sqa days2010 polazhenko_osstm
DESCRIPTION
TRANSCRIPT
![Page 1: Sqa days2010 polazhenko_osstm](https://reader036.vdocuments.net/reader036/viewer/2022081413/546f7e4faf79599a0a8b457b/html5/thumbnails/1.jpg)
ОТКРЫТЫЙ ФРЕЙМВОРК ПО ТЕСТИРОВАНИЮ
БЕЗОПАСНОСТИ - OSSTMСергей Полаженко
Лаборатория тестированияМинск, Беларусь
![Page 2: Sqa days2010 polazhenko_osstm](https://reader036.vdocuments.net/reader036/viewer/2022081413/546f7e4faf79599a0a8b457b/html5/thumbnails/2.jpg)
Тестирование безопасности
оценка уязвимости программного обеспечения к различным атакам (Википедия)
![Page 3: Sqa days2010 polazhenko_osstm](https://reader036.vdocuments.net/reader036/viewer/2022081413/546f7e4faf79599a0a8b457b/html5/thumbnails/3.jpg)
Тестирование на проникновение
Метод оценки защищённости компьютерной системы или сети путём эмулирования атак от имени подозрительного (нелигитимного) субъекта, часто называемого как Black Hat Hacker, or Cracker (Википедия)
![Page 4: Sqa days2010 polazhenko_osstm](https://reader036.vdocuments.net/reader036/viewer/2022081413/546f7e4faf79599a0a8b457b/html5/thumbnails/4.jpg)
Хакер
(от hack — разрубать) — чрезвычайно квалифицированный ИТ-специалист, человек, который понимает самые основы работы компьютерных систем. Это слово также часто употребляется для обозначения компьютерного взломщика, что в общем случае неверно.(Википедия)
![Page 5: Sqa days2010 polazhenko_osstm](https://reader036.vdocuments.net/reader036/viewer/2022081413/546f7e4faf79599a0a8b457b/html5/thumbnails/5.jpg)
Популярные методологии
OSSTM - www.osstmm.org OWASP - www.owasp.org
![Page 6: Sqa days2010 polazhenko_osstm](https://reader036.vdocuments.net/reader036/viewer/2022081413/546f7e4faf79599a0a8b457b/html5/thumbnails/6.jpg)
Популярные стандарты
Cobit ISO/IEC 2700x SANS ISSAF NIST PCI DSS
![Page 7: Sqa days2010 polazhenko_osstm](https://reader036.vdocuments.net/reader036/viewer/2022081413/546f7e4faf79599a0a8b457b/html5/thumbnails/7.jpg)
ISECOM
Pete Herzog 2001 год Испания, Барселона OSSTM(M) Hacker Highschool Accredited trainings
![Page 8: Sqa days2010 polazhenko_osstm](https://reader036.vdocuments.net/reader036/viewer/2022081413/546f7e4faf79599a0a8b457b/html5/thumbnails/8.jpg)
OSSTM
Ожидается 3.0 версия cо дня на день В декабре 2006 года вышла v. 2.2 В 2003 году вышла v. 2.0 Старт 2001 год
![Page 9: Sqa days2010 polazhenko_osstm](https://reader036.vdocuments.net/reader036/viewer/2022081413/546f7e4faf79599a0a8b457b/html5/thumbnails/9.jpg)
OSSTM buzz
Версия 3.0 анонсирована в 2007 году В данный момент предлагается за
деньги золотым и серебрянным подписчикам
Соответствие бесконечному множеству норм и стандартов
![Page 10: Sqa days2010 polazhenko_osstm](https://reader036.vdocuments.net/reader036/viewer/2022081413/546f7e4faf79599a0a8b457b/html5/thumbnails/10.jpg)
Лицензия v. 2.0
Версия 2.0 (выпущена в феврале 2003) ссылается к GPL, но также содержит изречение на первой странице документа:
"Any information contained within this document may not be modified or sold without the express consent of the author."
![Page 11: Sqa days2010 polazhenko_osstm](https://reader036.vdocuments.net/reader036/viewer/2022081413/546f7e4faf79599a0a8b457b/html5/thumbnails/11.jpg)
Лицензия v. 2.2
Версия 2.2 (выпущена в ноябре 2006) изречение на первой странице документа:
"Any information contained within this document may not be modified or sold without the express consent of ISECOM. OSSTMM for free dissemination under the Open Methodology License (OML) and CC Creative Commons 2.5 Attribution-NonCommercial-NoDerivs"
![Page 12: Sqa days2010 polazhenko_osstm](https://reader036.vdocuments.net/reader036/viewer/2022081413/546f7e4faf79599a0a8b457b/html5/thumbnails/12.jpg)
No Open Source!
"Open Methodology License":www.isecom.org/oml.shtml
CC Creative Commons 2.5 with NoDerivs and NonCommercial
Никто не может: выпускать новые версии OSSTMM (кроме ISECOM) использовать OSSTMM для коммерческих нужд
(продажа в качестве книги) Создавать коммерческое ПО, основанное на
OSSTM
![Page 13: Sqa days2010 polazhenko_osstm](https://reader036.vdocuments.net/reader036/viewer/2022081413/546f7e4faf79599a0a8b457b/html5/thumbnails/13.jpg)
OSSTM
![Page 14: Sqa days2010 polazhenko_osstm](https://reader036.vdocuments.net/reader036/viewer/2022081413/546f7e4faf79599a0a8b457b/html5/thumbnails/14.jpg)
Цель
Обеспечить научную методологию для достаточной точной характеристики безопасности при помощи экзаменации и корреляции согласованным и надёжным способом
Стандартизация подхода к тестированию безопасности
To make security have sense
![Page 15: Sqa days2010 polazhenko_osstm](https://reader036.vdocuments.net/reader036/viewer/2022081413/546f7e4faf79599a0a8b457b/html5/thumbnails/15.jpg)
Задачи
Обеспечить руководства, следуя которым позволит аудитору выполнить сертифицированный OSSTMM аудит
Тест совершён полностью Тест охватил все необходимые каналы Тест не нарушает законных прав
задействованных лиц Результаты тесты измеримы Результаты теста последовательны и повторяемы Результаты теста содержат только факты,
полученные непосредственно из теста
![Page 16: Sqa days2010 polazhenko_osstm](https://reader036.vdocuments.net/reader036/viewer/2022081413/546f7e4faf79599a0a8b457b/html5/thumbnails/16.jpg)
Виды тестирования
![Page 17: Sqa days2010 polazhenko_osstm](https://reader036.vdocuments.net/reader036/viewer/2022081413/546f7e4faf79599a0a8b457b/html5/thumbnails/17.jpg)
Scope
безопасность информации (Information Security)
безопасность процесса (Process Security) безопасность Интернет технологий (Internet
Technology Security) безопасность коммуникаций (Communications
Security) безопасность беспроводных сетей (Wireless
Security) физическая безопасность (Physical Security)
![Page 18: Sqa days2010 polazhenko_osstm](https://reader036.vdocuments.net/reader036/viewer/2022081413/546f7e4faf79599a0a8b457b/html5/thumbnails/18.jpg)
Security Map
![Page 19: Sqa days2010 polazhenko_osstm](https://reader036.vdocuments.net/reader036/viewer/2022081413/546f7e4faf79599a0a8b457b/html5/thumbnails/19.jpg)
Perfect Security
![Page 20: Sqa days2010 polazhenko_osstm](https://reader036.vdocuments.net/reader036/viewer/2022081413/546f7e4faf79599a0a8b457b/html5/thumbnails/20.jpg)
Содержание
Терминология Описание методологии тестирования
(модули, секции) Описание примеров тестов по каждой
секции Пример документов для сбора
информации и выдачи результатов
![Page 21: Sqa days2010 polazhenko_osstm](https://reader036.vdocuments.net/reader036/viewer/2022081413/546f7e4faf79599a0a8b457b/html5/thumbnails/21.jpg)
Выводы
Интересный пример открытого фреймворка по организации процесса тестирования безопасности информационных систем
Позволяет взглянуть на безопасность приложения значительно более широко
Дает готовые примеры тестов и артефакты тестирования
Не «готове решение»