actividad completa
TRANSCRIPT
1
ANALISIS DE RIESGOS Y VULNERABILIDADES
POR
MARIAM VILLADA JULIAN CASTAÑO
TUTOR: JULIAN CIRO RAMIREZ SENA: CESGE
FECHA: 2012-09-28
ADMINISTRACION DE REDES DE DATOS
CESGE CENTRO DE SERVICIOS Y GESTION EMPRESARIAL
MEDELLIN
2
INTRODUCCION
Las computadoras alrededor del mundo están siendo víctimas de ataques de hackers (piratas
informáticos), capaces de comprometer un sistema, robar todo lo valioso y borrar completamente
la información en pocos minutos. Por esta razón resulta de vital importancia conocer si los
sistemas informáticos y redes están protegidos de intrusos.
La seguridad de una organización es un aspecto cambiante. Una empresa puede alcanzar un nivel
de protección óptimo en un momento determinado y ser totalmente sensible poco después, tras
cambios en la configuración de un servidor o luego de instalar nuevos dispositivos de red.
Durante el transcurso del análisis, se realizan pruebas que buscan fallas y posibles entradas a los
sistemas informáticos, de la misma forma que lo harían los atacantes externos desde Internet y
desde la Red Interna.
"Para atrapar a un ladrón debes pensar como un ladrón"
3
OBJETIVOS
Brindar un informe completo, detallando los puntos vulnerables. De esta forma, se podrán
tomar las medidas necesarias para evitar poner en riesgo el activo más importante: la
información.
Tratar de brindar ayuda a los distintos ambientes para que tomen las medidas preventivas
en contra de agresiones maliciosas, valiéndose para ello de los test de intrusión, que
evalúan la seguridad técnica de los sistemas de información, redes de computadoras,
aplicaciones web, servidores, etc.
4
ACTIVIDADES A REALIZAR
1. Haga un recorrido por LA ENTIDAD e identifique todos los activos tangibles que
existan, de igual forma observe y enumere todos los activos intangibles que pueda
identificar.
2. Realice una descripción detallada de cada uno de los activos identificados y
clasifíquelos en una tabla comparativa asignando un valor de importancia dentro de
LA ENTIDAD. Para esto es necesario que visite y hable con las personas que trabajan
con LA ENTIDAD, en este caso se buscan personas que tengan relación con el manejo
de la información, no solamente personal técnico del área de informática. Por
ejemplo, en algunas compañías las secretarias y los gerentes pueden tener más
conocimiento sobre los procesos relacionados con el manejo de la información, ellos
sabrán decirle que es lo que consideran más importante. Use estos datos citando las
fuentes correspondientes y organice su información.
3. Elabore un mapa/diagrama mental/conceptual del escenario a evaluar, esto es, un
mapa donde se representen todos los activos tangibles e intangibles identificados en
las actividades previas. Es muy importante no dejar pasar detalles, pues de esta
información depende el éxito del análisis de riesgos.
4. Construya una tabla comparativa donde se comparen 10 aspectos fundamentales
entre dos de las metodologías mas importantes para el análisis de riesgos existentes a
las fecha, como anexo a la tabla justifique con evidencias porque seleccionó las
metodologías usadas en la tabla.
5. Investigue sobre los diferentes tipos de análisis de vulnerabilidades y las metodologías
existentes, reúnase con sus compañeros y discutan las diferencias de la terminología:
análisis de vulnerabilidades, hacking ético y pruebas de intrusión (pen testing).
6. Escriba un ensayo de mínimo 1 hoja en el cual argumente porque es necesario incluir
los resultados de un análisis de vulnerabilidades en el informe final de un análisis de
riesgos.
7. Investigue sobre las matrices, tablas, plantillas existentes para plasmar la información
obtenida en los análisis de vulnerabilidades y de riesgos, adapte, diseñe o elija una
que le permita presentar su información de forma clara y concisa.
Recuerde que las tablas, plantillas, matrices usadas deben estar respaldadas en
normas internacionales o por lo menos tener una validez a nivel internacional, para
esto documéntese con las compañías que generan este tipo de información.
8. Realice una entrevista corta en formato de audio a una persona que trabaje en el área
de seguridad de la información, en esta entrevista se debe indagar un poco sobre los
procedimientos en auditorias de seguridad, análisis de riesgos y análisis de
vulnerabilidades.
9. Elabore una presentación donde explique cual es la relación entre las diferentes
amenazas y vulnerabilidades existentes para los diferentes activos y compártala con el
grupo.
5
10. Investigue acerca de las herramientas existentes para realizar un analisis de
vulnerabilidades en entornos reales, identifique cuales de estas herramientas puede
usar para la ejecución de sus pruebas en esta fase del proyecto.
11. Realice un análisis de riesgos tomando como base la información recopilada hasta el
momento y los resultados del análisis de vulnerabilidades, como resultado de esta
actividad, debe generar una matriz, plantilla, tabla donde se enumere uno a uno todos
los activos evaluados.
12. Escriba un informe ejecutivo y un informe técnico donde se resuma y se detallen
respectivamente los análisis realizados hasta este punto (riesgos y vulnerabilidades),
comparta la documentación creada con el grupo de instructores expertos para recibir
retroalimentación y realizar las correcciones pertinentes.
6
SOLUCION
1. Para ver la siguiente información haga clic aquí.
2. Para ver la siguiente información haga clic aquí.
3. Para ver la siguiente informacion haga clic aquí.
4.
OCTAVE MARGERIT
Desmiente las creencias que se tiene sobre la seguridad informática de que es un asunto solamente de carácter técnico.
Presta un servicio de ayuda que permite descubrir y desarrollar una estrategia con las medidas oportunas para mantener controlados los riesgos.
Presenta los principios básicos y la estructura sobre las mejores practicas internacionales que nos guían los asuntos que no son técnicos.
Prepara las organizaciones para la realización de los eventos de procesos de evaluación, auditoria, certificación y acreditación según sea necesario para la organización
Realiza una división de dos partes para los activos son: sistemas (hardware, software etc.) y personas.
Prepara a los responsables de los sistemas de información sobre la existencia de riesgos y la necesidad de detener estos riesgos en el momento oportuno.
Su especialidad es en los riesgos organizacionales y en lo que se enfoca son los temas relativos a la estrategia y la practica.
Promueve el uso de las tecnologías de la información.
Se encarga de consolidar la información y la creación de los perfiles de amenaza.
La ausencia o debilidad de las salvaguardas que aparecen como oportunidades para minimizar los riesgos a la organización.
Se encarga de identificar los elementos críticos y las posibles amenazas que puedan afectar los activos.
Relaciona las amenazas a las que se encuentran expuestos los activos.
Identifica las posibles vulnerabilidades que tengan tanto las organizaciones como las tecnologías que exponen amenazas creando un riesgo para la organización.
Contiene un conjunto de programas de seguridad que permite materializar las decisiones que se tomaran en cuanto a la gestión de riesgos.
Desarrollar una estrategia para la protección basada en la práctica así como planes de migración de riesgos para mantener la misión y propiedades de la organización.
Caracteriza el valor que representa los activos para la organización así como de las dependencias que existen entre los diferentes activos.
Es una técnica que se encarga de la Hace énfasis en dividir los activos de una
7
planificación y consultoría estratégica en seguridad que se basa en el riesgo.
organización en varios grupos para poder identificar más riesgos y poder tomar las medidas necesarias para evitar cualquier inconveniente.
OCTAVE:
El método fue desarrollado teniendo en cuenta grandes organizaciones de 300 ó más empleados,
pero el tamaño no fue la única consideración. Por ejemplo, las grandes organizaciones suelen
tener una jerarquía de múltiples capas y es probable que mantengan su propia infraestructura
informática, junto con la capacidad interna para ejecutar herramientas de evaluación de la
vulnerabilidad e interpretar los resultados en relación a los activos críticos. El método utiliza una
ejecución en tres fases que examina las cuestiones organizacionales y tecnológicas, monta una
visión clara de la organización y sus necesidades de información y seguridad de la misma. Se
compone de una serie de talleres, facilitados o llevados a cabo por un equipo de análisis
interdisciplinario de tres a cinco personas de la propia organización. El método aprovecha el
conocimiento de múltiples niveles de la organización, centrándose en:
Identificar los elementos críticos y las amenazas a esos activos.
La identificación de las vulnerabilidades, tanto organizativas y tecnológicas, que exponen a
las amenazas, creando un riesgo a la organización.
El desarrollo de una estrategia basada en la protección de prácticas y planes de mitigación
de riesgos para apoyar la misión de la organización y las prioridades.
MAGERIT
Magerit es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de
Administración Electrónica, como respuesta a la percepción de que la Administración, y en
general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para
el cumplimiento de su misión.
La razón de ser de Magerit está directamente relacionada con la generalización del uso de las
tecnologías de la información, que supone unos beneficios evidentes para los usuarios; pero
también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen
confianza. Interesa a todos aquellos que trabajan con información digital y sistemas informáticos
para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos,
Magerit les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el
riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para
poder gestionarlos. Con Magerit se persigue una aproximación metódica que no deje lugar a la
improvisación, ni dependa de la arbitrariedad del analista.
Magerit persigue los siguientes objetivos:
8
Concientizar a los responsables de los sistemas de información de la existencia de riesgos y
de la necesidad de atajarlos a tiempo.
Ofrecer un método sistemático para analizar tales riesgos.
Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo
control.
Preparar a la Organización para procesos de evaluación, auditoría, certificación o
acreditación, según corresponda en cada caso.
5. Tipos de Vulnerabilidades
Físicas (Infraestructura)
Los puntos débiles son aquellos presentes en los cuales la información se está manejando o
almacenando físicamente, de este tipo de vulnerabilidad se distinguen:
o Instalaciones inadecuadas del espacio de trabajo
o Ausencia de recursos para el combate a incendios
o Disposición desorganizada de cables de energía y de red
o Ausencia de identificación de personas y de locales
Naturales
Son aquellos relacionados con las condiciones de la naturaleza que puedan colocar en riesgo la
información.
La probabilidad de estar expuestos a las amenazas naturales es determinante en la elección y
montaje de un ambiente:
o Ambientes sin protección contra incendios
o Locales próximos a ríos propensos a inundaciones
o Infraestructura incapaz de resistir a las manifestaciones de la naturaleza como
terremotos, maremotos o huracanes
De Hardware
Los posibles defectos en la fabricación o configuración de los equipos de la empresa que pudieran
permitir el ataque o alteración de los mismos:
o La ausencia de actualizaciones conforme con las orientaciones de los fabricantes
de los programas que se utilizan
o Conservación inadecuada de los equipos.
o La falta de configuración de respaldos o equipos de contingencia
o La seguridad de la información busca: si el hardware utilizado está dimensionado
correctamente para sus funciones. Si posee área de almacenamiento suficiente,
procesamiento y velocidad adecuados.
De software
9
Los puntos débiles de aplicaciones permiten que ocurran accesos indebidos a sistemas
informáticos incluso sin el conocimiento de un usuario o administrador de red, entre éstos
destacamos:
La configuración e instalación indebidas de los programas de computadora, que podrán llevar al
uso abusivo de los recursos por parte de usuarios mal intencionados. A veces la libertad de uso
implica el aumento del riesgo.
Las aplicaciones son los elementos que realizan la lectura de la información y que permiten el
acceso de los usuarios a dichos datos en medio electrónico y, se convierten en el objetivo
predilecto de agentes causantes de amenazas.
o Programas lectores de e-mail que permiten la ejecución de códigos maliciosos
o Programas para la automatización de procesos
o Los sistemas operativos conectados a una red
De Almacenamiento
Son los soportes físicos o magnéticos que se utilizan para almacenar la información.
Entre los tipos de soporte o medios de almacenamiento de la información que están expuestos
podemos citar: memorias USB, CD-roms, cintas magnéticas, discos duros de los servidores y de las
bases de datos, así como lo que está registrado en papel.
Si los soportes que almacenan información, no se utilizan de forma adecuada, el contenido en los
mismos podrá estar vulnerable a una serie de factores que podrán afectar la integridad,
disponibilidad y confidencialidad de la información.
o Plazo de validez y caducidad, defecto de fabricación
o Uso incorrecto
o Lugar de almacenamiento en locales insalubres o con alto nivel de, humedad,
magnetismo o estática, moho, etc.
De conexión
Donde sea que la información se transite, ya sea vía cable, satélite, fibra óptica u ondas de radio,
debe existir seguridad. El éxito en el tránsito de los datos es un aspecto crucial en la
implementación de la seguridad de la información.
Hay un gran intercambio de datos a través de medios de comunicación que rompen barreras
físicas.
Siendo así, estos medios deberán recibir tratamiento de seguridad adecuado con el propósito de
evitar que: Cualquier falla en la comunicación haga que una información quede no disponible para
sus usuarios, o por el contrario, estar disponible para quien no posee derechos de acceso.
o La ausencia de sistemas de Cifrado (encriptación) en las comunicaciones que
pudieran permitir que personas ajenas a la organización obtengan información
privilegiada.
o La mala elección de sistemas de comunicación para envío de mensajes de alta
prioridad de la empresa pudiera provocar que no alcanzaran el destino esperado
o bien se interceptara el mensaje en su tránsito.
10
Humanas
Esta categoría de vulnerabilidad está relacionada con los daños que las personas pueden causar a
la información y al ambiente tecnológico que la soporta.
Los puntos débiles humanos también pueden ser intencionales o no. Muchas veces, los errores y
accidentes que amenazan a la seguridad de la información ocurren en ambientes institucionales.
La mayor vulnerabilidad es el desconocimiento de las medidas de seguridad adecuadas para ser
adoptadas por cada elemento constituyente, principalmente los miembros internos de la empresa.
Destacamos los puntos débiles humanos por su grado de frecuencia: la falta de capacitación
específica para la ejecución de las actividades inherentes a las funciones de cada uno, la falta de
conciencia de seguridad para las actividades de rutina, los errores, omisiones e insatisfacciones.
En lo que se refiere a las vulnerabilidades humanas de origen externo, podemos considerar todas
aquéllas que puedan ser exploradas por amenazas como: vandalismo, estafas, invasiones, etc.
o Contraseñas débiles
o Falta de uso de criptografía en la comunicación
o Compartimiento de identificadores tales como nombre de usuario o contraseña.
Vulnerabilidades que afectan equipos
o Routers, módems
o Cámaras web y servidores de video
o Impresoras, escáneres, faxes, fotocopiadoras
o Teléfonos móviles (snarfing o bluesnarfing)
o Agendas electrónicas
Vulnerabilidades que afectan programas y aplicaciones
o Sistemas operativos, servidores y bases de datos
o Navegadores
o Aplicaciones de oficina (word, excel)
o Utilerias (winamp, wmp, flash)
De configuración
Si la gestión administrable por el usuario es tal que hace que el sistema sea vulnerable, la
vulnerabilidad no es debida al diseño del mismo si no a cómo el usuario final configura el sistema.
También se considera error de este tipo cuando la configuración por defecto del sistema es
insegura, como una aplicación recién instalada que cuenta de base con usuarios por defecto.
Validación de entrada
Este tipo de vulnerabilidad se produce cuando la entrada que procesa un sistema no es
comprobada adecuadamente de forma que una vulnerabilidad puede ser aprovechada por una
cierta secuencia de entrada.
Salto de directorio
11
Ésta aprovecha la falta de seguridad de un servicio de red para desplazarse por el árbol de
directorios hasta la raíz del volumen del sistema. El atacante podrá entonces desplazarse a través
de las carpetas de archivos del sistema operativo para ejecutar una utilidad de forma remota.
Seguimiento de enlaces
Se producen cuando no existe una protección lo suficientemente robusta que evite el acceso a un
directorio o archivo desde un enlace simbólico o acceso directo.
Inyección de comandos en el sistema operativo
Nos referirnos a la capacidad de un usuario, que controla la entrada de comandos, para ejecutar
instrucciones que puedan comprometer la integridad del sistema.
Secuencias de comandos en sitios cruzados (XSS)
Abarca cualquier ataque que permita ejecutar código de "scripting", como VBScript o JavaScript,
en el contexto de otro dominio. Estos errores se pueden encontrar en cualquier aplicación HTML,
no se limita a sitios web, ya que puede haber aplicaciones locales vulnerables aXSS, o incluso el
navegador en si. El problema esta en que normalmente no se validan correctamente los datos de
entrada que son usados en cierta aplicación. Hay dos tipos:
o Indirecta: consiste en modificar valores que la aplicación web utiliza para pasar
variables entre dos páginas, sin usar sesiones.
o Directa: consiste en localizar puntos débiles en la programación de los filtros.
Inyección SQL
Es una vulnerabilidad informática en el nivel de base de datos de una aplicación. El origen es el
filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL.
Una inyección de código SQL sucede cuando se inserta un trozo de código SQL dentro de otro
código SQL con el fin de modificar su comportamiento, haciendo que ejecute el código malicioso
en la base de datos. Cuando un programa realiza una sentencia SQL sin querer con parámetros
dados por el usuario para luego hacer una consulta de base de datos. En dichos parámetros que da
el usuario estaría el código malicioso. Con estas inyecciones de código se pueden obtener
múltiples resultados tales como datos escondidos, eliminar o sobrescribir datos en la base de
datos y hasta lograr ejecutar comandos peligrosos en la máquina donde está la base de datos.
El hecho de que un servidor pueda verse afectado por las inyecciones SQL se debe a la falta de
medidas de seguridad por parte de sus diseñadores/programadores, especialmente por una mala
filtración de las entradas (por formularios, cookies o parámetros).
Inyección de código
o Inyección directa de código estático: el software permite que las entradas sean
introducidas directamente en un archivo de salida que se procese más adelante
como código, un archivo de la biblioteca o una plantilla. En una inyección de
código de tipo estático o también llamada permanente, una vez inyectado el
código en una determinada parte de la aplicación web, este código queda
12
almacenado en una base de datos. Una de las soluciones mas apropiadas es
asumir que toda la entrada es malévola. También es posible utilizar una
combinación apropiada de listas negras y listas blancas para asegurar que
solamente las entradas válidas y previstas son procesadas por el sistema.
o Evaluación directa de código dinámico: el software permite que las entradas sean
introducidas directamente en una función que evalúa y ejecuta dinámicamente la
entrada como código, generalmente en la misma lengua que usa el producto. En
una inyección de código de tipo dinámico o no permanente la inyección tiene un
tiempo de vida limitado y no se almacena, al menos permanentemente, en ningún
sitio. Las soluciones mas apropiadas son las mismas que para la inyección directa
de código estático.
o Inclusión remota de archivo PHP: vulnerabilidad existente únicamente en paginas
dinámicas escritas en PHP está debida a la inclusión de la función include () la cual
permite el enlace de archivos situados en otros servidores, mediante los cuales se
puede ejecutar código PHP en el servidor. Se utilizan las
funciones include, include_once, require, require_once las cuales son utilizadas
para incluir en una pagina web otras paginas por tanto el atacante podrá obtener
una Shell en el servidor de la victima y ejecutar un archivo. Para que se pueda
ejecutar dicho archivo debe tener una extensión diferente a “.php” ya que con
esta extensión el archivo se ejecutaría en el servidor del atacante y no en el de la
victima, así un archivo “.txt”, “.gif”... serian algunos de los mas adecuados.
Error de búfer
Un búfer es una ubicación de la memoria en una computadora o en un instrumento digital
reservada para el almacenamiento temporal de información digital, mientras que está esperando
ser procesada.
o El desbordamiento del búfer: un búfer se desborda cuando, de forma
incontrolada, al intentar meter en él más datos de los que caben, ese exceso se
vierte en zonas del sistema causando daños. Son defectos de programación y
existen algunos lenguajes que impiden que los desbordamientos puedan ocurrir.
o El agotamiento del búfer: es un estado que ocurre cuando un búfer usado para
comunicarse entre dos dispositivos o procesos se alimenta con datos a una
velocidad más baja que los datos se están leyendo en ellos. Esto requiere que la
lectura del programa o del dispositivo del búfer detenga brevemente su proceso.
Formato de cadena
Se produce a través de cadenas de formato controladas externamente, como el tipo de funciones
"printf" en el lenguaje "C" que pueden conducir a provocar desbordamientos de búfer o
problemas en la representación de los datos.
o Errores numéricos
13
o El desbordamiento de entero: un desbordamiento del número entero ocurre
cuando una operación aritmética procura crear un valor numérico que sea más
grande del que se puede representar dentro del espacio de almacenaje disponible.
o El agotamiento de entero: consiste en que un valor se resta de otro, que es menor
que el valor mínimo del número entero, y que produce un valor que no es igual
que el resultado correcto.
Revelación/Filtrado de información
Un filtrado o escape de información puede ser intencionado o no intencionado. En este aspecto
los atacantes pueden aprovechar esta vulnerabilidad para descubrir el directorio de instalación de
una aplicación, la visualización de mensajes privados. La severidad de esta vulnerabilidad depende
del tipo de información que se puede filtrar.
Gestión de credenciales
Este tipo de vulnerabilidad tiene que ver con la gestión de usuarios, contraseñas y los ficheros que
almacenan este tipo de información. Cualquier debilidad en estos elementos es considerado como
una vulnerabilidad que puede ser explotada por un atacante.
Fallo de autenticación
Se produce cuando la aplicación o el sistema no es capaz de autenticar al usuario o proceso
correctamente.
Carácter criptográfico
La generación de números aleatorios para generar secuencias criptográficas, la debilidad o
distintos fallos en los algoritmos de encriptación así como defectos en su implementación estarían
ubicados dentro de este tipo de vulnerabilidad.
Falsificación de petición en sitios cruzados (CSRF)
Este tipo de vulnerabilidad afecta a las aplicaciones web con una estructura de invocación
predecible. El agresor puede colocar en la página cualquier código, el cual posteriormente puede
servir para la ejecución de operaciones no planificadas por el creador del sitio web, como capturar
archivos cookies sin que el usuario se percate.
El tipo de ataque CSRF más popular se basa en el uso del marcador HTML <img>, el cual sirve para
la visualización de gráficos. En vez del marcador con la URL del archivo gráfico, el agresor pone un
tag que lleva a un código JavaScript que es ejecutado en el navegador de la víctima.
Condición de carrera
Una condición de carrera se produce cuando varios procesos tratan de acceder y manipular los
mismos datos simultáneamente. Los resultados de la ejecución dependerán del orden particular
en que el acceso se lleva a cabo. Una condición de carrera puede ser interesante para un atacante
cuando ésta puede ser utilizada para obtener acceso al sistema.
14
Error en la gestión de recursos
El sistema o software que adolece de este tipo de vulnerabilidad permite al atacante provocar un
consumo excesivo en los recursos del sistema (disco, memoria y CPU). Esto puede causar que el
sistema deje de responder y provocar denegaciones de servicio.
Error de diseño
En ocasiones los programadores bien por culpa de los entornos de trabajo o bien por su
metodología de programación, cometen errores en el diseño de las aplicaciones. Esto provoca que
puedan aparecer fallos de seguridad y la consiguiente vulnerabilidad. También se puede aplicar el
"error de diseño" si no hay fallos en la implementación ni en la configuración de un sistema, si no
que el diseño inicial es erróneo.
Preferencia de privilegios de usuario por privilegios de grupo.
Las organizaciones necesitan garantizar que los privilegios no se les den a los usuarios por
asignación directa quien finalmente los recogerá como los conserjes recogen las llaves en sus
llaveros. En cambio, Rothacker recomienda que los usuarios sólo reciban privilegios por parte de
grupos o funciones y que los privilegios sean manejados colectivamente. De esta forma será más
fácil eliminar derechos a un usuario con simplemente eliminarlo del grupo, sin que queden
derechos ocultos u olvidados asignados a dicho usuario
Características y funciones de base de datos innecesariamente habilitadas.
Cada instalación de base de datos viene con paquetes adicionales de todas las formas y tamaños
que en su mayoría rara vez son utilizados por una sola organización. Dado que el nombre del juego
en materia de seguridad de base de datos es el de reducir las superficies de ataque, las empresas
necesitan buscar los paquetes que no utilizan y desactivarlos. Esto no sólo reduce los riesgos de
ataques (0)day a través de estos vectores, sino que también simplifica la gestión de parches.
Configuración de seguridad ineficiente.
Las bases de datos tienen una gran cantidad opciones de configuración y consideraciones
diferentes a disposición de los administradores para ajustar el rendimiento y funcionalidades
mejoradas. Las organizaciones necesitan conseguir y desactivar aquellas configuraciones inseguras
que podrían estar activadas por defecto para mayor comodidad de los DBA o desarrolladores de
aplicaciones. Las configuraciones de bases de datos en producción y desarrollo deben ser
radicalmente diferentes.
Desbordamientos del búfer.
Otro favorito de los piratas cibernéticos, las vulnerabilidades de desbordamiento de búfer, son
explotadas por las inundaciones de las fuentes de entrada con valores diferentes o muy superiores
a los que aplicación espera, puede ser, mediante la adición de 100 caracteres en un cuadro de
entrada pidiendo un número de Seguro Social. Los proveedores de bases de datos han trabajado
duro para solucionar los problemas técnicos que permiten estos ataques se produzcan. Esta es
otra razón por la cual los parches son tan importantes.
15
Escalada de privilegios.
Las bases de datos con frecuencia exponen vulnerabilidades comunes que permiten a un atacante
escalar privilegios en una cuenta con privilegios bajos hasta tener acceso a los derechos de un
administrador. A medida que estas vulnerabilidades son descubiertas, los proveedores las corrigen
y los administradores deben mantener las actualizaciones y parches actualizados.
Ataque de denegación de servicio.
El caso del SQL Slammer es siempre un ejemplo muy esclarecedor de cómo los atacantes pueden
utilizar las vulnerabilidades de los DBMS para derribar los servidores de base de datos a través de
un alto flujo de tráfico. Aún más ilustrativo es el hecho de que cuando el Slammer atacó en 2003,
un parche ya estaba por ahí que se dirigió a corregir la vulnerabilidad por la que se generó su
ataque.
Bases de datos sin actualizar.
Los administradores de base de datos a veces no aplican un parche en el momento oportuno
porque tienen miedo de este dañe sus bases de datos. Pero el riesgo de ser hackeado hoy es
mucho más alto que el riesgo de aplicar un parche que descomponga la base de datos. Además
existen ante esos temores los backups y las réplicas.
Datos sensibles sin cifrar, tanto en reposo como en movimiento.
Tal vez sea obvio, pero las organizaciones no deben almacenar los datos sensibles en texto plano
en una tabla. Y todas las conexiones a la base de datos siempre que manejen datos sensibles
deben utilizar el cifrado.
Hacking Ético
Se conoce como hacker a la persona con elevados conocimientos informáticos en programación y
uso de herramientas de software libre.
El Arte del Hacking ético consiste en realizar pruebas sustantivas de auditoría en redes de
computadores por hackers usando herramientas libres para dicha labor, para verificar la
efectividad de la seguridad informática establecida en una empresa, de forma controlada y sin el
ánimo de destruir ninguno de sus recursos y/o información si no más bien comprobar que las
medidas de seguridad a nivel lógico en configuraciones de los componentes/servicios de la red
tales como servidores o enrutadores que se cumplen realmente son efectivas y se puede tener
una red relativamente segura, se dice “relativamente” ya que el concepto de seguridad es muy
amplio y cubre el nivel físico y lógico, el hacking ético se limita al nivel lógico
La práctica del hacking ético se vuelve más común día a día en las empresas para asegurar su
información para que no sea vulnerada por bandidos de la red, llamados crackers, quienes realizan
16
prácticas similares a los hackers éticos, pero estos si con el ánimo de destruir y afectar a la
empresa de forma negativa.
Este tipo de hacking permite detectar e identificar deficiencias o “huecos” en la seguridad de su
red, y se realiza desde diversos puntos, desde su red LAN interna y desde Internet, para corregir
estos “huecos” se deben tomar medidas estrictas de aseguramiento, y así elevar y mejorar el nivel
de seguridad su red y prestación de servicios.
Pruebas De Intrusión (Pentesting)
Pentesting quiere decir pruebas de intrusión o análisis de vulnerabilidades. Es un término
empleado en las pruebas de seguridad de sistemas TIC.
Vulnerabilidad, en seguridad informática, hace referencia a una debilidad en un sistema
permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso
y consistencia del sistema o de sus datos y aplicaciones.
Pentesting es una herramienta que permite el registro e integración de los resultados de las
pruebas de intrusión realizadas con diferentes herramientas open source (como Paros, Nmap o
XScan); así como el procesamiento de dicha información para la elaboración de los siguientes
informes de Pruebas de seguridad:
Informe con los resultados de todos los casos ejecutados para una aplicación
Informe con los resultados obtenidos en una selección de casos ejecutados para una
aplicación.
Informe con todas las vulnerabilidades de todas las aplicaciones ordenadas por caso de
prueba
Informe de Vulnerabilidades de alto nivel
6. Porque es necesario incluir los resultados de un análisis de vulnerabilidades en el
informe final de un análisis de riesgos
El análisis de vulnerabilidades complementa un proceso de análisis de riesgos, con el fin de
orientarnos a la gestión de seguridad de información. Lo que se busca es identificar los dispositivos
de hardware o software de la infraestructura. En los elementos de infraestructura con más
vulnerabilidades son: servidores, aplicaciones, estaciones de trabajo, bases de datos, firewalls y
enrutadores.
En la seguridad informática, la información es uno de los temas más importantes, para las
personas lo más valioso es todo lo que puedan obtener de dicha información. Por esta razón
muchas personas pretenden robar nuestra confidencialidad, estamos en un mundo donde la gente
17
quiere obtener toda clase de información sin importar el daño, por eso en las empresas para no
ser atacados fácilmente deben realizar un análisis de vulnerabilidades donde muestren la
información.
Las formas de obtener información para los análisis de vulnerabilidades son:
Escaneo de puertos
Escaneo por servicios
Escaneo de vulnerabilidades de aplicaciones como:
o OPENVAS (Software libre – licenciado bajo la GPL)
o NESSUS: comienza escaneando los puertos con nmap y después intenta varios
exploits para atacarlo.
o METASPLOITS: Este proporciona información acerca de la las vulnerabilidades de
la seguridad y ayuda para los sistemas de detección de intrusos.
o NEXPOSE: Es una herramienta para analizar e identificar las vulnerabilidades de
redes.
La seguridad informática es un sistema de proceso de datos y almacenamiento que garantiza:
Confidencialidad
Disponibilidad
Integridad
El objetivo de la protección no son los datos como tal si no el contenido de la información sobre
las personas para que no sean modificadas.
En la autenticación, un elemento importante es el almacén de credenciales pues si este es
vulnerado toda la seguridad se pierde y la aplicación se vuelve una entrada directa para un ataque.
El análisis de vulnerabilidad se emplea no solo a las organizaciones físicas de los sistemas o
dispositivos, sino también a la formación y administración de las empresas para establecer sus
debilidades y plantear las medidas correctivas y de reforzamiento que deban efectuarse para
eliminar o disminuir su vulnerabilidad.
7. Tablas, matrices y listas
Las tablas, matrices y listas son regiones de datos en las que se muestran los datos del informe en
celdas organizadas en filas y columnas. Normalmente, las celdas contienen datos como texto,
fechas y números, pero también pueden contener medidores, gráficos o elementos de informe
como imágenes. Colectivamente, las tablas, matrices y listas se denominan a menudo regiones de
datos Tablix.
Las plantillas de tabla, matriz y lista se generan en la región de datos Tablix, que es una cuadrícula
flexible que puede mostrar datos en celdas. En las plantillas para matrices y tablas, las celdas se
organizan en filas y columnas. Puesto que las plantillas son variaciones de la región de datos Tablix
genérica subyacente, los datos se pueden mostrar en combinaciones de formatos de plantilla; la
18
tabla, matriz o lista se pueden cambiar al diseñar el informe, de forma que contengan
características de otra región de datos. Si agrega una tabla y se da cuenta de que no le resulta útil,
puede agregar grupos de columnas para convertir la tabla en una matriz.
Las regiones de datos de matriz y tabla pueden mostrar relaciones complejas entre los datos
mediante la inclusión de tablas, matrices, listas, gráficos y medidores anidados. Las tablas y
matrices tienen un diseño tabular y sus datos proceden de un conjunto de datos único, generado a
partir de un origen de datos único. La diferencia clave entre las tablas y las matrices es que las
tablas solo pueden tener grupos de filas, mientras que las matrices tienen grupos de filas y grupos
de columnas.
Las listas son un poco diferentes. Admiten un diseño libre que puede incluir varias tablas o
matrices del mismo nivel, cada una de las cuales usa los datos de un conjunto de datos diferente.
Las listas también se pueden utilizar para los formularios, como facturas.
Tabla:
Use una tabla para mostrar datos detallados, para organizar los datos en grupos
de filas, o para ambas cosas. La plantilla Tabla contiene tres columnas con una fila
de encabezado de tabla y una fila de detalles para los datos.
Puede agrupar los datos por un solo campo, por varios campos o escribiendo su
propia expresión. Puede crear grupos anidados o independientes, grupos
adyacentes y presentar valores para datos agrupados, o agregar totales a los
grupos. Si la tabla tiene un grupo de filas llamado (Categoría), puede agregar un
subtotal para cada grupo, así como un total general para el informe. Para mejorar
la apariencia de tabla y resaltar los datos a los que desee dar énfasis, puede
combinar celdas y aplicar formato a los datos y encabezados de tabla.
Puede ocultar inicialmente los datos detallados o agrupados, e incluir controles de
alternancia de obtención de detalles para permitir a los usuarios elegir
interactivamente cuántos datos se van a mostrar.
Matriz:
Use una matriz para mostrar resúmenes de los datos agregados agrupados en filas
y en columnas; algo similar a una tabla dinámica o a una tabla de referencias
cruzadas. El número de valores únicos por cada grupo de filas y columnas
determina el número de filas y de columnas de los grupos.
Puede agrupar datos por varios campos o expresiones en grupos de filas y de
columnas. En tiempo de ejecución, cuando se combinan las regiones de datos y los
datos del informe, una matriz crece en horizontal y vertical en la página al irse
agregando columnas a los grupos de columnas y filas a los grupos de filas. Las
celdas de la matriz muestran valores agregados cuyo ámbito es la intersección de
los grupos de filas y de columnas a los que pertenece la celda. Si la matriz tiene un
grupo de filas (Categoría) y dos grupos de columnas (Territorio y Año) que
muestran la suma de las ventas, el informe muestra dos celdas con las sumas de
ventas de cada valor del grupo de categorías. El ámbito de las celdas es las dos
19
intersecciones: Categoría y Territorio y Categoría y Año. La matriz puede tener
grupos anidados y adyacentes. Los grupos anidados tienen una relación primario-
secundaria y los adyacentes una relación del mismo nivel. Puede agregar los
subtotales a cualquiera de los niveles de grupos anidados de filas y columnas de la
matriz.
Para que los datos de la matriz sean más legibles y resaltar los datos a los que
desea dar énfasis, puede combinar celdas, dividir los datos en horizontal y en
vertical, o aplicar formato a los datos y encabezados de grupo.
También puede incluir controles de alternancia de obtención de detalles que
ocultan inicialmente los datos detallados; de esta forma, el usuario podrá hacer
clic en dichos controles para mostrar más o menos detalles, según sea necesario.
Lista:
Use una lista para crear un diseño de forma libre. Con una lista, no está limitado a
un diseño de cuadrícula, sino que puede colocar libremente los campos dentro de
la lista. Use una lista para diseñar un formulario que permita mostrar muchos
campos de conjunto de datos, o como contenedor para mostrar en paralelo varias
regiones de datos para los datos agrupados. Puede definir un grupo para una lista;
agregar una tabla, un gráfico y una imagen; y mostrar los valores en forma de
tabla y de gráfico para cada valor del grupo, tal y como lo haría con un registro de
un empleado o de un paciente.
Preparar los datos
Una región de datos de tabla, matriz y lista muestra datos de un conjunto de datos. Puede
preparar los datos en la consulta que recupera los datos para el conjunto de datos, o establecer las
propiedades en la tabla, matriz o lista.
Los lenguajes de consulta como Transact-SQL, que se usan para recuperar los datos para los
conjuntos de datos de informe, pueden preparar los datos aplicando filtros que incluyan solo un
subconjunto de los datos, remplazando valores nulos o en blanco con constantes que hagan el
informe más legible, y ordenando y agrupando los datos.
Si decide preparar los datos de la región de datos de tabla, matriz o lista de un informe, debe
establecer las propiedades en la región de datos o las celdas de la región de datos. Si desea filtrar
u ordenar los datos, debe establecer las propiedades en la región de datos. Para ordenar los datos
debe especificar las columnas por las que se va a ordenar y el sentido de la ordenación. Si desea
proporcionar un valor alternativo para un campo, debe establecer los valores del texto de la celda
en que se muestra el campo. Para mostrar En blanco cuando un campo esté vacío o tenga un valor
nulo, debe usar una expresión para establecer el valor.
Generar y configurar una tabla, matriz o lista
20
Al agregar tablas o matrices a un informe, puede usar el Asistente para tabla o matriz, o generarlas
manualmente a partir de las plantillas proporcionadas por el Generador de informes y el
Diseñador de informes.
El asistente indica todos los pasos para generar y configurar rápidamente una tabla o una matriz.
Después de completar el asistente o generar las regiones de datos Tablix desde cero, puede
configurarlas y refinarlas. Los cuadros de diálogo, disponible en los menús contextuales en las
regiones de datos, facilitan el establecimiento de las propiedades más utilizadas para los saltos de
página, repeticiones y visibilidad de encabezados y pies de página, opciones de pantalla, filtros y
orden. La región de datos Tablix ofrece muchas otras propiedades, que solo puede establecer en el
panel Propiedades de Generador de informes. Si desea mostrar un mensaje cuando el conjunto de
datos para una tabla, matriz o lista esté vacío, debe especificar el texto del mensaje en la
propiedad de Tablix NoRowsMessage en el panel Propiedades.
Cómo comparar y contrastar los organizadores gráficos de matriz
Los organizadores gráficos de matriz pueden ser simples o complejos.
Los organizadores gráficos ayudan a poner las ideas, conceptos, relaciones, resultados y objetivos
en una estructura visual que la mente humana puede entender. Las ideas se pueden organizar en
los diagramas de Venn (grandes círculos que se entrecruzan), mapas conceptuales (un árbol
genealógico) y los mapas de pez y araña que descomponen las ideas complejas, entre otros.
Actualmente los organizadores gráficos de matriz son muy populares entre los profesores y los
estudiantes que ponen la información en tablas con filas y columnas. La elección de un
organizador gráfico de matriz implica comparar lo que está disponible y seleccionar la que mejor
se adapte a tus datos o tarea.
Consejos y advertencias
En una matriz estándar, el tipo de información con la que estás trabajando determina la
simplicidad o complejidad de la tabla. Una matriz de comparación-contraste, por ejemplo, puede
ser tan simple como dos columnas con unas pocas filas para mantener los temas que se están
comparando. Una matriz más compleja puede que tenga muchas columnas para definir las
categorías y definiciones.
Hay muchos sitios web que ofrecen plantillas gratuitas para la matriz de organizadores gráficos,
incluyendo la tabla de CNCA. Comienza con El organizador gráfico, Los organizadores gráficos
reproducibles de Amanda Keller, o el Laboratorio Educativo del norte. Las aplicaciones de bases de
datos de software como FilemakerPro 11, Numbers '09 para los ordenadores Mac de Apple y
Microsoft Excel 2010 también simplifican la tarea de organizar la información en tablas de tipo
matriz.
8. Para ver la siguiente informacion haga clic aquí.
9. Para ver la siguiente informacion haga clic aquí.
10.
21
GFI LANGUARD
Realiza análisis de red utilizando bases de datos de vulnerabilidad basadas en OVAL y SANS,
proporcionando más de 15.000 evaluaciones de vulnerabilidad cuando su red, incluyendo
cualquier entorno virtual, es analizada. GFI LANguard le permite analizar el estado de seguridad de
su red y tomar acciones antes de que sea comprometida. La última versión detecta equipos que
son vulnerables a la infección por el gusano Conficker así como equipos que han sido infectados.
Auditoría de red
La función de auditoría de red de GFI LANguard le dice todo lo que necesita saber sobre su red
recuperando información del hardware sobre memoria, procesadores, adaptadores gráficos,
dispositivos de almacenamiento, detalles de placa base, impresoras y puertos en uso. Utilizando
comparaciones básicas puede comprobar si se agregó/eliminó hardware desde el último análisis.
GFI LANguard también puede identificar y generar informes sobre instalaciones de software no
autorizado y proporcionar alertas o bien desinstalar automáticamente estas aplicaciones no
autorizadas si son detectadas en la red.
ETHEREAL
Es un sniffer, una aplicación capaz de capturar todos los paquetes de información que se difunden
a través de la red para posteriormente interpretarlos y así conocer que tareas se llevan a cabe en
la red.
Ethereal es un analizador de paquetes de información totalmente recomendado paraprofesionales
ya que incluso muestra la información por tipos. Podremos capturar los datos tanto desde la red
como desde una captura de disco ya que soporta más de 20 formatos distintos y más de 300
protocolos.
Ethereal usa un sistema para visualizar los datos y otro totalmente diferente e incompatible para
realizar las capturas (tcpdump).
Una vez establecidos los parámetros de captura, el programa mostrará los resultados en 3
ventanas de información Una vez finalizada, podremos acceder a un listado de todos lospaquetes
capturados, con información relevante a ellos así como los puertos utilizados.
SIVUS
Es un escáner de vulnerabilidad para las redes VoIP que utilizan el protocolo SIP. Este escáner
proporciona varias características para verificar la robustez y para asegurar la implementación de
una red VoIP segura.
Sus principales características son las siguientes:
Generador de mensajes SIP: puede ser utilizado para enviar varios tipos de mensajes a un
componente del SIP incluyendo contenido del SDP. Esta característica se puede utilizar para
probar ediciones específicas del SIP o para generar varios ataques, como por ejemplo un ataque
de denegación de servicios.
22
Explorador de componentes del SIP: explora una gama de direcciones IP para identificar los
anfitriones que utilizan el protocolo SIP y se puedan utilizar como blancos para el análisis
adicional. Es una opción del explorador que permite el descubrimiento preliminar de blancos antes
de una exploración real.
Explorador de la vulnerabilidad del SIP: El explorador proporciona la configuración flexible de
varias opciones que se puedan utilizar, para verificar la robustez y la seguridad de una
implementación del protocolo SIP. Se realizan chequeos como: análisis de las cabeceras de
mensajes del protocolo SIP para identificar vulnerabilidades tales como desbordamientos del
buffer o ataques de denegación de servicio, autentificación de mensajes que identifican
componentes del SIP, autentificación de las peticiones del registro, inspección para las
comunicaciones seguras (SIPS) y verificación de las capacidades de cifrado.
NESSUS
Es un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Consiste en
nessusd, el daemon Nessus, que realiza el escaneo en el sistema objetivo, y nessus, el cliente
(basado en consola o gráfico) que muestra el avance y reporte de los escaneos. Desde consola
nessus puede ser programado para hacer escaneos programados con cron.
En operación normal, nessus comienza escaneando los puertos con nmap o con su propio
escaneador de puertos para buscar puertos abiertos y después intentar varios exploits para
atacarlo. Las pruebas de vulnerabilidad, disponibles como una larga lista de plugins, son escritos
en NASL (Nessus Attack Scripting Language, Lenguaje de Scripting de Ataque Nessus por sus siglas
en inglés), un lenguaje scripting optimizado para interacciones personalizadas en redes.
Opcionalmente, los resultados del escaneo pueden ser exportados en reportes en varios formatos,
como texto plano, XML, HTML, y LaTeX. Los resultados también pueden ser guardados en una base
de conocimiento para referencia en futuros escaneos de vulnerabilidades.
Algunas de las pruebas de vulnerabilidades de Nessus pueden causar que los servicios o sistemas
operativos se corrompan y caigan.
El usuario puede evitar esto desactivando "unsafe test" (pruebas no seguras) antes de escanear.
SATAN (Security Analysis Tool for Auditing Networks)
Es una herramienta de prueba y análisis que recolecta información variada sobre una red y los
hosts que se encuentran en ella.
Esta herramienta recopila información mediante un análisis de los servicios de la red, como por
ejemplo ftp, rexd, NIS y NFS entre otros. Después, elabora un reporte, con un sistema simple de
reglas en el que evidencia las vulnerabilidades de la red.
Entre la información que detecta SATAN se encuentra:
Topología de la red.
Servicios de la red.
Tipo de hardware.
Tipo de software
23
Satan consiste de varios sub-programas, cada uno con un ejecutable que prueba un host para una
debilidad potencial. Se emplea fping para determinar cuales son los hosts activos en la red. Para
cada uno se examina un conjunto de tests y existe la posibilidad de agregar con facilidad nuevas
pruebas a SATAN, para que el programa controlador las ejecute sobre el conjunto de hosts a
revisar.
Posteriormente, cada test genera un registro de datos que incluye el nombre el host, el test
ejecutado y los resultados, entre otros. Estos registros luego son manejados a través de una
interfaz en HTML para una mejor comprensión.
NSTEALTH
Esta una herramienta que escanea servidores Web para identificar problemas y debilidades que
pueden permitir que un atacante obtenga acceso privilegiado. Según su página Web, viene con
una base de datos con más de 30.000 vulnerabilidades y exploits. La base de datos de NSealth es
actualizada activamente y por ende contiene más vulnerabilidades que una base normal. El lema
de este software es: “encuentre sus vulnerabilidades antes que un hacker lo haga”
El programa corre bajo Windows 95/98/ME/NT/2K o XP, y algunos usuarios han reportado éxito
en WINE para Linux aunque este no sea soportado.
NIKTO
Es un analizador de vulnerabilidades para servidores Web, basado en la funcionalidad de HTTP de
la librería LibWhisker de Wiretrip. Este analizador busca malas configuraciones, software que no
esta al día con las actualizaciones, archivos y scripts que están por default o inseguros, los cuales
colocan en alto riesgo el servidor.
La herramienta se compone de un paquete de pruebas básicas, pero también permite la escritura
de pruebas adicionales para necesidades específicas. Estas pruebas básicas cubren una amplia
gama de vulnerabilidades en diferentes servidores Web y sistemas operativos.
ISS – INTERNET SECURITY SCANNER
Es una aplicación cuyo objetivo es buscar puntos vulnerables de la red con relación a la seguridad.
Es una herramienta comercial de análisis de vulnerabilidades para Windows. ISS (Internet Security
Scanner).
Se encuentra disponible para la mayoría de las plataformas UNIX y para Windows NT. La versión
más actual de ISS es la 5.2 para Windows NT y la 4.3.3 para sistemas operativos UNIX.
OTRAS HERRAMIENTAS DE AUDITORIA SON:
OpenBSD: El sistema operativo preventivamente seguro.
LIDS: Un sistema de detección/defensa de intrusiones
Dig: Una útil herramienta de consulta de DNS que viene de la mano con Bind.
Zone alarm: El firewall personal para Windows. Ofrecen una versión gratuita limitada.
Visual Route: Obtiene información de traceroute/whois y la grafica sobre un mapa del mundo.
24
The Coroner's Toolkit (TCT): Una colección de herramientas orientadas tanto a la recolección
como al análisis de información forense en un sistema Unix.
Tcpreplay: una herramienta para reproducir {replay} archivos guardados con tcpdump o con
snoop a velocidades arbitrarias.
Snoop: También es un sniffer de redes que viene con Solaris.
11. Para ver la siguiente informacion haga clic aquí.
12.
Este informe se realiza para a conocer las vulnerabilidades y riesgos de la infraestructura a la cual
se le realizo el análisis.
El análisis de riesgos y vulnerabilidades se realizo debido a la infraestructura en cuestión de
actualizaciones, en seguridad y sistemas operativos.
El propósito de hacer este análisis fue encontrar debilidades en la estructura física de los
ambientes que pudiera afectar el funcionamiento de la red, encontrar puntos que pudieran
generar una vulnerabilidad en un sistema, saber como prevenir cualquier tipo de fallo, ya sea por
la parte física o la parte lógica.
Pasos a seguir:
Selección de hosts y red a auditar
Métodos de análisis
Confidencialidad
Reglas a seguir
o Limites, permisos y obligaciones a respetar
o Informar a la menor cantidad de personas para garantizar la red
Reunión de la información
Información interna
o Mostrar los privilegios de un usuario común dentro de la organización
o La empresa provee equipo común con ID y password de la compañía
o Realización de pruebas
Revisión de privacidad
Testeo de aplicación en internet
Testeo de medidas de contingencia
cifrado de contraseñas
Testeo de denegación de servicios
Evaluación de políticas de seguridad
Información externa
o Acceder en forma remota a los servidores de la organización y obtener privilegios
o permisos que no deberían estar disponibles.
o Obtener información que luego se utilizará en el intento de acceso.
o Pasos
25
Información recolectada a partir de la presencia en Internet de la
organización.
Revisión de Privacidad desde el punto de vista legal y ético del
almacenamiento, transmisión y control de los datos basados en la
privacidad del cliente.
El testeo de solicitud es un método de obtener privilegios de acceso a una
organización y sus activos preguntando al personal de entrada, usando las
comunicaciones como un teléfono, mail, chat, boletines, etc. desde una
posición privilegiada fraudulenta.
Testeo de Sugerencia Dirigida se intenta lograr que un integrante de la
organización ingrese a un sitio o reciba correo, en este sitio o correo se
podrían agregar herramientas que luego serán utilizadas en el intento de
acceso.
Recopilar información
o Pruebas
Sondeo de red
Identificación de los servicios de sistema
Búsqueda y verificación de vulnerabilidades
Testeo de aplicaciones de internet
Enrutamiento
Testeo de relaciones de confianza
Verificación de redes inalámbricas
Documentación e informe
o Lista de vulnerabilidades probadas
o Lista de vulnerabilidades detectadas
o Lista de servicios y dispositivos vulnerables
o El nivel de riesgo que involucra cada vulnerabilidad encontrada en cada servicio y
dispositivo
Los recursos que se utilizaron para el analisis fueron:
Equipo de cómputo de la compañía
Credencial de usuario
El método utilizado fue:
Equipos de los ambientes
Pasar por cada equipo y capturar la información
La información obtenida en el analisis de riesgos y de vulnerabilidades fue:
Las vulnerabilidades en los equipos pueden ser provocadas por las actualizaciones de los equipos
de cómputo, la actualización del IOS de los dispositivos activos y programas descargados por los
aprendices sin consentimiento de los instructores.
26
Los factores naturales que pueden influir para el mal funcionamiento de la red son la humedad y el
polvo.
En esta analisis se puede decir que todos los puntos de red no están en uso y pueden ser factor de
vulnerabilidad en la red.
La debilidad que se encontró haciendo este informe en la infraestructura, es la seguridad en los
equipos de los aprendices y los factores naturales y ambientales que pueden afectar la
infraestructura.
Deberían utilizarse todas las conexiones que hay en los ambientes o que sean mas seguras.