Доклад Сергея Полаженко на конференции SQA Days-8 19-20 ноября 2010, Санкт-Петербург

1. Сергей Полаженко
Лаборатория тестирования
Минск, Беларусь

2.  оценка уязвимости программного обеспечения к
различным атакам (Википедия)

3.  Метод оценки защищѐнности компьютерной
системы или сети путѐм эмулирования атак от
имени подозрительного (нелигитимного)
субъекта, часто называемого как Black Hat
Hacker, or Cracker (Википедия)

4.  (от hack — разрубать) — чрезвычайно
квалифицированный ИТ-
специалист, человек, который понимает самые
основы работы компьютерных систем. Это слово
также часто употребляется для обозначения
компьютерного взломщика, что в общем случае
неверно.(Википедия)

5.  OSSTM - www.osstmm.org
 OWASP - www.owasp.org

6.  Cobit
 ISO/IEC 2700x
 SANS
 ISSAF
 NIST
 PCI DSS

7.  Pete Herzog
 2001 год
 Испания, Барселона
 OSSTM(M)
 Hacker Highschool
 Accredited trainings

8.  Ожидается 3.0 версия cо дня на день
 В декабре 2006 года вышла v. 2.2
 В 2003 году вышла v. 2.0
 Старт 2001 год

9.  Версия 3.0 анонсирована в 2007 году
 В данный момент предлагается за деньги
золотым и серебрянным подписчикам
 Соответствие бесконечному множеству норм и
стандартов

10.  Версия 2.0 (выпущена в феврале 2003) ссылается
к GPL, но также содержит изречение на первой
странице документа:
 "Any information contained within this document may
not be modified or sold without the express consent of
the author."

11.  Версия 2.2 (выпущена в ноябре 2006)
изречение на первой странице документа:
 "Any information contained within this document may
not be modified or sold without the express consent of
ISECOM. OSSTMM for free dissemination under the
Open Methodology License (OML) and CC Creative
Commons 2.5 Attribution-NonCommercial-NoDerivs"

12.  "Open Methodology License":
www.isecom.org/oml.shtml
 CC Creative Commons 2.5 with NoDerivs and
NonCommercial
Никто не может:
 выпускать новые версии OSSTMM (кроме ISECOM)
 использовать OSSTMM для коммерческих нужд
(продажа в качестве книги)
 Создавать коммерческое ПО, основанное на OSSTM

14.  Обеспечить научную методологию для достаточной
точной характеристики безопасности при помощи
экзаменации и корреляции согласованным и надѐжным
способом
 Стандартизация подхода к тестированию безопасности
 To make security have sense

15.  Обеспечить руководства, следуя которым позволит
аудитору выполнить сертифицированный OSSTMM
аудит
 Тест совершѐн полностью
 Тест охватил все необходимые каналы
 Тест не нарушает законных прав задействованных лиц
 Результаты тесты измеримы
 Результаты теста последовательны и повторяемы
 Результаты теста содержат только факты, полученные
непосредственно из теста

17.  безопасность информации (Information Security)
 безопасность процесса (Process Security)
 безопасность Интернет технологий (Internet Technology
Security)
 безопасность коммуникаций (Communications
Security)
 безопасность беспроводных сетей (Wireless Security)
 физическая безопасность (Physical Security)

20.  Терминология
 Описание методологии тестирования
(модули, секции)
 Описание примеров тестов по каждой секции
 Пример документов для сбора информации и
выдачи результатов

21.  Интересный пример открытого фреймворка по
организации процесса тестирования
безопасности информационных систем
 Позволяет взглянуть на безопасность
приложения значительно более широко
 Дает готовые примеры тестов и артефакты
тестирования
 Не «готове решение»

22.  polazhenko@gmail.com
 www.securitywiki.ru