UNIVERSIDAD TCNICA DEL NORTE

FACULTAD DE INGENIERA EN CIENCIAS APLICADAS CARRERA DE INGENIERA EN SISTEMAS COMPUTACIONALES

SEGURIDADINFORMATICA
VULNERABILIDADESYRIESGOSDEL SISTEMAACADEMICODELAUNIVERSIDAD TECNICADELNORTE

Integrantes: BurgosAndrs CrdenasAndrs JarrinAntonio Docente: Ing.ReneBrown 2013

i.

INTRODUCCIN

El sistema de notas en la actualidad es un punto crtico del sistema integrado existente en la Universidad ya que en este se maneja el historial de notas de todos los estudiantes y una pequea falla o vulnerabilidad puede poner enriesgo losregistro comprometiendo la veracidad delainformacin.

ii.

DESCRIPCIONDELAARQUITECTURA

ARQUITECTURA DE LA RED

ARQUITECTURA DE SOFTWARE

i. ANALISISDEVULNERAVILIDADES

Riesgos Internos
Sniffers.- Es un programa que espa el trfico que circula por la red, captura toda la informacin mientras pasa por la red y se pude analizar los siguientes protocolos: Telnet Ftp POP IMAP X11 HTTP HTTPS Que son los ms vulnerables en el servidor. Imagen de escaneo de wireshark

Posible vulnerabilidad ya que la red permite el anlisis de paquetes que al ser decodificados

pueden revelar informacin sensible como contraseas.

Ingeniera Social.- A travs de esta tcnica se puede obtener datos personales del usuario del Sistema Integrado, posiblemente la contrasea de acceso, todo esto depende de la habilidad de manipulacion.

Podemos obtener:
Direccion de Correo Electronico. Datos personales utilizados en la recuperacion de contrasea. En casos extremos la contrasea de acceso. Preferencias o gustos.

Riesgos Externos
Phishing.- Mediante un correo electronico enviado a cualquier usuario del Sistema Integrado y la ayuda de Ingenieria Social se puede lograr redireccionar al usuario a una pagina falsa identica a la original en la cual la persona ingresara sus datos de logueo, almacenandolos en una base de datos o archivo. Pasos:
Conseguir la direccion de correo de la victima. Elaborar el email haciendolo llamativo, basado en los gustos de la victima. Clonar la pagina de logueo y almacenarla en la red o en algun host gratuito Redireccionar los datos ingresados para que se almacenen en un archivo o base de

datos.
Enviar el correo y ser pacientes.

Inyeccin SQL.- Este mtodo de infiltracin de cdigo intruso que se vale de una vulnerabilidad informtica presente en una aplicacin en el nivel de validacin de las entradas para realizar consultas a una base de datos. Realizando varias pruebas en las urls y peticiones disponibles en la aplicacin no se detecto algun tipo de vulnerabilidad de este tipo. XSS.- Es un agujero de seguridad tpico de las aplicaciones Web, que permite a una tercera parte inyectar en pginas web vistas por el usuario cdigo JavaScript, evitando medidas de control como la Poltica del mismo origen. Realizando pruebas en la aplicacin Web no se encontraron vulnerabilidades de este tipo. Fuerza Bruta.- Es la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso. La aplicacin no permite este tipo de ataques ya que tras varios intentos se bloquea el acceso al usuario.
vi.RESULTADOS

Mtodo Sniffing

Vulnerable X

No Vulnerable

Acceso Toda los paquetes de informacion de la red.

Ingenieria Social Phishing

X X

Datos Personales Contraseas de Acceso al Sistema

Inyeccion SQL

Informacion de la base de datos

XSS

Cookies de Sesion.

Fuerza Bruta

Contraseas de Acceso al sistema

V.CONCLUSIONESYRECOMENDACIONES Conclusiones

Laingenieriasocialeselarmamaspoderosaparavulnerarsistemasinformaticos noimportalacomplejidadqueestostengan. Elaccesoainformacionsensiblequebrindanlosusuarioseninternetpuedeser unavulnerabilidadenorme. Loscorreoselectronicossontodaviaunagranviaparalograrataques. Unaarquitecturadereddebilimplicaunaagujerodeseguridadyunatentadoante laprivacidad.

Recomendaciones

Mejorarlaarquitecturadelaredparaquelospaquetesnoseaninterceptados. Instruiralosusuariosacercadelospeligrosdelaingenieriasocial. Concientizaralosusuariosqloscorreosquerecibennosiempresonconfiables.