En el último año han aparecido enel panorama nacional muchas em-presas proveedoras de servicios deseguridad informática. Algunas de

ellas con equipos técnicos de un altísimo ni-vel, expertos en hacking, programación, siste-mas operativos, sistemas de protección, políti-cas de seguridad y continuidad, etc., pero al-gunas otras no. Lo mismo ha sucedido con lasmetodologías de trabajo utilizadas en las au-ditorías de seguridad. Hace ya casi tres años,una metodología irrumpía en Internet, undocumento abierto, desarrollado por un neo-yorquino afincado en España que llevaba añostrabajando para entidades financieras y orga-nismos públicos a través de importantes em-presas multinacionales. Su nombre, Pete Her-zog, y lo que en aquel momento fue un docu-mento de unas pocas páginas l lamadoOSSTMM (Open Source Security TestingMethodology Manual) es, actualmente, lametodología más completa y exhaustiva pararealizar una auditoría externa de seguridad so-bre las infraestructuras de Sistemas de Infor-mación de una empresa. Y lo más importantesin lugar a dudas, es abierta, es decir, cual-quiera que tenga el tiempo y las ganas necesa-rias puede descargarse y leerse el documentode cerca de 150 páginas que componen el ma-nual y contribuir a mejorarlo. Paralelamente, amediados del año 2001, Internet Security Au-ditors comenzaba a ofrecer auditorías de segu-ridad empleando esta metodología práctica-mente desconocida en España, mientras que

Mapa de Metodología OSSTMM

por aquellos entonces la mayoría de proveedo-res de auditorías de sistemas presumían de susmetodologías propietarias y totalmente opacasa sus clientes.

Desde entonces hasta ahora, gran cantidadde empresas han aparecido o han adoptado laOSSTMM para sus auditorías, con leves deta-lles, que precisamente son los que presentare-mos en este artículo.

Pero la OSSTMM es algo más que un con-junto de pruebas y objetivos para llevar a cabo

Red Seguridad 28 Noviembre 2003

búsqueda de un cdeontol

una auditoría de seguridad y precisamente esosotros importantes aspectos son los que se hanobviado en muchos casos. Nos referimos a lasnormas éticas definidas en la OSSTMM, por-que, ¿cómo podemos generar confianza las em-presas de servicios informáticos, y en especiallas empresas de seguridad, si no seguimos uncódigo ético como los códigos deontológico ysimilares?

El "problema" de los códigos éticos es que,en algunos casos, puede implicar una pérdidade negocio a corto plazo, incrementándolo alargo plazo de forma considerable, precisa-mente como consecuencia de la confianza quese genera en los clientes que apuestan poraquellas empresas que siguen estas premisaséticas.

En agosto de 2003, el Instituto para la Segu-ridad y Nuevas Metodologías(ISECOM, Institute for Secu-rity and Open Methodologies)presentó las "Rules of Engage-ment" (págs. 18-19,OSSTMM v 2.1), que preten-den mostrar la normas éticas aseguir en las auditorías y con-sultorías de seguridad desde laventa hasta su real izacióncuando se emplea laOSSTMM. Las normas sonparte de la OSSTMM, la cuales revisada y consensuada porla propia comunidad interna-cional de expertos en seguri-dad. Y quizás por esto puedaser el comienzo de un códigodeontológico a aplicar por lasempresas de seguridad.

En este artículo pretendemos mostrar las in-quietudes del creador del OSSTMM en cuantoa ética y cómo ésta es posible en el mundo em-presarial real, donde un ejemplo de ello puedeser Internet Security Auditors.

Ética para hackers éticosEl ISECOM está real izando una serie deAnuncios de Servicio Público (PSA, PublicService Announcements) con el fin de comba-tir la falta de ética en el sector de la seguridad,

con el objetivo de definir una conducta ade-cuada de trabajo.

Uno de los comentarios más habituales es:"Los vendedores te venden el miedo a hackers,virus, gusanos, ciberterroristas y hasta miedo ala ley. Pero comprar seguridad a una personaasí es probablemente la peor cosa que puedehacer". Este PSA hace referencia a la primeraregla:

Regla 1.1: Para vender auditorías de seguri-dad no se puede utilizar el miedo, la incerti-dumbre o la duda en presentaciones comercia-les, sitios web, materiales de soporte, informeso discusiones sobre auditorías de seguridad.Esto incluye, pero no se limita, al propio cri-men, hechos, perfil del criminal o hacker y es-tadísticas.

PSAs adicionales incluyen:"Hackers, virus, gusanos, ciberterroristas y

ahora abogados. ¿En qué momento la seguri-dad fue un impedimento para hacer negocios?"y "Todo el dinero gastado en una auditoría deseguridad y en el asesoramiento de un consul-tor ha servido para acabar comprando sus pro-pios productos. ¿Cuándo se ha convertido laseguridad en este juego de engaños?"

www. isecom. org

Estos PSAs pueden parecer duros, pero real-mente están tratando un tema muy serio en elsector de la consultoría en seguridad, dondeabunda el trabajo mal hecho por gente no cua-lificada. El problema es doble: por una parteestá la imagen que el mundo tiene de los"Hackers Éticos" y por otra está la poca madu-rez de la profesión, ya que se ha visto forzada acrecer de una forma muy rápida.

Aunque ahora no parezca un problema, a

Red Seguridad 29 Noviembre 2003

medida que madure la segundad y más empre-sas aprendan a comprar seguridad, solamentevan a trabajar aquellas compañías que se adhie-ran a un estándar profesional. El siguientepaso para el ISECOM es el lanzamiento de unworkbook sobre las Auditorías y Análisis de laseguridad en las empresas que incidirá en lasreglas a seguir por los clientes para comprar se-guridad. Uno de los sectores que aguardan conmás impaciencia este manual es la banca. ElISECOM espera que resulte mejor ser éticoque no serlo para aquellas personas para lasque ser honesto no es suficiente recompensa ensí mismo.

La respuesta de la gente a la utilización delas Normas de Contratación está siendo muypositiva, sin embargo hay una serie de preocu-paciones y preguntas que siempre se repiten.Las cinco preocupaciones más repetidas son:

1. Si no podemos utilizar ningún tipo de es-tadística acerca del número de deficiencias deseguridad, del número de intrusiones, etc.¿Cómo tenemos que contestar a un cliente quenos pregunta por qué pensamos que necesitauna Auditoría de Seguridad?

El esquema de venta de la seguridad puedeser de bastantes formas. De todas ellas, laúnica donde se tiene que vender la necesidadde pasar una auditoría de seguridad es aquellaen la que el cliente ha tenido un desengañocon algún tipo de auditoría de segundad. Nor-

malmente, la mayoría de la gente de negocio yde las TI entienden el concepto de las audito-rías de seguridad. Casi todos conocen la exis-tencia de virus y hackers, puesto que constan-temente aparecen en las noticias. Como vende-dor, sentado delante del cliente, solamente setienen unos pocos minutos para captar y man-tener la atención del comprador, ¿por qué in-tentar asustarlo?

La Regla 1.1 existe porque muy pocas perso-nas están introduciendo el valor de negocio(ROI) en las auditorías de seguridad, lo cual

no deja de ser curioso ya que esto es justa-mente lo que quieren oír los clientes. Al hacereste tipo de preguntas, desean una respuesta denegocio, no desean oír conjeturas para hacerlestener miedo, ya que para eso ya ven las noti-cias. Lo que quieren es tener fundamentos parapoder justificar este tipo de inversión. Es nece-sario convencer al cliente de que una auditoríade seguridad les permitirá utilizar de forma se-gura la mayor fuente de información delmundo para hacer más dinero: Internet.

Es asombrosa la cantidad de estadísticas quese muestran en las presentaciones para infun-dir temor. Las estadísticas no pueden tenermenos valor en este caso. ¿Por qué perder eltiempo con estadísticas del FBI que se obtuvie-ron de no se sabe dónde? ¿Es posible verificarla fuente de donde salieron? ¿Se puede verificarcómo se llevaron a cabo las entrevistas? ¿Sepuede verificar cómo fueron calculadas las di-ferentes cantidades? El análisis estadístico esmuy útil en muchos ámbitos, pero para venderseguridad, no. Es importante recordar que lasestadísticas pueden servir tanto para probarcomo para refutar cualquier cosa. Es mejorquitar esas transparencias de las presentacionesy centrarse en vender la experiencia y conoci-mientos de la compañía.

2. Nosotros no cobramos por un Test de In-trusión si no conseguimos entrar dentro de lared analizada. Esta es la política de empresa, yaque de esta forma le damos al cliente la con-fianza de que nuestros técnicos realizarán sutrabajo de la mejor manera posible. ¿Por quélas Normas de Contratación no permiten estetipo de política?

A primera vista puede parecer correcto, perolo que realmente se está promoviendo es lafalta de profesionalidad en el sector de la segu-ridad. Si no, piense en cualquier otra profesiónya establecida que haga auditorías de alguna ootra manera. ¿En cual le dan su conocimientoy experiencia profesional de forma gratis si nohay problemas? Si usted va al dentista para surevisión semestral, ¿será gratis si no hay pro-blemas? Si usted va al mecánico para hacer unarevisión del coche antes de un viaje largo, ¿serágratis la revisión si no encuentran problemas?Y si a usted le hace la declaración de la rentaun contable y le sale a pagar, ¿será gratis? Enmás del 99% de los casos convendrá que debepagar un servicio profesional tanto si es por eltiempo del profesional como por un servicioespecífico.

Como truco de marketing también es una

Red Seguridad 30 Noviembre 2003

mala idea, puesto que cuestiona la validez dela empresa y promueve una desconfianza ge-neral, ya que el cliente no pensará que conello va a conseguir que los técnicos trabajen almáximo de sus posibilidades, sino que va apensar que se le está ocultando alguna cosa. Sino se es claro al definir "entrar dentro de lared analizada" se está abriendo posibles pro-blemas legales en un futuro. Los objetivos hande ser claros y de mutuo acuerdo con elcliente. El camino hasta la red a analizar tam-bién ha de quedar delimitado en el alcance,así como también ha de quedarbien definida la utilización o no deingeniería social o ataques de dene-gación. Si todo esto no queda biendefinido, nos podemos encontrarcon muchos problemas ya que, porejemplo, si enviamos un correoelectrónico al cliente y éste lo re-cibe, ¿podemos decir que se ha lo-grado entrar en la red analizada?

El no cobrar por la realización deun Test de Intrusión si no se consigue entrardentro de la red analizada, no solamente de-grada esta profesión sino que además contri-buye a una sensación de estafa.

3. ¿Qué sentido tiene no desvelar los clien-tes para los que se ha trabajado? Incluso si di-cen que lo entienden, la mayoría de clientesquieren estas referencias como condición paracontratarnos. Dado otros sectores basan su ex-periencia y buena reputación en los clientespara los que han trabajado, nos vemos obliga-dos a revelar nuestros clientes para podercompetir.

La principal razón para no hacerlo es la con-fidencialidad. Una auditoría de seguridad esun acto de confianza donde el cliente, a travésde contratos de confidencialidad y de la pro-pia ética de los auditores, cuenta con que nose van a airear los "trapos sucios" que se pue-dan encontrar durante la auditoría de seguri-dad. La confidencialidad se debe extender másallá de los datos de la auditoría y englobar elpropio contrato. Lo realmente correcto paraun proveedor de auditorías de seguridad esúnicamente mostrar su logo y los servicios queofrece. Como todo buen auditor en seguridadsabe, las fugas de información son tambiéndebilidades. ¿Por qué este principio deberíaafectar solamente a la marca de firewall queutiliza la empresa? Un profesional de la seguri-dad debe saber esto e incluso si el clientefirma un documento permitiendo usar su

nombre para propósitos comerciales, según loindicado en la Regla 1.6, es nuestro deber in-formar que lo que está haciendo es malo parasu seguridad, ya que está dejando que otrossepan quién le hace sus auditorías. Después detodo, buscamos clientes duraderos y no unaventa puntual.

Otra razón para mantener la confidenciali-dad de nuestros clientes es protegerlos contraotro punto débil como es la posibilidad de ac-ceder a su información confidencial a travésde otra red diferente a la suya (la nuestra). In-

cluso si el proveedor de auditorías de seguri-dad establece una correcta política de borradoseguro de los informes y datos, así como co-pias offline de los mismos, aún pueden ser unpunto débil en la seguridad del cliente. ¿Po-dríamos preguntarnos cuantas veces los robosa furgones blindados se producen teniendo uncontacto dentro de la compañía de seguridadque proporciona la escolta? El argumentomás fuerte es si realmente se siente lo bastanteseguro sobre toda su gente y toda su seguridadcomo para asumir ese riesgo.

Finalmente, la razón para mantener la con-fidencialidad acerca de sus clientes es prote-gerse a sí mismo. ¿Qué pasaría si a uno de susclientes, del que ha proclamado a los cuatrovientos que lo es, por culpa de no implantarlos cambios que se le sugirieron tras una audi-toría de seguridad, le entran en sus sistemas ysus máquinas quedan comprometidas? Loscontratos de confidencialidad impiden expli-car las pruebas y resultados obtenidos en lasauditorías, por lo que si otro cliente nos con-tase que entre sus accionistas o clientes estájustamente nuestro cliente del ejemplo, y esteotro cliente lo supiera, nos encontraríamos enla situación de no poder, sin incumplir el con-trato de confidencialidad, defendernos y po-der justificar el motivo real de la intrusión.

Por lo tanto es mejor centrarse en ofrecerejemplos de informes, de los conocimientosque se poseen, de la implicación en la comu-nidad internacional en seguridad y en la esta-bilidad financiera de la compañía. No hay

Red Seguridad 32 Noviembre 2003

nada malo en ser una empresa en seguridadjoven y sin experiencia, todo el mundo a te-nido que empezar alguna vez. Sobre todo, elcliente bien informado sabe que tener unnombre conocido no significa nada, ya quecualquiera puede vender sus servicios a travésde una gran compañía y esto no prueba la cali-dad del trabajo. Entonces es mejor mostrarlesalgo que demuestre la calidad de su trabajo.

4. ¿Por qué no está bien hacer una auditoríaen una red que no disponga de un mínimo deseguridad?

¿Por qué no simplemente pedir el dinero ysimplemente decirles que son inseguros? Si soninseguros, ¿qué hay que auditar?

Realizar un Test de Intrusión sobre una reden la que a los pocos minutos de hacer el estu-dio preliminar ya te das cuenta de que tienemuchas deficiencias de seguridad es solamenteuna forma fácil de hacer dinero. Ése es el casoen el que se lucen los auditores mostrando enel informe lo mal que está la red. Aunque real-mente se tendría que considerar el serviciocomo un proyecto y, como proyecto, auditaruna red insegura lleva mucho más tiempo queauditar una segura: hay más servicios que veri-ficar, más exploits han ser probados, muchasposibles formas de realizar una intrusión y, porsupuesto, la realización del informe represen-tará mucho más trabajo. Hay que considerar laregla que dice que, a ojo de buen cubero, eltiempo de realización del informe es la mitaddel tiempo de hacer la auditoría. Al final sonmuchas más horas para una red insegura quepara una segura.

La forma correcta de afrontar este caso,tanto financiera como éticamente, es reali-zando una auditoría discontinua en el tiempo.Esto quiere decir que lo correcto es ir comuni-cando al cliente las deficiencias de seguridadgraves que se fueran encontrando, interrum-piendo en ese momento la auditoría hasta quela deficiencia fuera subsanada, para poder pro-seguir a continuación con la auditoría. Estaforma de proceder genera confianza y la con-

fianza es lo que vende seguridad y mantiene alcliente un año tras otro.

5. Una de las reglas consiste en usar sola-mente métricas cualitativas para evaluar la segu-ridad de una red. Pero, ¿esto qué implica?

Uno de los problemas en la realización del in-forme de una auditoría de seguridad es la utili-zación de estos "termómetros" que muestran alos clientes su riesgo de una manera puramenteneutral. Son una barra del 1 a 10 o del O a 100y en los que el rojo muestra el riesgo existenteen el ámbito analizado. Sin embargo, estos ter-mómetros se basan en una mezcla de sensacióny conjetura.

Desde el ISECOM se insta a que este tipo determómetros se basen en algo cuantitativo. De-bido a la necesidad de medidas cuantitativas enla elaboración del informe, el ISECOM estádesarrollando los Valores de Estimación deRiesgo (RAV Risk Assessment Values) con el finde ayudar a los consultores en seguridad a mos-trar esta clase de información. De todas formas,actualmente estos CVEs aun no son válidospara calcular grandes arquitecturas en seguri-dad, y teniendo en cuenta que son los únicosque existen, es muy importante que en los in-formes se muestren como se han calculado losvalores de estos termómetros.

Una buena idea es proporcionar simplementeun promedio de vulnerabilidades leves, mediasy graves encontradas, basadas en el CVE o enlas condiciones de riesgo proporcionadas por laOSSTMM 2.1, y que se muestre por sistema opor red.

Más importante es el hecho de que una eva-luación de riesgo incorrecta puede dañar elprestigio del proveedor de auditorías si sus opi-niones en seguridad no son las mismas que -lasdel director de seguridad del cliente o tambiénsi la evaluación del riesgo es totalmente distintaa otra hecha por otro proveedor de auditoríasrespecto a los mismos sistemas. En este caso,confiar en unos baremos cuantitativos y clara-mente definidos nos permitirá no tener que dis-cutir con el cliente y poder defendernos de unaforma más fácil en el caso de tener que justificarunas determinadas valoraciones.

Hay muchas maneras de calcular bien elriesgo basándose en hechos por lo que no hay

Red Seguridad 34 Noviembre 2003

razón para no hacerlo.