SlideShare ist ein Scribd-Unternehmen logo

Técnicas para detectar vulnerabilidades de activos

Als PPTX, PDF herunterladen
Alexander Velasque Rimac
Alexander Velasque Rimac
TechnologieBusiness
1 von 43
TÉCNICAS PARA DETECTAR LAS VULNERABILIDADES DE ACTIVOS Seguridad en Computación e Informática Universidad Nacional Federico Villarreal Facultad de Ingeniería Industrial y de Sistemas Escuela de Ingeniería de Sistemas
Integrantes CASACHAHUA MEDINA, JOSÉ RODOLFO ALBERTO FLORIAN ARTEAGA, EDUARDO MIGUEL GONZALES BERNAL, JAIR ANTONIO GARCÍA MORAUSKY, CESAR RICARDO BENITEZ PEREYRA, PAUL FRANCISCO E.
En la actualidad todas las empresas en sus distintos rubros cuentan con una gran gama de activos de información, entre ellos podemos mencionar: aplicativos, servidores ya sean web, de correo o de aplicaciones, páginas web, etc. Todos ellos enlazados con la información o data de la organización y que constituye el principal activo de toda organización, ya que en ella se encuentra todo el know how que marca la diferencia en el mercado de vanguardia. Entonces las organizaciones deben tomar en cuenta medidas o técnicas representadas en programas, métodos que nos sirven para detectar estas vulnerabilidades o debilidades y no caer en un futuro cercano en una pérdida lamentable o robo inescrupuloso de nuestros activos de información.
1 CASO: Toda empresa posee activos de TI ya sea servidores, aplicaciones o elementos de red de una infraestructura de TI, lo cual se tiene que identificar las vulnerabilidades que poseen estas como también saber gestionarlas para así evitar conflictos de riesgos que afecten mis procesos de negocio.
Existe una herramienta de SW que me permite escanear, detectar, evaluar y remediar cualquier vulnerabilidad, la cual es: GFI LANguard N.S.S (Network Security Scanner) Es una solución empresarial para salvaguardar los sistemas y redes de ataques hacker y brechas de seguridad mediante:  Análisis de vulnerabilidad  Administración de parches.  Auditoria de red y software.
Proceso de escaneo de elementos de red
Beneficios del GFI LANguard N.S.S. Previene caídas de TI que puedan afectar los procesos de negocio, debido a la exposición por vulnerabilidad. Ayuda a los administradores de TI a asegurar sus redes más rápido y más eficientemente. Proporciona informes adaptables de escaneos realizados a través de toda la red incluyendo aplicaciones y recursos.
El Google Hacking consiste en explotar la gran capacidad de almacenamiento de información de Google, buscando información específica que ha sido añadida a las bases de datos del buscador.
Nos ayuden a encontrar información sensible. Puntos de entrada sensibles a posibles ataques. Cualquier tipo de información que tuviera carácter de sensibilidad, estaremos ejecutando un Google hack.
Ver cámaras privadas desde Google
METADATOS
Infiltrator
 Infiltrator es una herramienta que permite escanear redes para poder auditar la red en buscar de vulnerabilidades.  Tiene la capacidad de revelar y catalogar un gran número de información de las computadoras que ha escaneado como: Software instalado, usuarios, discos, información sobre SNMP, puertos abiertos entre otros.
Búsqueda de información y escaneo: Obtiene información como: Registros, políticas de contraseñas, usuarios y grupos, trabajos y sesiones, puertos TCP y UDP que se encuentre abiertos, datos sobre Servidores web, y muchos otros.
Auditoria de seguridad  Infiltrator tiene la capacidad de alertar sobre eventos peligrosos, gracias a la BD de auditoria con la que viene integrada.
Pattern Matching
Técnica para detección de vulnerabilidades de Software Funciona comparando una secuencia de códigos, que contengan cierto token, con un patrón. Los patrones que generalmente intenta comparar son String. Es muy útil para encontrar y remover algunos problemas potenciales de seguridad antes que el programa sea lanzado al público
Herramientas: Flawfinder Trabaja usando una BD con funciones de C/C++ conocidas por presentar diversos problemas tales como: Sobrecarga de Buffer, problemas de formateo de String, uso de metacaracteres entre otros. Luego se toma el codigo fuente y se compara con los códigos existentes en la BD, ignorando los comentarios y los strings. Flawfinder genera una lista de Hits (fallas de seguridad en potencia) y las ordena por nivel de riesgo, siendo las mas riesgosas mostradas primero
•Consiste en probar, de forma más o menos inteligente, el comportamiento de una aplicación frente a unos datos generados específicamente para hacer que un programa falle, ya sea generando datos en una codificación diferente, enviando cadenas largas o probando a desbordar valores numéricos. •Una de las partes más importantes del fuzzing es la automatización y la instrumentalización. •Suelen incorporar monitores para detectar la caída de la aplicación que se esté probando. Además, permiten grabar la sesión y datos relativos a la caída, como volcado de memoria, captura de red o desensamblado de la función afectada. •Existe una herramienta llamada Sulley que posibilita generar un fuzzer específico para cada aplicación. Está programada en python por el creador de Paimei y es mantenida con regularidad.
• Un ejemplo sencillo para fuzzear un servidor web: View sourceprint 01.from sulley import * 02. 03.# Inicializamos el bloque de datos 04.s_initialize("HTTP Simple Request Fuzz") 05. 06.# Definición "GET[espacio]/petición[espacio]HTTP/ 1.0[nueva línea][nueva línea]" 07.s_static("GET") 08.s_delim(" ") 09.s_delim("/") 10.s_string("peticion") 11.s_static(" HTTP/1.0") 12.s_static("rnrn") 13. 14.sess = sessions.session() 15.target = sessions.target("127.0.0.1",80) 16.sess.add_target(target) 17.sess.connect(s_get("HTTP Simple Request Fuzz")) 18.sess.fuzz()
• El primer paso es definir el nombre del bloque con s_initialize: View sourceprint s_initialize("HTTP Simple Request Fuzz") Desde aquí y hasta la siguiente llamada a s_initialize, definirá modelos de datos. Luego, dependiendo del tipo de dato, elegirá la forma más lógica de fuzzearlo. Acto seguido, se define la petición que Sulley enviará al servidor. En este caso, sólo nos interesa fuzzear los delimitadores y la petición: 1.s_static("GET") 2.s_delim(" ") 3.s_delim("/") 4.s_string("peticion") 5.s_static(" HTTP/1.0") 6.s_static("rnrn")
 Sulley nos provee de un conjunto de primitivas suficientes para definir un protocolo tanto textual como binario. La lista de primitivas es la siguiente: s_binary: Acepta valores binario en varios formatos (0xc0 0xff ee ea x00 fe 00 01 02 0xc50xc2 f0 0d). s_static: Valor que no cambia. s_dunno, s_raw and s_unknown: alias de s_static. s_byte, s_char: 1 byte. s_word, s_short: 2 bytes.  Con el protocolo definido, pasemos a la sesión. Cada sesión puede ser guardada en un fichero serializado para tener la posibilidad de pausar el proceso y retomarlo. También creamos el objeto que albergará la información del objetivo: 1.sess = sessions.session() 2.target = sessions.target("127.0.0.1",80) 3.sess.add_target(target) 4.sess.connect(s_get("HTTP Simple Request Fuzz")) 5.sess.fuzz()  Dentro de target, se indicará el host y el puerto al que deberá conectar Sulley para las pruebas. Aquí también deberíamos definir las opciones de los monitores, aunque no se aplique a este caso. El objetivo se añade a la sesión (sess.add_target(target)) y creamos el árbol de pruebas. Internamente, Sulley mantiene un grafo con cada una de las fases por las que tiene que pasar:
View sourceprint 1.sess.connect(s_get("sess.connect(s_get("HTTP Simple Request Fuzz"))")) • Con esto ya estamos preparados para lanzar el proceso. Esta última línea, crea un nuevo nodo en el árbol (previamente definimos “HTTP Simple Request Fuzz” con la llamada a s_initialize). Para terminar, la llamada sess.fuzz() comienza el proceso:
5 CASO: VULNERABILIDAD EN WINDOWS – VIRUS EN BATCH
Es un archivo de procesamiento por lotes Se trata de archivos de texto sin formato, guardados con la extensión BAT Contienen un conjunto de comandos MS-DOS.
VARIABLES DEL SISTEMA • %COMPUTERNAME% = Nombre de host. • %SYSTEMROOT% = Carpeta de administración Normalmente c:windows • %TEMP% = directorio donde se encuentran los archivos temporales • %WINDIR% = directorio de windows. • %USERNAME% = usuario con el que se inicio sesión %USERPROFILE% = directorio donde se encuentran los archivos del usuario que inicio sesión %PROGRAMFILE% = directorio donde se encuentran los archivos de programas • %OS% = muestra el sistema operativo que estamos ejecutando %LOGONSERVER% = nombre de nuestro server (mihost)
CODIFICACION PRUEBA ENCRIPTACIONEMPAQUETADO INGENIERIA SOCIAL - DISTRIBUCION
CONCLUSIONES • Las vulnerabilidades de activos de información siempre existirán en todas las organizaciones amenazando la integridad, la consistencia y la confidencialidad de los datos, ocasionando grandes pérdidas de información en muchos casos irreparables. 1º Conclusión • La detección de vulnerabilidades es un trabajo arduo, al que debe prestarse mucha atención para reforzar las debilidades y reducir al máximo las posibilidades de intrusión de terceros. 2º Conclusión • Hoy por hoy, en las organizaciones es importante tener diversas herramientas de software que permiten identificar, evaluar y categorizar las vulnerabilidades de los activos de TI como también notificar acciones correctivas a estas vulnerabilidades y generar reportes de las vulnerabilidades por cada activo en cuestión. 3º Conclusión • Tan importante es tener presencia Web, como conocer sus peligros potenciales. 4º Conclusión
RECOMENDACIONES Toda organización debe estar lista con un plan de prevención antes las vulnerabilidades presentes en cada activo informático, aplicando los métodos y técnicas acertadas que aseguren la solidez, disponibilidad y privacidad de la información. Para tener una bajo nivel de riesgos de ti en las organizaciones es necesario que las vulnerabilidades sean identificadas y corregidas a través de herramientas tecnológicas de detención de vulnerabilidades de TI. Hacer un seguimiento de los documentos indexados por los robots de los buscadores con el fin de tener un panorama de lo que está disponible para el público y lo que no debería de estarlo. A pesar de ser prácticamente imposible detectar todas las posibles vulnerabilidades que puede presentar una red o un software, se recomienda usar diversas herramientas, de distintos fabricantes, para poder aumentar el rango de detección de los puntos vulnerables.
Técnicas para detectar vulnerabilidades de activos

Empfohlen

Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosJuan Quiroga
 
Unidad 6: Software malicioso
Unidad 6: Software maliciosoUnidad 6: Software malicioso
Unidad 6: Software maliciosocarmenrico14
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5SemanticWebBuilder
 
Software malware
Software malwareSoftware malware
Software malwarePedro Solarte Delgado
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datosguestb40a1b0
 
Seguridad en las redes
Seguridad en las redesSeguridad en las redes
Seguridad en las redesjeromin
 
Flisol2010
Flisol2010Flisol2010
Flisol2010hendrykfer2
 
Guía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la CiberextorsiónGuía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la CiberextorsiónPanda Security
 

Empfohlen

Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosJuan Quiroga
 
Unidad 6: Software malicioso
Unidad 6: Software maliciosoUnidad 6: Software malicioso
Unidad 6: Software maliciosocarmenrico14
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5SemanticWebBuilder
 
Software malware
Software malwareSoftware malware
Software malwarePedro Solarte Delgado
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datosguestb40a1b0
 
Seguridad en las redes
Seguridad en las redesSeguridad en las redes
Seguridad en las redesjeromin
 
Flisol2010
Flisol2010Flisol2010
Flisol2010hendrykfer2
 
Guía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la CiberextorsiónGuía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la CiberextorsiónPanda Security
 
Seguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSeguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSebastián Bortnik
 
Unidad 3 - Seguridad Lógica
Unidad 3 - Seguridad LógicaUnidad 3 - Seguridad Lógica
Unidad 3 - Seguridad Lógicavverdu
 
Herramientas antimalware
Herramientas antimalwareHerramientas antimalware
Herramientas antimalwaretecnoeyca
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webJuan Eladio Sánchez Rosas
 
Ethical hacking y contramedidas
Ethical hacking y contramedidasEthical hacking y contramedidas
Ethical hacking y contramedidasUniversidad Tecnológica de México - UNITEC
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9Universidad Kino A.C.
 
Presentación2
Presentación2Presentación2
Presentación2Erika Mora
 
Informe proyecto nessus
Informe proyecto nessusInforme proyecto nessus
Informe proyecto nessusLethy Mendez
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamEduardo Arriols Nuñez
 
Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosNeyber Porras
 
Analisis de Vulnerabilidades
Analisis de VulnerabilidadesAnalisis de Vulnerabilidades
Analisis de VulnerabilidadesMeztli Valeriano Orozco
 
Seguridad de los sistemas Operativos
Seguridad de los sistemas OperativosSeguridad de los sistemas Operativos
Seguridad de los sistemas OperativosConcreto 3
 
Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosLauris R Severino
 
Protección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas OperativosProtección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas OperativosRichard J. Nuñez
 
Seguridad de los Sistemas Operativos
Seguridad de los Sistemas OperativosSeguridad de los Sistemas Operativos
Seguridad de los Sistemas Operativossteevenjose
 
Red Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesRed Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesEduardo Arriols Nuñez
 
Eq 4 seg- fiis- sans institute
Eq 4 seg- fiis- sans instituteEq 4 seg- fiis- sans institute
Eq 4 seg- fiis- sans instituteAlexander Velasque Rimac
 
Capítulo 2
Capítulo 2Capítulo 2
Capítulo 2fredcascas
 
Sistemas de intrusos
Sistemas de intrusosSistemas de intrusos
Sistemas de intrusosalvaro alcocer sotil
 
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...Héctor López
 
Black Green Tech Programmer Presentation.pdf
Black Green Tech Programmer Presentation.pdfBlack Green Tech Programmer Presentation.pdf
Black Green Tech Programmer Presentation.pdfALEXANDRAPATRICIAGON1
 
Test de intrusion
Test de intrusionTest de intrusion
Test de intrusionJesús Moreno León
 

Weitere ähnliche Inhalte

Was ist angesagt?

Seguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSeguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSebastián Bortnik
 
Unidad 3 - Seguridad Lógica
Unidad 3 - Seguridad LógicaUnidad 3 - Seguridad Lógica
Unidad 3 - Seguridad Lógicavverdu
 
Herramientas antimalware
Herramientas antimalwareHerramientas antimalware
Herramientas antimalwaretecnoeyca
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webJuan Eladio Sánchez Rosas
 
Presentación2
Presentación2Presentación2
Presentación2Erika Mora
 
Informe proyecto nessus
Informe proyecto nessusInforme proyecto nessus
Informe proyecto nessusLethy Mendez
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamEduardo Arriols Nuñez
 
Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosNeyber Porras
 
Seguridad de los sistemas Operativos
Seguridad de los sistemas OperativosSeguridad de los sistemas Operativos
Seguridad de los sistemas OperativosConcreto 3
 
Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosLauris R Severino
 
Protección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas OperativosProtección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas OperativosRichard J. Nuñez
 
Seguridad de los Sistemas Operativos
Seguridad de los Sistemas OperativosSeguridad de los Sistemas Operativos
Seguridad de los Sistemas Operativossteevenjose
 
Red Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesRed Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesEduardo Arriols Nuñez
 

Was ist angesagt? (19)

Seguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSeguridad En Sistemas Operativos
Seguridad En Sistemas Operativos
 
Unidad 3 - Seguridad Lógica
Unidad 3 - Seguridad LógicaUnidad 3 - Seguridad Lógica
Unidad 3 - Seguridad Lógica
 
Herramientas antimalware
Herramientas antimalwareHerramientas antimalware
Herramientas antimalware
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones web
 
Ethical hacking y contramedidas
Ethical hacking y contramedidasEthical hacking y contramedidas
Ethical hacking y contramedidas
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
 
Presentación2
Presentación2Presentación2
Presentación2
 
Informe proyecto nessus
Informe proyecto nessusInforme proyecto nessus
Informe proyecto nessus
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red Team
 
Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas Operativos
 
Analisis de Vulnerabilidades
Analisis de VulnerabilidadesAnalisis de Vulnerabilidades
Analisis de Vulnerabilidades
 
Seguridad de los sistemas Operativos
Seguridad de los sistemas OperativosSeguridad de los sistemas Operativos
Seguridad de los sistemas Operativos
 
Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas Operativos
 
Protección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas OperativosProtección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas Operativos
 
Seguridad de los Sistemas Operativos
Seguridad de los Sistemas OperativosSeguridad de los Sistemas Operativos
Seguridad de los Sistemas Operativos
 
Red Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesRed Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentes
 
Eq 4 seg- fiis- sans institute
Eq 4 seg- fiis- sans instituteEq 4 seg- fiis- sans institute
Eq 4 seg- fiis- sans institute
 
Capítulo 2
Capítulo 2Capítulo 2
Capítulo 2
 
Sistemas de intrusos
Sistemas de intrusosSistemas de intrusos
Sistemas de intrusos
 

Ähnlich wie Técnicas para detectar vulnerabilidades de activos

#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...Héctor López
 
Black Green Tech Programmer Presentation.pdf
Black Green Tech Programmer Presentation.pdfBlack Green Tech Programmer Presentation.pdf
Black Green Tech Programmer Presentation.pdfALEXANDRAPATRICIAGON1
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoWilliamBeltran007
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De DatosWilliam Suárez
 
Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Once Redes
 
Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Once Redes
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridadMBouvier2
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridadMBouvier2
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoFranciny Salles
 
Seguridad y proteccion en Sistemas Operativos
Seguridad y proteccion en Sistemas OperativosSeguridad y proteccion en Sistemas Operativos
Seguridad y proteccion en Sistemas OperativosDanianny Verónica Senju
 
Diferenciar las-funciones-del-sistema-operativo
Diferenciar las-funciones-del-sistema-operativoDiferenciar las-funciones-del-sistema-operativo
Diferenciar las-funciones-del-sistema-operativoValdivia0312
 
Proyecto Final CRS - Redes y Seguridad
Proyecto Final CRS - Redes y SeguridadProyecto Final CRS - Redes y Seguridad
Proyecto Final CRS - Redes y SeguridadJesús Daniel Mayo
 
Diferenciar las funciones del sistema operativo...
Diferenciar las funciones del sistema operativo...Diferenciar las funciones del sistema operativo...
Diferenciar las funciones del sistema operativo...Frezon0312
 
Test de intrusión
Test de intrusiónTest de intrusión
Test de intrusiónnoc_313
 

Ähnlich wie Técnicas para detectar vulnerabilidades de activos (20)

#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
 
Black Green Tech Programmer Presentation.pdf
Black Green Tech Programmer Presentation.pdfBlack Green Tech Programmer Presentation.pdf
Black Green Tech Programmer Presentation.pdf
 
Test de intrusion
Test de intrusionTest de intrusion
Test de intrusion
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_Colaborativo
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.
 
Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridad
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridad
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker Ético
 
Seguridad y proteccion en Sistemas Operativos
Seguridad y proteccion en Sistemas OperativosSeguridad y proteccion en Sistemas Operativos
Seguridad y proteccion en Sistemas Operativos
 
Diferenciar las-funciones-del-sistema-operativo
Diferenciar las-funciones-del-sistema-operativoDiferenciar las-funciones-del-sistema-operativo
Diferenciar las-funciones-del-sistema-operativo
 
Proyecto Final CRS - Redes y Seguridad
Proyecto Final CRS - Redes y SeguridadProyecto Final CRS - Redes y Seguridad
Proyecto Final CRS - Redes y Seguridad
 
Diferenciar las funciones del sistema operativo...
Diferenciar las funciones del sistema operativo...Diferenciar las funciones del sistema operativo...
Diferenciar las funciones del sistema operativo...
 
Actividad 3 crs
Actividad 3 crsActividad 3 crs
Actividad 3 crs
 
Actividad3crs
Actividad3crsActividad3crs
Actividad3crs
 
Copia de seguridad informática
Copia de seguridad informáticaCopia de seguridad informática
Copia de seguridad informática
 
Capitulo2
Capitulo2Capitulo2
Capitulo2
 
Test de intrusión
Test de intrusiónTest de intrusión
Test de intrusión
 

Mehr von Alexander Velasque Rimac

Mehr von Alexander Velasque Rimac (20)

Presentacion TED 2019
Presentacion TED 2019Presentacion TED 2019
Presentacion TED 2019
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Controles
ControlesControles
Controles
 
Controles final
Controles finalControles final
Controles final
 
Comision nro 6 as- fiis- controles
Comision nro 6 as- fiis- controlesComision nro 6 as- fiis- controles
Comision nro 6 as- fiis- controles
 
Presentación101
Presentación101Presentación101
Presentación101
 
Presentación101
Presentación101Presentación101
Presentación101
 
Controles de auditoria
Controles de auditoriaControles de auditoria
Controles de auditoria
 
Controle scomisión1
Controle scomisión1Controle scomisión1
Controle scomisión1
 
Medidas de control
Medidas de controlMedidas de control
Medidas de control
 
Is audit ..
Is audit ..Is audit ..
Is audit ..
 
Is auditing standars
Is auditing standarsIs auditing standars
Is auditing standars
 
Comision nro 6 as- fiis- iiasac
Comision nro 6 as- fiis- iiasacComision nro 6 as- fiis- iiasac
Comision nro 6 as- fiis- iiasac
 
Dti auditoria de sistemas
Dti auditoria de sistemasDti auditoria de sistemas
Dti auditoria de sistemas
 
Coso final-cd
Coso final-cdCoso final-cd
Coso final-cd
 
Cobit
CobitCobit
Cobit
 
Organigramas 1- exposicion
Organigramas 1- exposicionOrganigramas 1- exposicion
Organigramas 1- exposicion
 
Auditoria trabajo empresa
Auditoria trabajo empresaAuditoria trabajo empresa
Auditoria trabajo empresa
 
Empresas con auditorías de sistemas
Empresas con auditorías de sistemasEmpresas con auditorías de sistemas
Empresas con auditorías de sistemas
 

Kürzlich hochgeladen

Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 

Kürzlich hochgeladen (20)

Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 

Técnicas para detectar vulnerabilidades de activos

  • 1. TÉCNICAS PARA DETECTAR LAS VULNERABILIDADES DE ACTIVOS Seguridad en Computación e Informática Universidad Nacional Federico Villarreal Facultad de Ingeniería Industrial y de Sistemas Escuela de Ingeniería de Sistemas
  • 3. En la actualidad todas las empresas en sus distintos rubros cuentan con una gran gama de activos de información, entre ellos podemos mencionar: aplicativos, servidores ya sean web, de correo o de aplicaciones, páginas web, etc. Todos ellos enlazados con la información o data de la organización y que constituye el principal activo de toda organización, ya que en ella se encuentra todo el know how que marca la diferencia en el mercado de vanguardia. Entonces las organizaciones deben tomar en cuenta medidas o técnicas representadas en programas, métodos que nos sirven para detectar estas vulnerabilidades o debilidades y no caer en un futuro cercano en una pérdida lamentable o robo inescrupuloso de nuestros activos de información.
  • 4. 1 CASO: Toda empresa posee activos de TI ya sea servidores, aplicaciones o elementos de red de una infraestructura de TI, lo cual se tiene que identificar las vulnerabilidades que poseen estas como también saber gestionarlas para así evitar conflictos de riesgos que afecten mis procesos de negocio.
  • 5. Existe una herramienta de SW que me permite escanear, detectar, evaluar y remediar cualquier vulnerabilidad, la cual es: GFI LANguard N.S.S (Network Security Scanner) Es una solución empresarial para salvaguardar los sistemas y redes de ataques hacker y brechas de seguridad mediante:  Análisis de vulnerabilidad  Administración de parches.  Auditoria de red y software.
  • 6. Proceso de escaneo de elementos de red
  • 7.
  • 8. Beneficios del GFI LANguard N.S.S. Previene caídas de TI que puedan afectar los procesos de negocio, debido a la exposición por vulnerabilidad. Ayuda a los administradores de TI a asegurar sus redes más rápido y más eficientemente. Proporciona informes adaptables de escaneos realizados a través de toda la red incluyendo aplicaciones y recursos.
  • 9. El Google Hacking consiste en explotar la gran capacidad de almacenamiento de información de Google, buscando información específica que ha sido añadida a las bases de datos del buscador.
  • 10.
  • 11. Nos ayuden a encontrar información sensible. Puntos de entrada sensibles a posibles ataques. Cualquier tipo de información que tuviera carácter de sensibilidad, estaremos ejecutando un Google hack.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18. Ver cámaras privadas desde Google
  • 19.
  • 21.
  • 22.
  • 24.  Infiltrator es una herramienta que permite escanear redes para poder auditar la red en buscar de vulnerabilidades.  Tiene la capacidad de revelar y catalogar un gran número de información de las computadoras que ha escaneado como: Software instalado, usuarios, discos, información sobre SNMP, puertos abiertos entre otros.
  • 25. Búsqueda de información y escaneo: Obtiene información como: Registros, políticas de contraseñas, usuarios y grupos, trabajos y sesiones, puertos TCP y UDP que se encuentre abiertos, datos sobre Servidores web, y muchos otros.
  • 26. Auditoria de seguridad  Infiltrator tiene la capacidad de alertar sobre eventos peligrosos, gracias a la BD de auditoria con la que viene integrada.
  • 28. Técnica para detección de vulnerabilidades de Software Funciona comparando una secuencia de códigos, que contengan cierto token, con un patrón. Los patrones que generalmente intenta comparar son String. Es muy útil para encontrar y remover algunos problemas potenciales de seguridad antes que el programa sea lanzado al público
  • 29. Herramientas: Flawfinder Trabaja usando una BD con funciones de C/C++ conocidas por presentar diversos problemas tales como: Sobrecarga de Buffer, problemas de formateo de String, uso de metacaracteres entre otros. Luego se toma el codigo fuente y se compara con los códigos existentes en la BD, ignorando los comentarios y los strings. Flawfinder genera una lista de Hits (fallas de seguridad en potencia) y las ordena por nivel de riesgo, siendo las mas riesgosas mostradas primero
  • 30.
  • 31.
  • 32. •Consiste en probar, de forma más o menos inteligente, el comportamiento de una aplicación frente a unos datos generados específicamente para hacer que un programa falle, ya sea generando datos en una codificación diferente, enviando cadenas largas o probando a desbordar valores numéricos. •Una de las partes más importantes del fuzzing es la automatización y la instrumentalización. •Suelen incorporar monitores para detectar la caída de la aplicación que se esté probando. Además, permiten grabar la sesión y datos relativos a la caída, como volcado de memoria, captura de red o desensamblado de la función afectada. •Existe una herramienta llamada Sulley que posibilita generar un fuzzer específico para cada aplicación. Está programada en python por el creador de Paimei y es mantenida con regularidad.
  • 33. • Un ejemplo sencillo para fuzzear un servidor web: View sourceprint 01.from sulley import * 02. 03.# Inicializamos el bloque de datos 04.s_initialize("HTTP Simple Request Fuzz") 05. 06.# Definición "GET[espacio]/petición[espacio]HTTP/ 1.0[nueva línea][nueva línea]" 07.s_static("GET") 08.s_delim(" ") 09.s_delim("/") 10.s_string("peticion") 11.s_static(" HTTP/1.0") 12.s_static("rnrn") 13. 14.sess = sessions.session() 15.target = sessions.target("127.0.0.1",80) 16.sess.add_target(target) 17.sess.connect(s_get("HTTP Simple Request Fuzz")) 18.sess.fuzz()
  • 34. • El primer paso es definir el nombre del bloque con s_initialize: View sourceprint s_initialize("HTTP Simple Request Fuzz") Desde aquí y hasta la siguiente llamada a s_initialize, definirá modelos de datos. Luego, dependiendo del tipo de dato, elegirá la forma más lógica de fuzzearlo. Acto seguido, se define la petición que Sulley enviará al servidor. En este caso, sólo nos interesa fuzzear los delimitadores y la petición: 1.s_static("GET") 2.s_delim(" ") 3.s_delim("/") 4.s_string("peticion") 5.s_static(" HTTP/1.0") 6.s_static("rnrn")
  • 35.  Sulley nos provee de un conjunto de primitivas suficientes para definir un protocolo tanto textual como binario. La lista de primitivas es la siguiente: s_binary: Acepta valores binario en varios formatos (0xc0 0xff ee ea x00 fe 00 01 02 0xc50xc2 f0 0d). s_static: Valor que no cambia. s_dunno, s_raw and s_unknown: alias de s_static. s_byte, s_char: 1 byte. s_word, s_short: 2 bytes.  Con el protocolo definido, pasemos a la sesión. Cada sesión puede ser guardada en un fichero serializado para tener la posibilidad de pausar el proceso y retomarlo. También creamos el objeto que albergará la información del objetivo: 1.sess = sessions.session() 2.target = sessions.target("127.0.0.1",80) 3.sess.add_target(target) 4.sess.connect(s_get("HTTP Simple Request Fuzz")) 5.sess.fuzz()  Dentro de target, se indicará el host y el puerto al que deberá conectar Sulley para las pruebas. Aquí también deberíamos definir las opciones de los monitores, aunque no se aplique a este caso. El objetivo se añade a la sesión (sess.add_target(target)) y creamos el árbol de pruebas. Internamente, Sulley mantiene un grafo con cada una de las fases por las que tiene que pasar:
  • 36. View sourceprint 1.sess.connect(s_get("sess.connect(s_get("HTTP Simple Request Fuzz"))")) • Con esto ya estamos preparados para lanzar el proceso. Esta última línea, crea un nuevo nodo en el árbol (previamente definimos “HTTP Simple Request Fuzz” con la llamada a s_initialize). Para terminar, la llamada sess.fuzz() comienza el proceso:
  • 37. 5 CASO: VULNERABILIDAD EN WINDOWS – VIRUS EN BATCH
  • 38. Es un archivo de procesamiento por lotes Se trata de archivos de texto sin formato, guardados con la extensión BAT Contienen un conjunto de comandos MS-DOS.
  • 39. VARIABLES DEL SISTEMA • %COMPUTERNAME% = Nombre de host. • %SYSTEMROOT% = Carpeta de administración Normalmente c:windows • %TEMP% = directorio donde se encuentran los archivos temporales • %WINDIR% = directorio de windows. • %USERNAME% = usuario con el que se inicio sesión %USERPROFILE% = directorio donde se encuentran los archivos del usuario que inicio sesión %PROGRAMFILE% = directorio donde se encuentran los archivos de programas • %OS% = muestra el sistema operativo que estamos ejecutando %LOGONSERVER% = nombre de nuestro server (mihost)
  • 41. CONCLUSIONES • Las vulnerabilidades de activos de información siempre existirán en todas las organizaciones amenazando la integridad, la consistencia y la confidencialidad de los datos, ocasionando grandes pérdidas de información en muchos casos irreparables. 1º Conclusión • La detección de vulnerabilidades es un trabajo arduo, al que debe prestarse mucha atención para reforzar las debilidades y reducir al máximo las posibilidades de intrusión de terceros. 2º Conclusión • Hoy por hoy, en las organizaciones es importante tener diversas herramientas de software que permiten identificar, evaluar y categorizar las vulnerabilidades de los activos de TI como también notificar acciones correctivas a estas vulnerabilidades y generar reportes de las vulnerabilidades por cada activo en cuestión. 3º Conclusión • Tan importante es tener presencia Web, como conocer sus peligros potenciales. 4º Conclusión
  • 42. RECOMENDACIONES Toda organización debe estar lista con un plan de prevención antes las vulnerabilidades presentes en cada activo informático, aplicando los métodos y técnicas acertadas que aseguren la solidez, disponibilidad y privacidad de la información. Para tener una bajo nivel de riesgos de ti en las organizaciones es necesario que las vulnerabilidades sean identificadas y corregidas a través de herramientas tecnológicas de detención de vulnerabilidades de TI. Hacer un seguimiento de los documentos indexados por los robots de los buscadores con el fin de tener un panorama de lo que está disponible para el público y lo que no debería de estarlo. A pesar de ser prácticamente imposible detectar todas las posibles vulnerabilidades que puede presentar una red o un software, se recomienda usar diversas herramientas, de distintos fabricantes, para poder aumentar el rango de detección de los puntos vulnerables.