VULNERABILIDADES DE UN SISTEMA
INFORMÁTICOYescenia Cárdenas
Maestría en Gestión de la Tecnología Educativa
¿Qué es Vulnerabilidad?•Debilidad de cualquier tipo que compromete la seguridad del sistema informático.
Tomada de: http://es.123rf.com/imagenes-de-
archivo/vulnerabilidad.html
¿Cómo se clasifican?En función del:•Diseño• Implementación•Uso•Vulnerabilidad del día cero
Tomada de: http://www.muycomputerpro.com/2014
/03/10/vulnerabilidades-software
En función del diseñoSe puede presentar:•Debilidad en el diseño de protocolos utilizados en las redes.•Políticas de seguridad deficientes o inexistentes.
Tomada de: http://www.ciospain.es/seguridad/la-
acumulacion-de-politicas-de-seguridad-provoca-agujeros-en-las-
redes-corporativas
En función de la Implementación•Errores de programación.•Existencia de “puertas traseras” en los sistemas informáticos.
•Descuido de los fabricantes.
Tomada de: http://marlonalvaradoredes.blogspot.com.co/2014/06/protocolos-de-red-que-
es-un-protocolo.html
En función del uso•Mala configuración del sistema informático.
•Desconocimiento y falta de sensibilización de los usuarios y de los responsables de la informática.
•Disponibilidad de herramientas que facilitan los ataques.
•Limitación gubernamental de tecnologías de seguridad.
Tomada de: http://www.bbc.com/mundo/noticias/2015/05/150508_tecnologia_como_saber
_si_te_roban_wifi_lv
Vulnerabilidad del día cero•Se incluyen aquí las que no tiene una solución “conocida” pero se sabe como explotarla.
•Se considera como el más peligroso por cuanto dejan una “ventana” de tiempo en el cual se pueden atacar los sistemas informáticos. Tomada de:
https://www.youtube.com/watch?v=u8xtlF62TQU
Vulnerabilidades conocidasDE DESBORDAMIENTO DEL BUFFERSi un programa no controla la cantidad de datos que se almacenan en el buffer, se puede sobrepasar su capacidad y lo que sobra se almacena en zonas de memoria adyacentes. Esto se aprovecha para ejecutar códigos que den privilegios de administrador.
Tomada de: http://sp.depositphotos.com/4246591/stock-photo-text-coming-out-of-laptop.html
Vulnerabilidades conocidasDE CONDICIÓN DE CARRERAVarios procesos acceden al mismo tiempo a un recurso compartido dando resultado a un valor no esperado.
Tomada de: http://amosantiago.cl/maraton-de-santiago-el-momento-de-llegar-a-la-meta/
Vulnerabilidades conocidasCROSS SITE SCRIPTING (XSS)Sucede en las aplicaciones web que permite inyectar código VBScript o JavaScript en páginas vistas por el usuario, la víctima piensa está accediendo a una URL de confianza pero realmente accede a otro sitio diferente.Tomada de:
http://www.diaadia.com.ar/tu-tecnologia/siete-claves-para-cuidar-la-seguridad-en-internet
Vulnerabilidades conocidasDENEGACIÓN DEL SERVICIOServicio o recurso no disponible para usuarios que provoca pérdida de la conectividad de red por consumo del ancho de banda o sobrecarga de los recursos informáticos.Tomada de:
http://www.fernandojavier.com/el-tse-se-volvio-a-aplazar-en-internet
Vulnerabilidades conocidasVENTANAS ENGAÑOSAS (WINDOW SPOOFING)Son las que dicen que eres ganador de algo sólo para sacarle al usuario información. Otras tienen enlaces y si los sigues obtienen datos del computador para luego atacar.
Tomada de: http://sistemadif.jalisco.gob.mx/fuerzapke/por-tu-seguridad/para-adolescentes
¿Qué herramientas puedo usar para identificarlas?NESSUSDe arquitectura Cliente – Servidor Open Source. Dispone de una base de datos de patrones de ataque que lanza contra la máquina y así localiza vulnerabilidades.
Tomada de: http://john.orrego.org/intec/so/linux/20
15/04/28/instalar-nessus-en-linux-debian/
¿Qué herramientas puedo usar para identificarlas?CATBIRDUsa un portal para la gestión centralizada de vulnerabilidades, analiza la red externa e internamente. Además hace monitorio de servicios de red.
Tomada de: http://www.catbird.com//
¿Qué herramientas puedo usar para identificarlas?Microsoft Baseline Security AnalyzerPermite verificar la configuración de seguridad, detectando los posibles problemas en el Sistema Operativo y los componentes instalados.
Tomada de: http://www.intercambiosvirtuales.org/s
oftware/microsoft-baseline-security-analyzer-v2-3-mbsa-para-it-profesional
Referencias Bibliográficas• Mifsud, E. (2012). Introducción a la seguridad
informática. Recuperado dehttp://recursostic.educacion.es/observatorio/web/es/software/software-general/1040-introduccion-a-la-seguridad-informatica?format=pdf
• Wikipedia. (Última modificación 12 de mayo de 2016). Ataque de día cero. No registra lugar de publicación: Wikipedia. Recuperado de https://es.wikipedia.org/wiki/Ataque_de_d%C3%ADa_cero
Referencia de las imágenes• http://es.123rf.com/imagenes-de-archivo/vulnerabilidad.html • http://www.muycomputerpro.com/2014/03/10/vulnerabilidades-software • http://
www.ciospain.es/seguridad/la-acumulacion-de-politicas-de-seguridad-provoca-agujeros-en-las-redes-corporativas • http://marlonalvaradoredes.blogspot.com.co/2014/06/protocolos-de-red-que-es-un-protocolo.html • http://www.bbc.com/mundo/noticias/2015/05/150508_tecnologia_como_saber_si_te_roban_wifi_lv • https://www.youtube.com/watch?v=u8xtlF62TQU • http://sp.depositphotos.com/4246591/stock-photo-text-coming-out-of-laptop.html • http://amosantiago.cl/maraton-de-santiago-el-momento-de-llegar-a-la-meta/ • http://www.diaadia.com.ar/tu-tecnologia/siete-claves-para-cuidar-la-seguridad-en-internet• http://www.fernandojavier.com/el-tse-se-volvio-a-aplazar-en-internet • http://sistemadif.jalisco.gob.mx/fuerzapke/por-tu-seguridad/para-adolescentes • http://john.orrego.org/intec/so/linux/2015/04/28/instalar-nessus-en-linux-debian• http://www.catbird.com// • http://www.intercambiosvirtuales.org/software/microsoft-baseline-security-analyzer-v2-3-mbsa-para-it-profesional