– root@injetionsec:~#

Dicas de metodologias OSSTMM, parte 1

16.07.2014 (5:11 pm) – Filed under: Pentest ::

Bem galera estou dando uma lida agora em algumas metodologias não só OSSTMM mas um geralzão que são abordadas em pentest de suma importância para organizar de seu trabalho para qualquer cliente,tomar algumas perguntas do cliente,tipos de penstest realizado e outros aspectos legais que até então estou achando muito interessante,as dicas que vou estudando postarei por aqui em partes,espero que gostem 🙂

Algumas diretrizes que devemos seguir no OSSTMM

1- O teste foi realizado cuidadosamente.
2- O teste incluiu todos as etapas necessárias.
3- O teste cumpriu com a lei.
4- Os resultados são mensuráveis ​​em um caminho quantificável.
5- Os resultados são consistentes e reproduzíveis.
6- Os resultados contêm somente fatos como derivado dos testes próprios.

Os projetos relacionados,para testar a segurança de qualquer coisa,você precisa primeiro entender o funcionamento,o que é composto,como o ambiente existe,compreender melhor de fato o que vai fazer.

O que preciso saber ?

OPSEC é uma combinação de separação e controles,para uma ameaça ser eficaz, ele deve interagir diretamente ou indiretamente com o recurso. Para separar a ameaça de o recurso é para evitar um possível interação,se a ameaça e os ativos são completamente separada de cada um dos outros. Caso contrário o que você tem é a segurança de o ativo que é fornecida por os controles que você colocou em o ativo ou o grau de que você diminuir o impacto da ameaça,um exemplo,para estar seguro de relâmpagos, você deve ficar dentro de casa durante tempestades, evitar janelas ou outras aberturas, e ter para-raios na região ou no seu proprio telhado.

Portanto, sob o contexto da operação de segurança, nós chamamos a segurança da separação de um ativo e uma ameaça e segurança do controlo de uma ameaça.

Para ter verdadeira segurança de os ativos diferentes devemos ter varios controles que são necessários. No entanto, esses controles também pode aumentar o número de interações dentro do âmbito que significa mais controlos não necessariamente são os melhores,portanto ele é recomendado para usar diferentes tipos de controles operacionais em vez de apenas mais controles,mais controles de um mesmo tipo de operação não fornecer uma defesa em profundidade
Para melhor entender como OPSEC pode trabalhar dentro de um ambiente operacional,deve ser reduzido seus elementos,estes elementos permitem quantificar o “ATAQUE DE SUPERFICIE”,que é a falta de específica de separações e controles funcionais que existem para que “VETOR” tem umaa interação.
A redução resolve a necessidade de ver a segurança como um novo caminho, um que permite existir independente do risco e totalmente capaz de criar uma segurança apropriada.

Confidencialidade,privacidade,autenticidade,resiliência.
Integridade,não-repudio,subjugação
Disponibilidade,continuidade,indenização,alarme

Dentro da metodologia do OSSTMM as limitações são classificações em:

– Vulnerabilidade: erro ou falha que , não dando acesso a bens autorizados a processos e pessoas em si,podem permitir o acesso privilégiado a bens não autorizados de pessoas ou processo que não são permitidos,permite também esconder algo de pessoas ou processos que não estão permitidos no sistemas em si.

– Fraqueza: falha,erro,abuso que anula assim os efeitos de interatividade dos controles:autenticação,indenização,resiliência,subjugação e continuidade

– Preocupação: e uma falha ou erro que pertuba,reduz ou anula os efeitos do processo que controla: não-repudio,confidencialidade,privacidade,integridade e alarme

– Exposição: ação ou falha que fornece diretamente ou indiretamente a visibilidade dos alvos ou dos ativos dentro daquele meio,essa parte pode ajudar um atacante explorar o controle de algum sistema

– Anomalia: qualquer identificação não desconhecida que não tem um controle devido

O quadro abaixo mostra o mapa das limitações juntamente com seus efeitos e valores que são determinados

03ru3

Gerenciando de Limitações

Um outro conceito que temos que ter em mente e que deve ser levado em consideração e o gerenciamento de falhas e erros em uma auditoria,as maneiras simples são: remover o problema da área fornecida ,fixar-lhe ou aceitar os riscos como parte do negocio

Uma auditoria muitas das vezes vamos descobrir mais coisas que devia-mos saber, o analista e para denunciar as limitações dos alvos não apenas os pontos fracos.
Essas limitações podem ser proteção de medicas,controle, e etc,cada limitação pode ser classificada para restringir os danos reais,cada limitação deve ser examinada e calculada em termos específicos dos componentes básicos,devemos estar certo de nunca denunciar uma falha dentro de outra falha