Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Taller 1 - Sol

    Cargado por

    jerimel
    64 vistas5 páginas

    Título original

    taller 1_sol

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    64 vistas5 páginas

    Taller 1 - Sol

    Cargado por

    jerimel

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 5

    OPORTUNIDAD DE MEJORA EN EL TALLER :

    Adicionar tipos de vulnerabilidad en el segundo punto, el cual dejo resaltado

    ENUNCIADOS
    1. El rotulo o indicador utilizado por CVE para cada vulnerabilidad es de la forma:
    “CVE-yyyy-nnnn”, donde yyyy es igual al año y nnnn es el numero de la
    vulnerabilidad, investigue la primera vulnerabilidad etiquetada para los años
    • Identifique quien se ve afectado por cada vulnerabilidad: sistema operativo,
    dispositivo (teléfono celular, otro), aplicación, etc
    • Asocie cada vulnerabilidad, de acuerdo a la siguiente clasificación:
    o Vulnerabilidad de bajo nivel (de sistema operativo o aplicación
    standalone)
    o Vulnerabilidad de red
    o Vulnerabilidad Web
    o Vulnerabilidad de ingeniería social
    REEMPLAZANDO POR:

    • Vulnerabilidad por errores de configuración.


    • Vulnerabilidad por errores en la gestión de recursos.
    • Vulnerabilidad por errores en los sistemas de validación.
    • Vulnerabilidad por Errores que permiten el acceso a directorios.
    • Vulnerabilidad por Errores en la gestión y asignación de permisos.
    • Vulnerabilidad por Amenazas de ataques de denegación de servicio.
    • Vulnerabilidades producidas por contraseñas
    • Vulnerabilidades producidas por usuarios
    • Vulnerabilidades del sistema

    2. De acuerdo a la guía CVSSv3.1 que puede encontrarse en:


    https://www.first.org/cvss/v3.0/specification-document, calcule la calificación
    CVSSv3 de la vulnerabilidad a continuación expuesta, pero concibiendo el análisis
    un día después que la vulnerabilidad es publicada (detallar las tres métricas,
    justificando el valor de cada parámetro y calculando las calificaciones
    correspondientes con las fórmulas que se detallan en la guía), para verificar los
    cálculos utilizar la calculadora https://www.first.org/cvss/calculator/3.0
    1999,

    Activo afectado: Aplicaciones web


    Tipo: Vulnerabilidad web

    2005,

    Activo afectado: Sistema operativo linux


    Tipo: Vulnerabilidad de bajo nivel
    2010,

    Activo afectado: Aplicación de escritorio


    Tipo: Vulnerabilidad de bajo nivel

    2011,

    Activo afectado: Sistema operativo Linux


    Tipo: Vulnerabilidad de bajo nivel
    2014,

    Activo afectado: Aplicaciones de bases de datos.


    Tipo: Vulnerabilidad de bajo nivel.

    2015,

    Activo afectado: Sistemas operativos Windows 8, server 2012, r2, rt gold y 8.1.
    Tipo: Vulnerabilidad de bajo nivel.
    DOCENTE: ING. RAFAEL ACOSTA
    AUDITORIA DE SISTEMAS
    IDENTIFICACION DE VULNERABILIDADES DE ACUERDO A CVE Y CVSS
    TALLER 001
    A continuación se detalla una vulnerabilidad concreta y ficticia,
    Usted es el responsable de seguridad de una multinacional que fabrica la bebida
    gaseosa Pasto Cola, cuenta con un aplicativo que se llama “Fórmula Secreta” que
    guarda la fórmula de la bebida, pero desde hace unos meses se encontró un bug
    que permite atentar contra la disponibilidad del aplicativo, esta situación no es
    soportada en razón a que la bebida se fabrica 7x24 y se requiere la disponibilidad
    continua de la formula, así como la confidencialidad y la integridad de la misma.
    En contexto se decidió cambiar el aplicativo por uno más moderno de nombre
    “TopSecretFormula”.
    El nuevo software “TopSecretFormula” es instalado en todos los servidores
    responsable de almacenar la formula, esta solo puede ser accedida por partes, de
    acuerdo a los permisos de cada ingeniero de alimentos. Para ingresar al aplicativo
    primero se debe autenticar en el sistema operativo de la estación de trabajo y
    luego en el aplicativo. (es una aplicación standalone)
    En un análisis de logs el responsable de seguridad evidenció el ingreso de un
    ingeniero de alimentos con permisos de visibilidad completos de la formula, aunque
    solo por unos segundos. Esto permite sospechar una vulnerabilidad en el
    aplicativo, esta situación se repitió nuevamente unos días atrás y de igual forma se
    registro el acceso por unos segundos y luego un ingreso del usuario con sus
    permisos normales.
    Se logró correlacionar que los ingenieros que ingresaron son unos expertos
    japoneses contratados hace seis meses y que cuando ingresaron con permisos
    totales el nombre de usuario tenía más de 500 caracteres sin sentido, se especula
    que en el momento de ingreso utilizaron el teclado en japonés y esto ocasiono el
    inconveniente. Usted mismo como responsable de seguridad probó la
    vulnerabilidad e ingresó a ver la formula.
    Personalmente está pasando por una época dura, se está divorciando porque
    durante los últimos años no tuvo tiempo para su familia y sintiéndose quemado por
    la compañía Pasto Cola, decide que al otro día revelara la vulnerabilidad enviando
    un correo anónimo desde un servidor seguro a todos los ingenieros de alimentos,
    complementariamente enviara un comunicado a una web de hackers que
    potencialmente haga publica la formula y la haga llegar a la competencia “CIpiales
    Cola”

    También podría gustarte