1

ANALISIS DE RIESGOS Y VULNERABILIDADES

POR

MARIAM VILLADA JULIAN CASTAÑO

TUTOR: JULIAN CIRO RAMIREZ SENA: CESGE

FECHA: 2012-09-28

ADMINISTRACION DE REDES DE DATOS

CESGE CENTRO DE SERVICIOS Y GESTION EMPRESARIAL

MEDELLIN

2

INTRODUCCION

Las computadoras alrededor del mundo están siendo víctimas de ataques de hackers (piratas

informáticos), capaces de comprometer un sistema, robar todo lo valioso y borrar completamente

la información en pocos minutos. Por esta razón resulta de vital importancia conocer si los

sistemas informáticos y redes están protegidos de intrusos.

La seguridad de una organización es un aspecto cambiante. Una empresa puede alcanzar un nivel

de protección óptimo en un momento determinado y ser totalmente sensible poco después, tras

cambios en la configuración de un servidor o luego de instalar nuevos dispositivos de red.

Durante el transcurso del análisis, se realizan pruebas que buscan fallas y posibles entradas a los

sistemas informáticos, de la misma forma que lo harían los atacantes externos desde Internet y

desde la Red Interna.

"Para atrapar a un ladrón debes pensar como un ladrón"

3

OBJETIVOS

Brindar un informe completo, detallando los puntos vulnerables. De esta forma, se podrán

tomar las medidas necesarias para evitar poner en riesgo el activo más importante: la

información.

Tratar de brindar ayuda a los distintos ambientes para que tomen las medidas preventivas

en contra de agresiones maliciosas, valiéndose para ello de los test de intrusión, que

evalúan la seguridad técnica de los sistemas de información, redes de computadoras,

aplicaciones web, servidores, etc.

4

ACTIVIDADES A REALIZAR

1. Haga un recorrido por LA ENTIDAD e identifique todos los activos tangibles que

existan, de igual forma observe y enumere todos los activos intangibles que pueda

identificar.

2. Realice una descripción detallada de cada uno de los activos identificados y

clasifíquelos en una tabla comparativa asignando un valor de importancia dentro de

LA ENTIDAD. Para esto es necesario que visite y hable con las personas que trabajan

con LA ENTIDAD, en este caso se buscan personas que tengan relación con el manejo

de la información, no solamente personal técnico del área de informática. Por

ejemplo, en algunas compañías las secretarias y los gerentes pueden tener más

conocimiento sobre los procesos relacionados con el manejo de la información, ellos

sabrán decirle que es lo que consideran más importante. Use estos datos citando las

fuentes correspondientes y organice su información.

3. Elabore un mapa/diagrama mental/conceptual del escenario a evaluar, esto es, un

mapa donde se representen todos los activos tangibles e intangibles identificados en

las actividades previas. Es muy importante no dejar pasar detalles, pues de esta

información depende el éxito del análisis de riesgos.

4. Construya una tabla comparativa donde se comparen 10 aspectos fundamentales

entre dos de las metodologías mas importantes para el análisis de riesgos existentes a

las fecha, como anexo a la tabla justifique con evidencias porque seleccionó las

metodologías usadas en la tabla.

5. Investigue sobre los diferentes tipos de análisis de vulnerabilidades y las metodologías

existentes, reúnase con sus compañeros y discutan las diferencias de la terminología:

análisis de vulnerabilidades, hacking ético y pruebas de intrusión (pen testing).

6. Escriba un ensayo de mínimo 1 hoja en el cual argumente porque es necesario incluir

los resultados de un análisis de vulnerabilidades en el informe final de un análisis de

riesgos.

7. Investigue sobre las matrices, tablas, plantillas existentes para plasmar la información

obtenida en los análisis de vulnerabilidades y de riesgos, adapte, diseñe o elija una

que le permita presentar su información de forma clara y concisa.

Recuerde que las tablas, plantillas, matrices usadas deben estar respaldadas en

normas internacionales o por lo menos tener una validez a nivel internacional, para

esto documéntese con las compañías que generan este tipo de información.

8. Realice una entrevista corta en formato de audio a una persona que trabaje en el área

de seguridad de la información, en esta entrevista se debe indagar un poco sobre los

procedimientos en auditorias de seguridad, análisis de riesgos y análisis de

vulnerabilidades.

9. Elabore una presentación donde explique cual es la relación entre las diferentes

amenazas y vulnerabilidades existentes para los diferentes activos y compártala con el

grupo.

5

10. Investigue acerca de las herramientas existentes para realizar un analisis de

vulnerabilidades en entornos reales, identifique cuales de estas herramientas puede

usar para la ejecución de sus pruebas en esta fase del proyecto.

11. Realice un análisis de riesgos tomando como base la información recopilada hasta el

momento y los resultados del análisis de vulnerabilidades, como resultado de esta

actividad, debe generar una matriz, plantilla, tabla donde se enumere uno a uno todos

los activos evaluados.

12. Escriba un informe ejecutivo y un informe técnico donde se resuma y se detallen

respectivamente los análisis realizados hasta este punto (riesgos y vulnerabilidades),

comparta la documentación creada con el grupo de instructores expertos para recibir

retroalimentación y realizar las correcciones pertinentes.

6

SOLUCION

1. Para ver la siguiente información haga clic aquí.

2. Para ver la siguiente información haga clic aquí.

3. Para ver la siguiente informacion haga clic aquí.

4.

OCTAVE MARGERIT

Desmiente las creencias que se tiene sobre la seguridad informática de que es un asunto solamente de carácter técnico.

Presta un servicio de ayuda que permite descubrir y desarrollar una estrategia con las medidas oportunas para mantener controlados los riesgos.

Presenta los principios básicos y la estructura sobre las mejores practicas internacionales que nos guían los asuntos que no son técnicos.

Prepara las organizaciones para la realización de los eventos de procesos de evaluación, auditoria, certificación y acreditación según sea necesario para la organización

Realiza una división de dos partes para los activos son: sistemas (hardware, software etc.) y personas.

Prepara a los responsables de los sistemas de información sobre la existencia de riesgos y la necesidad de detener estos riesgos en el momento oportuno.

Su especialidad es en los riesgos organizacionales y en lo que se enfoca son los temas relativos a la estrategia y la practica.

Promueve el uso de las tecnologías de la información.

Se encarga de consolidar la información y la creación de los perfiles de amenaza.

La ausencia o debilidad de las salvaguardas que aparecen como oportunidades para minimizar los riesgos a la organización.

Se encarga de identificar los elementos críticos y las posibles amenazas que puedan afectar los activos.

Relaciona las amenazas a las que se encuentran expuestos los activos.

Identifica las posibles vulnerabilidades que tengan tanto las organizaciones como las tecnologías que exponen amenazas creando un riesgo para la organización.

Contiene un conjunto de programas de seguridad que permite materializar las decisiones que se tomaran en cuanto a la gestión de riesgos.

Desarrollar una estrategia para la protección basada en la práctica así como planes de migración de riesgos para mantener la misión y propiedades de la organización.

Caracteriza el valor que representa los activos para la organización así como de las dependencias que existen entre los diferentes activos.

Es una técnica que se encarga de la Hace énfasis en dividir los activos de una

7

planificación y consultoría estratégica en seguridad que se basa en el riesgo.

organización en varios grupos para poder identificar más riesgos y poder tomar las medidas necesarias para evitar cualquier inconveniente.

OCTAVE:

El método fue desarrollado teniendo en cuenta grandes organizaciones de 300 ó más empleados,

pero el tamaño no fue la única consideración. Por ejemplo, las grandes organizaciones suelen

tener una jerarquía de múltiples capas y es probable que mantengan su propia infraestructura

informática, junto con la capacidad interna para ejecutar herramientas de evaluación de la

vulnerabilidad e interpretar los resultados en relación a los activos críticos. El método utiliza una

ejecución en tres fases que examina las cuestiones organizacionales y tecnológicas, monta una

visión clara de la organización y sus necesidades de información y seguridad de la misma. Se

compone de una serie de talleres, facilitados o llevados a cabo por un equipo de análisis

interdisciplinario de tres a cinco personas de la propia organización. El método aprovecha el

conocimiento de múltiples niveles de la organización, centrándose en:

Identificar los elementos críticos y las amenazas a esos activos.

La identificación de las vulnerabilidades, tanto organizativas y tecnológicas, que exponen a

las amenazas, creando un riesgo a la organización.

El desarrollo de una estrategia basada en la protección de prácticas y planes de mitigación

de riesgos para apoyar la misión de la organización y las prioridades.

MAGERIT

Magerit es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de

Administración Electrónica, como respuesta a la percepción de que la Administración, y en

general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para

el cumplimiento de su misión.

La razón de ser de Magerit está directamente relacionada con la generalización del uso de las

tecnologías de la información, que supone unos beneficios evidentes para los usuarios; pero

también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen

confianza. Interesa a todos aquellos que trabajan con información digital y sistemas informáticos

para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos,

Magerit les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el

riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para

poder gestionarlos. Con Magerit se persigue una aproximación metódica que no deje lugar a la

improvisación, ni dependa de la arbitrariedad del analista.

Magerit persigue los siguientes objetivos:

8

Concientizar a los responsables de los sistemas de información de la existencia de riesgos y

de la necesidad de atajarlos a tiempo.

Ofrecer un método sistemático para analizar tales riesgos.

Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo

control.

Preparar a la Organización para procesos de evaluación, auditoría, certificación o

acreditación, según corresponda en cada caso.

5. Tipos de Vulnerabilidades

Físicas (Infraestructura)

Los puntos débiles son aquellos presentes en los cuales la información se está manejando o

almacenando físicamente, de este tipo de vulnerabilidad se distinguen:

o Instalaciones inadecuadas del espacio de trabajo

o Ausencia de recursos para el combate a incendios

o Disposición desorganizada de cables de energía y de red

o Ausencia de identificación de personas y de locales

Naturales

Son aquellos relacionados con las condiciones de la naturaleza que puedan colocar en riesgo la

información.

La probabilidad de estar expuestos a las amenazas naturales es determinante en la elección y

montaje de un ambiente:

o Ambientes sin protección contra incendios

o Locales próximos a ríos propensos a inundaciones

o Infraestructura incapaz de resistir a las manifestaciones de la naturaleza como

terremotos, maremotos o huracanes

De Hardware

Los posibles defectos en la fabricación o configuración de los equipos de la empresa que pudieran

permitir el ataque o alteración de los mismos:

o La ausencia de actualizaciones conforme con las orientaciones de los fabricantes

de los programas que se utilizan

o Conservación inadecuada de los equipos.

o La falta de configuración de respaldos o equipos de contingencia

o La seguridad de la información busca: si el hardware utilizado está dimensionado

correctamente para sus funciones. Si posee área de almacenamiento suficiente,

procesamiento y velocidad adecuados.

De software

9

Los puntos débiles de aplicaciones permiten que ocurran accesos indebidos a sistemas

informáticos incluso sin el conocimiento de un usuario o administrador de red, entre éstos

destacamos:

La configuración e instalación indebidas de los programas de computadora, que podrán llevar al

uso abusivo de los recursos por parte de usuarios mal intencionados. A veces la libertad de uso

implica el aumento del riesgo.

Las aplicaciones son los elementos que realizan la lectura de la información y que permiten el

acceso de los usuarios a dichos datos en medio electrónico y, se convierten en el objetivo

predilecto de agentes causantes de amenazas.

o Programas lectores de e-mail que permiten la ejecución de códigos maliciosos

o Programas para la automatización de procesos

o Los sistemas operativos conectados a una red

De Almacenamiento

Son los soportes físicos o magnéticos que se utilizan para almacenar la información.

Entre los tipos de soporte o medios de almacenamiento de la información que están expuestos

podemos citar: memorias USB, CD-roms, cintas magnéticas, discos duros de los servidores y de las

bases de datos, así como lo que está registrado en papel.

Si los soportes que almacenan información, no se utilizan de forma adecuada, el contenido en los

mismos podrá estar vulnerable a una serie de factores que podrán afectar la integridad,

disponibilidad y confidencialidad de la información.

o Plazo de validez y caducidad, defecto de fabricación

o Uso incorrecto

o Lugar de almacenamiento en locales insalubres o con alto nivel de, humedad,

magnetismo o estática, moho, etc.

De conexión

Donde sea que la información se transite, ya sea vía cable, satélite, fibra óptica u ondas de radio,

debe existir seguridad. El éxito en el tránsito de los datos es un aspecto crucial en la

implementación de la seguridad de la información.

Hay un gran intercambio de datos a través de medios de comunicación que rompen barreras

físicas.

Siendo así, estos medios deberán recibir tratamiento de seguridad adecuado con el propósito de

evitar que: Cualquier falla en la comunicación haga que una información quede no disponible para

sus usuarios, o por el contrario, estar disponible para quien no posee derechos de acceso.

o La ausencia de sistemas de Cifrado (encriptación) en las comunicaciones que

pudieran permitir que personas ajenas a la organización obtengan información

privilegiada.

o La mala elección de sistemas de comunicación para envío de mensajes de alta

prioridad de la empresa pudiera provocar que no alcanzaran el destino esperado

o bien se interceptara el mensaje en su tránsito.

10

Humanas

Esta categoría de vulnerabilidad está relacionada con los daños que las personas pueden causar a

la información y al ambiente tecnológico que la soporta.

Los puntos débiles humanos también pueden ser intencionales o no. Muchas veces, los errores y

accidentes que amenazan a la seguridad de la información ocurren en ambientes institucionales.

La mayor vulnerabilidad es el desconocimiento de las medidas de seguridad adecuadas para ser

adoptadas por cada elemento constituyente, principalmente los miembros internos de la empresa.

Destacamos los puntos débiles humanos por su grado de frecuencia: la falta de capacitación

específica para la ejecución de las actividades inherentes a las funciones de cada uno, la falta de

conciencia de seguridad para las actividades de rutina, los errores, omisiones e insatisfacciones.

En lo que se refiere a las vulnerabilidades humanas de origen externo, podemos considerar todas

aquéllas que puedan ser exploradas por amenazas como: vandalismo, estafas, invasiones, etc.

o Contraseñas débiles

o Falta de uso de criptografía en la comunicación

o Compartimiento de identificadores tales como nombre de usuario o contraseña.

Vulnerabilidades que afectan equipos

o Routers, módems

o Cámaras web y servidores de video

o Impresoras, escáneres, faxes, fotocopiadoras

o Teléfonos móviles (snarfing o bluesnarfing)

o Agendas electrónicas

Vulnerabilidades que afectan programas y aplicaciones

o Sistemas operativos, servidores y bases de datos

o Navegadores

o Aplicaciones de oficina (word, excel)

o Utilerias (winamp, wmp, flash)

De configuración

Si la gestión administrable por el usuario es tal que hace que el sistema sea vulnerable, la

vulnerabilidad no es debida al diseño del mismo si no a cómo el usuario final configura el sistema.

También se considera error de este tipo cuando la configuración por defecto del sistema es

insegura, como una aplicación recién instalada que cuenta de base con usuarios por defecto.

Validación de entrada

Este tipo de vulnerabilidad se produce cuando la entrada que procesa un sistema no es

comprobada adecuadamente de forma que una vulnerabilidad puede ser aprovechada por una

cierta secuencia de entrada.

Salto de directorio

11

Ésta aprovecha la falta de seguridad de un servicio de red para desplazarse por el árbol de

directorios hasta la raíz del volumen del sistema. El atacante podrá entonces desplazarse a través

de las carpetas de archivos del sistema operativo para ejecutar una utilidad de forma remota.

Seguimiento de enlaces

Se producen cuando no existe una protección lo suficientemente robusta que evite el acceso a un

directorio o archivo desde un enlace simbólico o acceso directo.

Inyección de comandos en el sistema operativo

Nos referirnos a la capacidad de un usuario, que controla la entrada de comandos, para ejecutar

instrucciones que puedan comprometer la integridad del sistema.

Secuencias de comandos en sitios cruzados (XSS)

Abarca cualquier ataque que permita ejecutar código de "scripting", como VBScript o JavaScript,

en el contexto de otro dominio. Estos errores se pueden encontrar en cualquier aplicación HTML,

no se limita a sitios web, ya que puede haber aplicaciones locales vulnerables aXSS, o incluso el

navegador en si. El problema esta en que normalmente no se validan correctamente los datos de

entrada que son usados en cierta aplicación. Hay dos tipos:

o Indirecta: consiste en modificar valores que la aplicación web utiliza para pasar

variables entre dos páginas, sin usar sesiones.

o Directa: consiste en localizar puntos débiles en la programación de los filtros.

Inyección SQL

Es una vulnerabilidad informática en el nivel de base de datos de una aplicación. El origen es el

filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL.

Una inyección de código SQL sucede cuando se inserta un trozo de código SQL dentro de otro

código SQL con el fin de modificar su comportamiento, haciendo que ejecute el código malicioso

en la base de datos. Cuando un programa realiza una sentencia SQL sin querer con parámetros

dados por el usuario para luego hacer una consulta de base de datos. En dichos parámetros que da

el usuario estaría el código malicioso. Con estas inyecciones de código se pueden obtener

múltiples resultados tales como datos escondidos, eliminar o sobrescribir datos en la base de

datos y hasta lograr ejecutar comandos peligrosos en la máquina donde está la base de datos.

El hecho de que un servidor pueda verse afectado por las inyecciones SQL se debe a la falta de

medidas de seguridad por parte de sus diseñadores/programadores, especialmente por una mala

filtración de las entradas (por formularios, cookies o parámetros).

Inyección de código

o Inyección directa de código estático: el software permite que las entradas sean

introducidas directamente en un archivo de salida que se procese más adelante

como código, un archivo de la biblioteca o una plantilla. En una inyección de

código de tipo estático o también llamada permanente, una vez inyectado el

código en una determinada parte de la aplicación web, este código queda

12

almacenado en una base de datos. Una de las soluciones mas apropiadas es

asumir que toda la entrada es malévola. También es posible utilizar una

combinación apropiada de listas negras y listas blancas para asegurar que

solamente las entradas válidas y previstas son procesadas por el sistema.

o Evaluación directa de código dinámico: el software permite que las entradas sean

introducidas directamente en una función que evalúa y ejecuta dinámicamente la

entrada como código, generalmente en la misma lengua que usa el producto. En

una inyección de código de tipo dinámico o no permanente la inyección tiene un

tiempo de vida limitado y no se almacena, al menos permanentemente, en ningún

sitio. Las soluciones mas apropiadas son las mismas que para la inyección directa

de código estático.

o Inclusión remota de archivo PHP: vulnerabilidad existente únicamente en paginas

dinámicas escritas en PHP está debida a la inclusión de la función include () la cual

permite el enlace de archivos situados en otros servidores, mediante los cuales se

puede ejecutar código PHP en el servidor. Se utilizan las

funciones include, include_once, require, require_once las cuales son utilizadas

para incluir en una pagina web otras paginas por tanto el atacante podrá obtener

una Shell en el servidor de la victima y ejecutar un archivo. Para que se pueda

ejecutar dicho archivo debe tener una extensión diferente a “.php” ya que con

esta extensión el archivo se ejecutaría en el servidor del atacante y no en el de la

victima, así un archivo “.txt”, “.gif”... serian algunos de los mas adecuados.

Error de búfer

Un búfer es una ubicación de la memoria en una computadora o en un instrumento digital

reservada para el almacenamiento temporal de información digital, mientras que está esperando

ser procesada.

o El desbordamiento del búfer: un búfer se desborda cuando, de forma

incontrolada, al intentar meter en él más datos de los que caben, ese exceso se

vierte en zonas del sistema causando daños. Son defectos de programación y

existen algunos lenguajes que impiden que los desbordamientos puedan ocurrir.

o El agotamiento del búfer: es un estado que ocurre cuando un búfer usado para

comunicarse entre dos dispositivos o procesos se alimenta con datos a una

velocidad más baja que los datos se están leyendo en ellos. Esto requiere que la

lectura del programa o del dispositivo del búfer detenga brevemente su proceso.

Formato de cadena

Se produce a través de cadenas de formato controladas externamente, como el tipo de funciones

"printf" en el lenguaje "C" que pueden conducir a provocar desbordamientos de búfer o

problemas en la representación de los datos.

o Errores numéricos

13

o El desbordamiento de entero: un desbordamiento del número entero ocurre

cuando una operación aritmética procura crear un valor numérico que sea más

grande del que se puede representar dentro del espacio de almacenaje disponible.

o El agotamiento de entero: consiste en que un valor se resta de otro, que es menor

que el valor mínimo del número entero, y que produce un valor que no es igual

que el resultado correcto.

Revelación/Filtrado de información

Un filtrado o escape de información puede ser intencionado o no intencionado. En este aspecto

los atacantes pueden aprovechar esta vulnerabilidad para descubrir el directorio de instalación de

una aplicación, la visualización de mensajes privados. La severidad de esta vulnerabilidad depende

del tipo de información que se puede filtrar.

Gestión de credenciales

Este tipo de vulnerabilidad tiene que ver con la gestión de usuarios, contraseñas y los ficheros que

almacenan este tipo de información. Cualquier debilidad en estos elementos es considerado como

una vulnerabilidad que puede ser explotada por un atacante.

Fallo de autenticación

Se produce cuando la aplicación o el sistema no es capaz de autenticar al usuario o proceso

correctamente.

Carácter criptográfico

La generación de números aleatorios para generar secuencias criptográficas, la debilidad o

distintos fallos en los algoritmos de encriptación así como defectos en su implementación estarían

ubicados dentro de este tipo de vulnerabilidad.

Falsificación de petición en sitios cruzados (CSRF)

Este tipo de vulnerabilidad afecta a las aplicaciones web con una estructura de invocación

predecible. El agresor puede colocar en la página cualquier código, el cual posteriormente puede

servir para la ejecución de operaciones no planificadas por el creador del sitio web, como capturar

archivos cookies sin que el usuario se percate.

El tipo de ataque CSRF más popular se basa en el uso del marcador HTML <img>, el cual sirve para

la visualización de gráficos. En vez del marcador con la URL del archivo gráfico, el agresor pone un

tag que lleva a un código JavaScript que es ejecutado en el navegador de la víctima.

Condición de carrera

Una condición de carrera se produce cuando varios procesos tratan de acceder y manipular los

mismos datos simultáneamente. Los resultados de la ejecución dependerán del orden particular

en que el acceso se lleva a cabo. Una condición de carrera puede ser interesante para un atacante

cuando ésta puede ser utilizada para obtener acceso al sistema.

14

Error en la gestión de recursos

El sistema o software que adolece de este tipo de vulnerabilidad permite al atacante provocar un

consumo excesivo en los recursos del sistema (disco, memoria y CPU). Esto puede causar que el

sistema deje de responder y provocar denegaciones de servicio.

Error de diseño

En ocasiones los programadores bien por culpa de los entornos de trabajo o bien por su

metodología de programación, cometen errores en el diseño de las aplicaciones. Esto provoca que

puedan aparecer fallos de seguridad y la consiguiente vulnerabilidad. También se puede aplicar el

"error de diseño" si no hay fallos en la implementación ni en la configuración de un sistema, si no

que el diseño inicial es erróneo.

Preferencia de privilegios de usuario por privilegios de grupo.

Las organizaciones necesitan garantizar que los privilegios no se les den a los usuarios por

asignación directa quien finalmente los recogerá como los conserjes recogen las llaves en sus

llaveros. En cambio, Rothacker recomienda que los usuarios sólo reciban privilegios por parte de

grupos o funciones y que los privilegios sean manejados colectivamente. De esta forma será más

fácil eliminar derechos a un usuario con simplemente eliminarlo del grupo, sin que queden

derechos ocultos u olvidados asignados a dicho usuario

Características y funciones de base de datos innecesariamente habilitadas.

Cada instalación de base de datos viene con paquetes adicionales de todas las formas y tamaños

que en su mayoría rara vez son utilizados por una sola organización. Dado que el nombre del juego

en materia de seguridad de base de datos es el de reducir las superficies de ataque, las empresas

necesitan buscar los paquetes que no utilizan y desactivarlos. Esto no sólo reduce los riesgos de

ataques (0)day a través de estos vectores, sino que también simplifica la gestión de parches.

Configuración de seguridad ineficiente.

Las bases de datos tienen una gran cantidad opciones de configuración y consideraciones

diferentes a disposición de los administradores para ajustar el rendimiento y funcionalidades

mejoradas. Las organizaciones necesitan conseguir y desactivar aquellas configuraciones inseguras

que podrían estar activadas por defecto para mayor comodidad de los DBA o desarrolladores de

aplicaciones. Las configuraciones de bases de datos en producción y desarrollo deben ser

radicalmente diferentes.

Desbordamientos del búfer.

Otro favorito de los piratas cibernéticos, las vulnerabilidades de desbordamiento de búfer, son

explotadas por las inundaciones de las fuentes de entrada con valores diferentes o muy superiores

a los que aplicación espera, puede ser, mediante la adición de 100 caracteres en un cuadro de

entrada pidiendo un número de Seguro Social. Los proveedores de bases de datos han trabajado

duro para solucionar los problemas técnicos que permiten estos ataques se produzcan. Esta es

otra razón por la cual los parches son tan importantes.

15

Escalada de privilegios.

Las bases de datos con frecuencia exponen vulnerabilidades comunes que permiten a un atacante

escalar privilegios en una cuenta con privilegios bajos hasta tener acceso a los derechos de un

administrador. A medida que estas vulnerabilidades son descubiertas, los proveedores las corrigen

y los administradores deben mantener las actualizaciones y parches actualizados.

Ataque de denegación de servicio.

El caso del SQL Slammer es siempre un ejemplo muy esclarecedor de cómo los atacantes pueden

utilizar las vulnerabilidades de los DBMS para derribar los servidores de base de datos a través de

un alto flujo de tráfico. Aún más ilustrativo es el hecho de que cuando el Slammer atacó en 2003,

un parche ya estaba por ahí que se dirigió a corregir la vulnerabilidad por la que se generó su

ataque.

Bases de datos sin actualizar.

Los administradores de base de datos a veces no aplican un parche en el momento oportuno

porque tienen miedo de este dañe sus bases de datos. Pero el riesgo de ser hackeado hoy es

mucho más alto que el riesgo de aplicar un parche que descomponga la base de datos. Además

existen ante esos temores los backups y las réplicas.

Datos sensibles sin cifrar, tanto en reposo como en movimiento.

Tal vez sea obvio, pero las organizaciones no deben almacenar los datos sensibles en texto plano

en una tabla. Y todas las conexiones a la base de datos siempre que manejen datos sensibles

deben utilizar el cifrado.

Hacking Ético

Se conoce como hacker a la persona con elevados conocimientos informáticos en programación y

uso de herramientas de software libre.

El Arte del Hacking ético consiste en realizar pruebas sustantivas de auditoría en redes de

computadores por hackers usando herramientas libres para dicha labor, para verificar la

efectividad de la seguridad informática establecida en una empresa, de forma controlada y sin el

ánimo de destruir ninguno de sus recursos y/o información si no más bien comprobar que las

medidas de seguridad a nivel lógico en configuraciones de los componentes/servicios de la red

tales como servidores o enrutadores que se cumplen realmente son efectivas y se puede tener

una red relativamente segura, se dice “relativamente” ya que el concepto de seguridad es muy

amplio y cubre el nivel físico y lógico, el hacking ético se limita al nivel lógico

La práctica del hacking ético se vuelve más común día a día en las empresas para asegurar su

información para que no sea vulnerada por bandidos de la red, llamados crackers, quienes realizan

16

prácticas similares a los hackers éticos, pero estos si con el ánimo de destruir y afectar a la

empresa de forma negativa.

Este tipo de hacking permite detectar e identificar deficiencias o “huecos” en la seguridad de su

red, y se realiza desde diversos puntos, desde su red LAN interna y desde Internet, para corregir

estos “huecos” se deben tomar medidas estrictas de aseguramiento, y así elevar y mejorar el nivel

de seguridad su red y prestación de servicios.

Pruebas De Intrusión (Pentesting)

Pentesting quiere decir pruebas de intrusión o análisis de vulnerabilidades. Es un término

empleado en las pruebas de seguridad de sistemas TIC.

Vulnerabilidad, en seguridad informática, hace referencia a una debilidad en un sistema

permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso

y consistencia del sistema o de sus datos y aplicaciones.

Pentesting es una herramienta que permite el registro e integración de los resultados de las

pruebas de intrusión realizadas con diferentes herramientas open source (como Paros, Nmap o

XScan); así como el procesamiento de dicha información para la elaboración de los siguientes

informes de Pruebas de seguridad:

Informe con los resultados de todos los casos ejecutados para una aplicación

Informe con los resultados obtenidos en una selección de casos ejecutados para una

aplicación.

Informe con todas las vulnerabilidades de todas las aplicaciones ordenadas por caso de

prueba

Informe de Vulnerabilidades de alto nivel

6. Porque es necesario incluir los resultados de un análisis de vulnerabilidades en el

informe final de un análisis de riesgos

El análisis de vulnerabilidades complementa un proceso de análisis de riesgos, con el fin de

orientarnos a la gestión de seguridad de información. Lo que se busca es identificar los dispositivos

de hardware o software de la infraestructura. En los elementos de infraestructura con más

vulnerabilidades son: servidores, aplicaciones, estaciones de trabajo, bases de datos, firewalls y

enrutadores.

En la seguridad informática, la información es uno de los temas más importantes, para las

personas lo más valioso es todo lo que puedan obtener de dicha información. Por esta razón

muchas personas pretenden robar nuestra confidencialidad, estamos en un mundo donde la gente

17

quiere obtener toda clase de información sin importar el daño, por eso en las empresas para no

ser atacados fácilmente deben realizar un análisis de vulnerabilidades donde muestren la

información.

Las formas de obtener información para los análisis de vulnerabilidades son:

Escaneo de puertos

Escaneo por servicios

Escaneo de vulnerabilidades de aplicaciones como:

o OPENVAS (Software libre – licenciado bajo la GPL)

o NESSUS: comienza escaneando los puertos con nmap y después intenta varios

exploits para atacarlo.

o METASPLOITS: Este proporciona información acerca de la las vulnerabilidades de

la seguridad y ayuda para los sistemas de detección de intrusos.

o NEXPOSE: Es una herramienta para analizar e identificar las vulnerabilidades de

redes.

La seguridad informática es un sistema de proceso de datos y almacenamiento que garantiza:

Confidencialidad

Disponibilidad

Integridad

El objetivo de la protección no son los datos como tal si no el contenido de la información sobre

las personas para que no sean modificadas.

En la autenticación, un elemento importante es el almacén de credenciales pues si este es

vulnerado toda la seguridad se pierde y la aplicación se vuelve una entrada directa para un ataque.

El análisis de vulnerabilidad se emplea no solo a las organizaciones físicas de los sistemas o

dispositivos, sino también a la formación y administración de las empresas para establecer sus

debilidades y plantear las medidas correctivas y de reforzamiento que deban efectuarse para

eliminar o disminuir su vulnerabilidad.

7. Tablas, matrices y listas

Las tablas, matrices y listas son regiones de datos en las que se muestran los datos del informe en

celdas organizadas en filas y columnas. Normalmente, las celdas contienen datos como texto,

fechas y números, pero también pueden contener medidores, gráficos o elementos de informe

como imágenes. Colectivamente, las tablas, matrices y listas se denominan a menudo regiones de

datos Tablix.

Las plantillas de tabla, matriz y lista se generan en la región de datos Tablix, que es una cuadrícula

flexible que puede mostrar datos en celdas. En las plantillas para matrices y tablas, las celdas se

organizan en filas y columnas. Puesto que las plantillas son variaciones de la región de datos Tablix

genérica subyacente, los datos se pueden mostrar en combinaciones de formatos de plantilla; la

18

tabla, matriz o lista se pueden cambiar al diseñar el informe, de forma que contengan

características de otra región de datos. Si agrega una tabla y se da cuenta de que no le resulta útil,

puede agregar grupos de columnas para convertir la tabla en una matriz.

Las regiones de datos de matriz y tabla pueden mostrar relaciones complejas entre los datos

mediante la inclusión de tablas, matrices, listas, gráficos y medidores anidados. Las tablas y

matrices tienen un diseño tabular y sus datos proceden de un conjunto de datos único, generado a

partir de un origen de datos único. La diferencia clave entre las tablas y las matrices es que las

tablas solo pueden tener grupos de filas, mientras que las matrices tienen grupos de filas y grupos

de columnas.

Las listas son un poco diferentes. Admiten un diseño libre que puede incluir varias tablas o

matrices del mismo nivel, cada una de las cuales usa los datos de un conjunto de datos diferente.

Las listas también se pueden utilizar para los formularios, como facturas.

Tabla:

Use una tabla para mostrar datos detallados, para organizar los datos en grupos

de filas, o para ambas cosas. La plantilla Tabla contiene tres columnas con una fila

de encabezado de tabla y una fila de detalles para los datos.

Puede agrupar los datos por un solo campo, por varios campos o escribiendo su

propia expresión. Puede crear grupos anidados o independientes, grupos

adyacentes y presentar valores para datos agrupados, o agregar totales a los

grupos. Si la tabla tiene un grupo de filas llamado (Categoría), puede agregar un

subtotal para cada grupo, así como un total general para el informe. Para mejorar

la apariencia de tabla y resaltar los datos a los que desee dar énfasis, puede

combinar celdas y aplicar formato a los datos y encabezados de tabla.

Puede ocultar inicialmente los datos detallados o agrupados, e incluir controles de

alternancia de obtención de detalles para permitir a los usuarios elegir

interactivamente cuántos datos se van a mostrar.

Matriz:

Use una matriz para mostrar resúmenes de los datos agregados agrupados en filas

y en columnas; algo similar a una tabla dinámica o a una tabla de referencias

cruzadas. El número de valores únicos por cada grupo de filas y columnas

determina el número de filas y de columnas de los grupos.

Puede agrupar datos por varios campos o expresiones en grupos de filas y de

columnas. En tiempo de ejecución, cuando se combinan las regiones de datos y los

datos del informe, una matriz crece en horizontal y vertical en la página al irse

agregando columnas a los grupos de columnas y filas a los grupos de filas. Las

celdas de la matriz muestran valores agregados cuyo ámbito es la intersección de

los grupos de filas y de columnas a los que pertenece la celda. Si la matriz tiene un

grupo de filas (Categoría) y dos grupos de columnas (Territorio y Año) que

muestran la suma de las ventas, el informe muestra dos celdas con las sumas de

ventas de cada valor del grupo de categorías. El ámbito de las celdas es las dos

19

intersecciones: Categoría y Territorio y Categoría y Año. La matriz puede tener

grupos anidados y adyacentes. Los grupos anidados tienen una relación primario-

secundaria y los adyacentes una relación del mismo nivel. Puede agregar los

subtotales a cualquiera de los niveles de grupos anidados de filas y columnas de la

matriz.

Para que los datos de la matriz sean más legibles y resaltar los datos a los que

desea dar énfasis, puede combinar celdas, dividir los datos en horizontal y en

vertical, o aplicar formato a los datos y encabezados de grupo.

También puede incluir controles de alternancia de obtención de detalles que

ocultan inicialmente los datos detallados; de esta forma, el usuario podrá hacer

clic en dichos controles para mostrar más o menos detalles, según sea necesario.

Lista:

Use una lista para crear un diseño de forma libre. Con una lista, no está limitado a

un diseño de cuadrícula, sino que puede colocar libremente los campos dentro de

la lista. Use una lista para diseñar un formulario que permita mostrar muchos

campos de conjunto de datos, o como contenedor para mostrar en paralelo varias

regiones de datos para los datos agrupados. Puede definir un grupo para una lista;

agregar una tabla, un gráfico y una imagen; y mostrar los valores en forma de

tabla y de gráfico para cada valor del grupo, tal y como lo haría con un registro de

un empleado o de un paciente.

Preparar los datos

Una región de datos de tabla, matriz y lista muestra datos de un conjunto de datos. Puede

preparar los datos en la consulta que recupera los datos para el conjunto de datos, o establecer las

propiedades en la tabla, matriz o lista.

Los lenguajes de consulta como Transact-SQL, que se usan para recuperar los datos para los

conjuntos de datos de informe, pueden preparar los datos aplicando filtros que incluyan solo un

subconjunto de los datos, remplazando valores nulos o en blanco con constantes que hagan el

informe más legible, y ordenando y agrupando los datos.

Si decide preparar los datos de la región de datos de tabla, matriz o lista de un informe, debe

establecer las propiedades en la región de datos o las celdas de la región de datos. Si desea filtrar

u ordenar los datos, debe establecer las propiedades en la región de datos. Para ordenar los datos

debe especificar las columnas por las que se va a ordenar y el sentido de la ordenación. Si desea

proporcionar un valor alternativo para un campo, debe establecer los valores del texto de la celda

en que se muestra el campo. Para mostrar En blanco cuando un campo esté vacío o tenga un valor

nulo, debe usar una expresión para establecer el valor.

Generar y configurar una tabla, matriz o lista

20

Al agregar tablas o matrices a un informe, puede usar el Asistente para tabla o matriz, o generarlas

manualmente a partir de las plantillas proporcionadas por el Generador de informes y el

Diseñador de informes.

El asistente indica todos los pasos para generar y configurar rápidamente una tabla o una matriz.

Después de completar el asistente o generar las regiones de datos Tablix desde cero, puede

configurarlas y refinarlas. Los cuadros de diálogo, disponible en los menús contextuales en las

regiones de datos, facilitan el establecimiento de las propiedades más utilizadas para los saltos de

página, repeticiones y visibilidad de encabezados y pies de página, opciones de pantalla, filtros y

orden. La región de datos Tablix ofrece muchas otras propiedades, que solo puede establecer en el

panel Propiedades de Generador de informes. Si desea mostrar un mensaje cuando el conjunto de

datos para una tabla, matriz o lista esté vacío, debe especificar el texto del mensaje en la

propiedad de Tablix NoRowsMessage en el panel Propiedades.

Cómo comparar y contrastar los organizadores gráficos de matriz

Los organizadores gráficos de matriz pueden ser simples o complejos.

Los organizadores gráficos ayudan a poner las ideas, conceptos, relaciones, resultados y objetivos

en una estructura visual que la mente humana puede entender. Las ideas se pueden organizar en

los diagramas de Venn (grandes círculos que se entrecruzan), mapas conceptuales (un árbol

genealógico) y los mapas de pez y araña que descomponen las ideas complejas, entre otros.

Actualmente los organizadores gráficos de matriz son muy populares entre los profesores y los

estudiantes que ponen la información en tablas con filas y columnas. La elección de un

organizador gráfico de matriz implica comparar lo que está disponible y seleccionar la que mejor

se adapte a tus datos o tarea.

Consejos y advertencias

En una matriz estándar, el tipo de información con la que estás trabajando determina la

simplicidad o complejidad de la tabla. Una matriz de comparación-contraste, por ejemplo, puede

ser tan simple como dos columnas con unas pocas filas para mantener los temas que se están

comparando. Una matriz más compleja puede que tenga muchas columnas para definir las

categorías y definiciones.

Hay muchos sitios web que ofrecen plantillas gratuitas para la matriz de organizadores gráficos,

incluyendo la tabla de CNCA. Comienza con El organizador gráfico, Los organizadores gráficos

reproducibles de Amanda Keller, o el Laboratorio Educativo del norte. Las aplicaciones de bases de

datos de software como FilemakerPro 11, Numbers '09 para los ordenadores Mac de Apple y

Microsoft Excel 2010 también simplifican la tarea de organizar la información en tablas de tipo

matriz.

8. Para ver la siguiente informacion haga clic aquí.

9. Para ver la siguiente informacion haga clic aquí.

10.

21

GFI LANGUARD

Realiza análisis de red utilizando bases de datos de vulnerabilidad basadas en OVAL y SANS,

proporcionando más de 15.000 evaluaciones de vulnerabilidad cuando su red, incluyendo

cualquier entorno virtual, es analizada. GFI LANguard le permite analizar el estado de seguridad de

su red y tomar acciones antes de que sea comprometida. La última versión detecta equipos que

son vulnerables a la infección por el gusano Conficker así como equipos que han sido infectados.

Auditoría de red

La función de auditoría de red de GFI LANguard le dice todo lo que necesita saber sobre su red

recuperando información del hardware sobre memoria, procesadores, adaptadores gráficos,

dispositivos de almacenamiento, detalles de placa base, impresoras y puertos en uso. Utilizando

comparaciones básicas puede comprobar si se agregó/eliminó hardware desde el último análisis.

GFI LANguard también puede identificar y generar informes sobre instalaciones de software no

autorizado y proporcionar alertas o bien desinstalar automáticamente estas aplicaciones no

autorizadas si son detectadas en la red.

ETHEREAL

Es un sniffer, una aplicación capaz de capturar todos los paquetes de información que se difunden

a través de la red para posteriormente interpretarlos y así conocer que tareas se llevan a cabe en

la red.

Ethereal es un analizador de paquetes de información totalmente recomendado paraprofesionales

ya que incluso muestra la información por tipos. Podremos capturar los datos tanto desde la red

como desde una captura de disco ya que soporta más de 20 formatos distintos y más de 300

protocolos.

Ethereal usa un sistema para visualizar los datos y otro totalmente diferente e incompatible para

realizar las capturas (tcpdump).

Una vez establecidos los parámetros de captura, el programa mostrará los resultados en 3

ventanas de información Una vez finalizada, podremos acceder a un listado de todos lospaquetes

capturados, con información relevante a ellos así como los puertos utilizados.

SIVUS

Es un escáner de vulnerabilidad para las redes VoIP que utilizan el protocolo SIP. Este escáner

proporciona varias características para verificar la robustez y para asegurar la implementación de

una red VoIP segura.

Sus principales características son las siguientes:

Generador de mensajes SIP: puede ser utilizado para enviar varios tipos de mensajes a un

componente del SIP incluyendo contenido del SDP. Esta característica se puede utilizar para

probar ediciones específicas del SIP o para generar varios ataques, como por ejemplo un ataque

de denegación de servicios.

22

Explorador de componentes del SIP: explora una gama de direcciones IP para identificar los

anfitriones que utilizan el protocolo SIP y se puedan utilizar como blancos para el análisis

adicional. Es una opción del explorador que permite el descubrimiento preliminar de blancos antes

de una exploración real.

Explorador de la vulnerabilidad del SIP: El explorador proporciona la configuración flexible de

varias opciones que se puedan utilizar, para verificar la robustez y la seguridad de una

implementación del protocolo SIP. Se realizan chequeos como: análisis de las cabeceras de

mensajes del protocolo SIP para identificar vulnerabilidades tales como desbordamientos del

buffer o ataques de denegación de servicio, autentificación de mensajes que identifican

componentes del SIP, autentificación de las peticiones del registro, inspección para las

comunicaciones seguras (SIPS) y verificación de las capacidades de cifrado.

NESSUS

Es un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Consiste en

nessusd, el daemon Nessus, que realiza el escaneo en el sistema objetivo, y nessus, el cliente

(basado en consola o gráfico) que muestra el avance y reporte de los escaneos. Desde consola

nessus puede ser programado para hacer escaneos programados con cron.

En operación normal, nessus comienza escaneando los puertos con nmap o con su propio

escaneador de puertos para buscar puertos abiertos y después intentar varios exploits para

atacarlo. Las pruebas de vulnerabilidad, disponibles como una larga lista de plugins, son escritos

en NASL (Nessus Attack Scripting Language, Lenguaje de Scripting de Ataque Nessus por sus siglas

en inglés), un lenguaje scripting optimizado para interacciones personalizadas en redes.

Opcionalmente, los resultados del escaneo pueden ser exportados en reportes en varios formatos,

como texto plano, XML, HTML, y LaTeX. Los resultados también pueden ser guardados en una base

de conocimiento para referencia en futuros escaneos de vulnerabilidades.

Algunas de las pruebas de vulnerabilidades de Nessus pueden causar que los servicios o sistemas

operativos se corrompan y caigan.

El usuario puede evitar esto desactivando "unsafe test" (pruebas no seguras) antes de escanear.

SATAN (Security Analysis Tool for Auditing Networks)

Es una herramienta de prueba y análisis que recolecta información variada sobre una red y los

hosts que se encuentran en ella.

Esta herramienta recopila información mediante un análisis de los servicios de la red, como por

ejemplo ftp, rexd, NIS y NFS entre otros. Después, elabora un reporte, con un sistema simple de

reglas en el que evidencia las vulnerabilidades de la red.

Entre la información que detecta SATAN se encuentra:

Topología de la red.

Servicios de la red.

Tipo de hardware.

Tipo de software

23

Satan consiste de varios sub-programas, cada uno con un ejecutable que prueba un host para una

debilidad potencial. Se emplea fping para determinar cuales son los hosts activos en la red. Para

cada uno se examina un conjunto de tests y existe la posibilidad de agregar con facilidad nuevas

pruebas a SATAN, para que el programa controlador las ejecute sobre el conjunto de hosts a

revisar.

Posteriormente, cada test genera un registro de datos que incluye el nombre el host, el test

ejecutado y los resultados, entre otros. Estos registros luego son manejados a través de una

interfaz en HTML para una mejor comprensión.

NSTEALTH

Esta una herramienta que escanea servidores Web para identificar problemas y debilidades que

pueden permitir que un atacante obtenga acceso privilegiado. Según su página Web, viene con

una base de datos con más de 30.000 vulnerabilidades y exploits. La base de datos de NSealth es

actualizada activamente y por ende contiene más vulnerabilidades que una base normal. El lema

de este software es: “encuentre sus vulnerabilidades antes que un hacker lo haga”

El programa corre bajo Windows 95/98/ME/NT/2K o XP, y algunos usuarios han reportado éxito

en WINE para Linux aunque este no sea soportado.

NIKTO

Es un analizador de vulnerabilidades para servidores Web, basado en la funcionalidad de HTTP de

la librería LibWhisker de Wiretrip. Este analizador busca malas configuraciones, software que no

esta al día con las actualizaciones, archivos y scripts que están por default o inseguros, los cuales

colocan en alto riesgo el servidor.

La herramienta se compone de un paquete de pruebas básicas, pero también permite la escritura

de pruebas adicionales para necesidades específicas. Estas pruebas básicas cubren una amplia

gama de vulnerabilidades en diferentes servidores Web y sistemas operativos.

ISS – INTERNET SECURITY SCANNER

Es una aplicación cuyo objetivo es buscar puntos vulnerables de la red con relación a la seguridad.

Es una herramienta comercial de análisis de vulnerabilidades para Windows. ISS (Internet Security

Scanner).

Se encuentra disponible para la mayoría de las plataformas UNIX y para Windows NT. La versión

más actual de ISS es la 5.2 para Windows NT y la 4.3.3 para sistemas operativos UNIX.

OTRAS HERRAMIENTAS DE AUDITORIA SON:

OpenBSD: El sistema operativo preventivamente seguro.

LIDS: Un sistema de detección/defensa de intrusiones

Dig: Una útil herramienta de consulta de DNS que viene de la mano con Bind.

Zone alarm: El firewall personal para Windows. Ofrecen una versión gratuita limitada.

Visual Route: Obtiene información de traceroute/whois y la grafica sobre un mapa del mundo.

24

The Coroner's Toolkit (TCT): Una colección de herramientas orientadas tanto a la recolección

como al análisis de información forense en un sistema Unix.

Tcpreplay: una herramienta para reproducir {replay} archivos guardados con tcpdump o con

snoop a velocidades arbitrarias.

Snoop: También es un sniffer de redes que viene con Solaris.

11. Para ver la siguiente informacion haga clic aquí.

12.

Este informe se realiza para a conocer las vulnerabilidades y riesgos de la infraestructura a la cual

se le realizo el análisis.

El análisis de riesgos y vulnerabilidades se realizo debido a la infraestructura en cuestión de

actualizaciones, en seguridad y sistemas operativos.

El propósito de hacer este análisis fue encontrar debilidades en la estructura física de los

ambientes que pudiera afectar el funcionamiento de la red, encontrar puntos que pudieran

generar una vulnerabilidad en un sistema, saber como prevenir cualquier tipo de fallo, ya sea por

la parte física o la parte lógica.

Pasos a seguir:

Selección de hosts y red a auditar

Métodos de análisis

Confidencialidad

Reglas a seguir

o Limites, permisos y obligaciones a respetar

o Informar a la menor cantidad de personas para garantizar la red

Reunión de la información

Información interna

o Mostrar los privilegios de un usuario común dentro de la organización

o La empresa provee equipo común con ID y password de la compañía

o Realización de pruebas

Revisión de privacidad

Testeo de aplicación en internet

Testeo de medidas de contingencia

cifrado de contraseñas

Testeo de denegación de servicios

Evaluación de políticas de seguridad

Información externa

o Acceder en forma remota a los servidores de la organización y obtener privilegios

o permisos que no deberían estar disponibles.

o Obtener información que luego se utilizará en el intento de acceso.

o Pasos

25

Información recolectada a partir de la presencia en Internet de la

organización.

Revisión de Privacidad desde el punto de vista legal y ético del

almacenamiento, transmisión y control de los datos basados en la

privacidad del cliente.

El testeo de solicitud es un método de obtener privilegios de acceso a una

organización y sus activos preguntando al personal de entrada, usando las

comunicaciones como un teléfono, mail, chat, boletines, etc. desde una

posición privilegiada fraudulenta.

Testeo de Sugerencia Dirigida se intenta lograr que un integrante de la

organización ingrese a un sitio o reciba correo, en este sitio o correo se

podrían agregar herramientas que luego serán utilizadas en el intento de

acceso.

Recopilar información

o Pruebas

Sondeo de red

Identificación de los servicios de sistema

Búsqueda y verificación de vulnerabilidades

Testeo de aplicaciones de internet

Enrutamiento

Testeo de relaciones de confianza

Verificación de redes inalámbricas

Documentación e informe

o Lista de vulnerabilidades probadas

o Lista de vulnerabilidades detectadas

o Lista de servicios y dispositivos vulnerables

o El nivel de riesgo que involucra cada vulnerabilidad encontrada en cada servicio y

dispositivo

Los recursos que se utilizaron para el analisis fueron:

Equipo de cómputo de la compañía

Credencial de usuario

El método utilizado fue:

Equipos de los ambientes

Pasar por cada equipo y capturar la información

La información obtenida en el analisis de riesgos y de vulnerabilidades fue:

Las vulnerabilidades en los equipos pueden ser provocadas por las actualizaciones de los equipos

de cómputo, la actualización del IOS de los dispositivos activos y programas descargados por los

aprendices sin consentimiento de los instructores.

26

Los factores naturales que pueden influir para el mal funcionamiento de la red son la humedad y el

polvo.

En esta analisis se puede decir que todos los puntos de red no están en uso y pueden ser factor de

vulnerabilidad en la red.

La debilidad que se encontró haciendo este informe en la infraestructura, es la seguridad en los

equipos de los aprendices y los factores naturales y ambientales que pueden afectar la

infraestructura.

Deberían utilizarse todas las conexiones que hay en los ambientes o que sean mas seguras.