Alberto Hervalejo Sánchez que actualmente trabaja en el Equipo de Hacking Ético de Telefónica I+D. Este proyecto fue tutelado por Dr. Miguel Sánchez López y Jose Selvi, a quien ya conoceréis de Pentester.es

El proyecto consta de 2 partes:
  • Una teórica, donde se explica la totalidad de la OSSTMM con ejemplos, noticias y explicaciones un poco más claras que las que ofrece la OSSTMM 2.2 en inglés. En el que se abordan tanto las métricas como los distintos módulos.
  • Una práctica, donde se ofrece un pequeño test de intrusión que se realizó sobre un reto encontrado por la web.
Lo podéis descargar aquí.

Una lectura interesante para aquellas personas que estén empezando en la Seguridad Informática y también para aquellas que deseen leer la OSSTMM de una forma más amigable.

7 comments :

Anónimo dijo...

A mi el proyecto de Alberto me parece que no aporta nada nuevo y es un copiar y pegar de aquí y de allí.

Laura García dijo...

@Anónimo: como nos comentaba Alberto en el correo que nos envió, han recomendado leer su proyecto a las personas que han llegado nuevas al equipo de trabajo al que él pertenece, facilitándoles la lectura del OSSTMM 2.2 en inglés.

Saludos

Anónimo dijo...

Hay que subirlo de nuevo?

<>

Saludos !!!

Jar0b_ dijo...

Pues yo me lo estoy leyendo, y me parece que está bastante bien explicado y sobretodo, facil de entender.

A alguien como yo, desde luego que me viene que ni pintado.

Anónimo dijo...

Laura, ¿y la parte práctica no está accesible?

Gracias y un saludo

Laura García dijo...

@Anónimo3: los resultados del test de intrusión se encuentran en el pdf del Proyecto.

No me expliqué al indicar "parte teórica", quería decir que no hay material electrónico o grabación del test de intrusión.

Saludos

Miguel dijo...

gracias por el post Laura!