lunes, 9 de noviembre de 2015



PREVENCIÓN Y DETECCIÓN DE ATAQUES INFORMÁTICOS



ZONA DESMILITARIZADA Y ZONA MILITARIZADA
En seguridad informática, una zona desmilitarizada (conocida también como DMZ, sigla en inglés dedemilitarized zone) o red perimetral es una zona segura que se ubica entre la red interna de una organización y una red externa, generalmente en Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que en general las conexiones desde la DMZ solo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida.
La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de correo electrónico, Web y DNS. Y es precisamente estos servicios alojados en estos servidores los únicos que pueden establecer tráfico de datos entre el DMZ y la red interna, por ejemplo, una conexión de datos entre el servidor web y una base de datos protegida situada en la red interna.
Las conexiones que se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando port address translation (PAT).
Una DMZ se crea a menudo a través de las opciones de configuración del cortafuegos, donde cada red se conecta a un puerto distinto de éste. Esta configuración se llama cortafuegos en trípode (three-legged firewall).
Obsérvese que los enrutadores domésticos son llamados DMZ host, aunque no es una definición correcta de zona desmilitarizada.
En este diseño se intenta aislar la máquina más atacada y vulnerable del Firewall, el Nodo Bastión. Para ello se establece una Zona Desmilitarizada (DMZ) de forma tal que sin un intruso accede a esta máquina no consiga el acceso total a la subred protegida.
En este esquema se utilizan dos Routers: uno exterior y otro interior. El Router exterior tiene la misión de bloquear el tráfico no deseado en ambos sentidos: hacia la red interna y hacia la red externa. El Router interior hace lo mismo con la red interna y la DMZ (zona entre el Router externo y el interno).
Es posible definir varias niveles de DMZ agregando más Routers, pero destacando que las reglas aplicadas a cada uno deben ser distintas ya que en caso contrario los niveles se simplificarían a uno solo.




Como puede apreciarse la Zona Desmilitarizada aisla físicamente los servicios internos, separándolos de los servicios públicos. Además no existe una conexión directa entre la red interna y la externa.

Los sistemas Dual-Homed Host y Screnned pueden ser complicados de configurar y comprobar, lo que puede dar lugar, paradójicamente, a importantes agujeros de seguridad en toda la red. En cambio, si se encuentran bien configurados y administrados pueden brindar un alto grado de protección y ciertas ventajas:
  1. Ocultamiento de la información: los sistemas externos no deben conocer el nombre de los sistemas internos. El Gateway de aplicaciones es el único autorizado a conectarse con el exterior y el encargado de bloquear la información no solicitada o sospechosa.
  2. Registro de actividades y autenticación robusta: El Gateway requiere de autenticación cuando se realiza un pedido de datos externos. El registro de actividades se realiza en base a estas solicitudes.
  3. Reglas de filtrado menos complejas: Las reglas del filtrado de los paquetes por parte del Router serán menos compleja dado a que él sólo debe atender las solicitudes del Gateway.
Así mismo tiene la desventaja de ser intrusivos y no transparentes para el usuario ya que generalmente este debe instalar algún tipo de aplicación especializada para lograr la comunicación. Se suma a esto que generalmente son más lentos porque deben revisar todo el tráfico de la red.
HONEY POTS
Un honeypot, también llamado equipo trampa1 , es un software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Los honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot.
Algunos honeypots son programas que se limitan a simular sistemas operativos no existentes en la realidad y se les conoce como honeypots de baja interacción y son usados fundamentalmente como medida de seguridad. Otros sin embargo trabajan sobre sistemas operativos reales y son capaces de reunir mucha más información; sus fines suelen ser de investigación y se los conoce como honeypots de alta interacción.

TIPOS DE IDS

Un sistema de detección de intrusiones (o IDS de sus siglas en inglés Intrusion Detection System) es un programa de detección de accesos no autorizados a un computador o a una red.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, las anomalías que pueden ser indicio de la presencia de ataques y falsas alarmas.
Existen dos tipos de sistemas de detección de intrusos:
  1. HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.
  2. NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.
TIPOS DE FIREWALL

Un cortafuegos (firewall) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

Nivel de aplicación de pasarela

Aplica mecanismos de seguridad para aplicaciones específicas, tales como servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradación del rendimiento.

Circuito a nivel de pasarela

Aplica mecanismos de seguridad cuando una conexión TCP o UDP es establecida. Una vez que la conexión se ha hecho, los paquetes pueden fluir entre los anfitriones sin más control. Permite el establecimiento de una sesión que se origine desde una zona de mayor seguridad hacia una zona de menor seguridad.

Cortafuegos de capa de red o de filtrado de paquetes

Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP: dirección IP origen, dirección IP destino. A menudo en este tipo de cortafuegos se permiten filtrados según campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la dirección MAC.

Cortafuegos de capa de aplicación

Trabaja en el nivel de aplicación (capa 7 del modelo OSI), de manera que los filtrados se pueden adaptar a características propias de los protocolos de este nivel. Por ejemplo, si trata de tráfico HTTP, se pueden realizar filtrados según la URL a la que se está intentando acceder, e incluso puede aplicar reglas en función de los propios valores de los parámetros que aparezcan en un formulario web.
Un cortafuegos a nivel 7 de tráfico HTTP suele denominarse proxy, y permite que los ordenadores de una organización entren a Internet de una forma controlada. Un proxy oculta de manera eficaz las verdaderas direcciones de red.

Cortafuegos personal

Es un caso particular de cortafuegos que se instala como software en un ordenador, filtrando las comunicaciones entre dicho ordenador y el resto de la red. Se usa por tanto, a nivel personal.

Circuito a nivel de pasarela

Aplica mecanismos de seguridad cuando una conexión TCP o UDP es establecida. Una vez que la conexión se ha hecho, los paquetes pueden fluir entre los anfitriones sin más control. Permite el establecimiento de una sesión que se origine desde una zona de mayor seguridad hacia una zona de menor seguridad. 

TIPOS DE VPN

Una red privada virtual, RPV, o VPN de las siglas en inglés de Virtual Private Network, es una tecnología de red que permite una extensión segura de la red local (LAN) sobre una red pública o no controlada como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada. Esto se realiza estableciendo una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos.

VPN de acceso remoto.

Es quizás el modelo más usado actualmente, y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etcétera) utilizando Internet como vínculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnología su infraestructura dial-up (módems y líneas telefónicas).

VPN punto a punto

Este esquema se utiliza para conectar oficinas remotas con la sede central de la organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a punto tradicionales (realizados comúnmente mediante conexiones de cable físicas entre los nodos), sobre todo en las comunicaciones internacionales. Es más común el siguiente punto, también llamado tecnología de túnel o tunneling.

Tunneling

La técnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un túnel dentro de una red de computadoras. El establecimiento de dicho túnel se implementa incluyendo una PDU (unidades de datos de protocolo) determinada dentro de otra PDU con el objetivo de transmitirla desde un extremo al otro del túnel sin que sea necesaria una interpretación intermedia de la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos intermedios que son incapaces de ver en claro el contenido de dichos paquetes. El túnel queda definido por los puntos extremos y el protocolo de comunicación empleado, que entre otros, podría ser SSH.
El uso de esta técnica persigue diferentes objetivos, dependiendo del problema que se esté tratando, como por ejemplo la comunicación de islas en escenarios multicast, la redirección de tráfico, etc.


viernes, 16 de octubre de 2015

PRINCIPIOS BÁSICOS PARA LA CREACIÓN MULTIMEDIA


























ATAQUES A LA SEGURIDAD INFORMÁTICA Y SU RELACIÓN AL MODELO OSI A MANERA DE CUESTIONARIO

1.    Capa física.
1.1.        Robo y daños de PC’s
·         Algunos medios de protección control de acceso  físico.
o   Usar antivirus, anti spyware, cortafuegos.
o   Usar programas para monitorear los puertos.
o   Usar programas para eliminar huellas en internet
o   Utilizar una cuenta estándar o de acceso limitado
o   Utilizar sistemas operativos seguros, el sistema operativo más seguro es aquel que no tiene contacto con el mundo exterior.
o   Utilización de guardias.
o   Protecciones biométricas.
o   Usar detectores de metales.
o   Verificación automática de firmas.
o   Protecciones electrónicas.

·         Métodos para dañar la computadora o robar información.
o   Malware infeccioso: virus y gusanos
v  Malware oculto: Backdoor o Puerta trasera, Drive-by Downloads, Rootkits y Troyanos
§  Puertas traseras o Backdoors
§  Drive-by Downloads
§  Rootkits
§  Troyanos
v  Malware para obtener beneficios
§  Mostrar publicidad: Spyware, Adware y Hijacking
§  Robar información personal: Keyloggers y Stealers
§  Realizar llamadas telefónicas: Dialers
§  Ataques distribuidos: Botnets
o   Criptovirus o secuestradores, son programas que cifran los archivos importantes para el usuario, haciéndolos inaccesibles, y piden que se pague un "rescate" para poder recibir la contraseña que permite recuperar los archivos.
o   Los rogue software hacen creer al usuario que la computadora está infectada por algún tipo de virus u otro tipo de software malicioso, esto induce al usuario a pagar por un software inútil o a instalar un software malicioso que supuestamente elimina las infecciones, pero el usuario no necesita ese software puesto que no está infectado.

1.2.        Keylogger
·         ¿En qué consiste la amenaza keylogger?
El registro de pulsaciones de teclas es un método mediante el que se registra cada tecla que el usuario pulsa en el teclado del ordenador.

·         ¿Para qué se usa el keylogger?
Es un spyware malicioso que se utiliza para recopilar información confidencial, como contraseñas o datos financieros, que a continuación se envía a programas externos para su uso por parte de delincuentes.

·         ¿Cómo protegerse contra keylogger?
o   Usar un firewall.
o   Instalar un administrador de contraseñas
o   Mantener actualizados los programas.
o   Cambiar contraseñas con frecuencia.
o   Utilizar un teclado virtual.
o   Usar un punto de restauración.

·         ¿En qué puede afectar un keylogger?
Permite que otros usuarios tengan acceso a contraseñas importantes, como los números de una tarjeta de crédito, u otro tipo de información privada que se quiera obtener.

·         ¿Cuáles son los métodos de keylogger por hardware?
o   Adaptadores en línea que se intercalan en la conexión del teclado
o   Dispositivos que se pueden instalar dentro de los teclados estándares.
o   Teclados reales del reemplazo que contienen el Keylogger ya integrado.

           1.3  Fluctuación voltaje y corriente

·         ¿Qué son las interrupciones de electricidad?
Una Interrupción eléctrica es una situación en la que la tensión de alimentación en el punto de entrega es inferior al 1% de la tensión declarada en cualquiera de las fases de alimentación.

·         ¿En qué consiste la fluctuación?
Sobrevienen cuando la energía de una estación local disminuye pero no se desconecta, causando daños irreparables en el equipo, ya que trata de operar a plena capacidad con el mínimo de energía.

·         ¿Cómo protegerse de ataques por fluctuación o interrupción eléctrica?
o   Mantener una luz encendida para saber cuándo ha terminado la baja de voltaje.
o   Apagar computadoras de escritorio.
o   Apagar la fuente principal de energía, de ser posible.
o   Usar protectores de sobretensión o reguladores de voltaje,para sobretensiones transitorias o permanentes.

2.    Capa de enlace

2.1 MAC Address Spoofing.

·         ¿Qué es la dirección MAC?
Una dirección MAC es el identificador único asignado por el fabricante a una pieza de hardware de red (como una tarjeta inalámbrica o una tarjeta Ethernet). «MAC» significa Media Access Control, y cada código tiene la intención de ser único para un dispositivo en particular.

·         ¿Por qué la dirección MAC es única a nivel mundial?
Las direcciones MAC son únicas a nivel mundial, puesto que son escritas directamente, en forma binaria, en el hardware en su momento de fabricación. Debido a esto, las direcciones MAC son a veces llamadas burned-in addresses (,quemado en direcciones) en inglés.

·         ¿En qué tecnología de red es utilizada la dirección MAC?
La dirección MAC es utilizada en varias tecnologías entre las que se incluyen:
o   Ethernet
o   802.3 CSMA/CD
o   802.5 o redes en anillo a 4 Mbps o 16 Mbps
o   802.11 redes inalámbricas (Wi-Fi).
o   Asynchronous Transfer Mode

2.2 ARP Poissoning.

·         ¿Qué es ARP?
El protocolo ARP  permite que se conozca la dirección física de una tarjeta de interfaz de red correspondiente a una dirección IP. Por eso se llama Protocolo de Resolución de Dirección (en inglés ARP significa Address Resolution Protocol).

·         ¿Qué tipo de ataque es el envenenamiento ARP?
o   La máquina atacante, conociendo las direcciones IP de los dos nodos cuyas comunicaciones se quieren intervenir, resuelve mediante ARP, si es necesario, las direcciones MAC que les corresponden.

o   Mediante respuestas ARP o mediante la técnica de ARP gratuito, el atacante modifica el contenido de las cachés de las víctimas de forma que para la dirección IP de su interlocutor se corresponda la dirección MAC real del atacante.

o   Cada vez que alguno de los nodos quiera enviar información al otro, resolverá la dirección MAC del mismo mediante su caché de ARP previamente envenenada, enviando así el tráfico al atacante en vez de al destinatario real.

·         ¿Cuáles son los equipos que son atacados?
Gateway, router, computadores (tarjetas de red y otros dispositivos de red).

·         ¿Qué es Sniffing?
El Sniffing, es una técnica utilizada para escuchar todo lo que ocurre dentro de una red, mediante  herramientas  destinadas a la seguridad informática y no al uso malintencionado de ellas, que actúan sobre los sistemas que componen el tráfico de una red, lo que hacen estas herramientas en si, es que capturan, interpretan y almacenan paquetes de datos que son lanzados por la red, para que después sean analizados, donde se podrá conseguir información como, contraseñas, correos electrónicos o incluso datos bancarios.

·         ¿Cómo funcionan los sniffers?
Lo que hacen estos programas es trabajar a la par con la tarjeta de red del  equipo, para así poder absorber todo el tráfico que esta fluyendo por la red a la que esté conectado, ya sea por cable o por conexión inalámbrica.

·         ¿Cuáles son los programas de sniffers más conocidos?

WireShark
Sniffer de paquetes capaz de capturar paquetes de red en vivo en tiempo real. Aparte de eso, es capaz de descifrar los paquetes de forma inteligente en función de su protocolo
Microsoft Network Monitor.
Para ver todo el tráfico de red en tiempo real en una intuitiva interfaz gráfica de usuario. Mientras tanto, puede capturar y ver información de la red más de 300 públicos
Capsa packet Sniffer
Permite monitorear y capturar 50 direcciones IP de red de datos de tráfico juntos y análisis de redes eficaces en tiempo real para los paquetes de red sniffing, y analizarlos.
InnoNWSniffer
La aplicación fue desarrollada para ser un pequeño escáner de propiedad intelectual similar a la de redes Sniffer. Puede escanear en vivo IP pública y escanear cualquier ordenador de la LAN. Más sobre el mismo puede dar una información detallada del sistema.
SniffPass
Es un succionador de tráfico del paquete único, que se centra en la captura de contraseñas de tráfico de la red. 

3.    Capa de red.
3.1 IP Spoofing.

·         ¿En qué consiste el IP Spoofing?
Suplantación de IP. Consiste básicamente en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar. Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP. Hay que tener en cuenta que las respuestas del host que reciba los paquetes alterados irán dirigidas a la IP falsificada.

·         Mencione los tipos de IP Spoofing.
o   .Non Blind Spoofing.
o   Blind Spoofing
o   Man in the Middle Attack
o   DoS

3.2 Ataque Smurfing.

·         ¿En qué consiste el ataque smurfing?
La denominada técnica "smurf" se basa en el uso de servidores de difusión con el objetivo de paralizar una red. Un servidor de este tipo tiene la capacidad de duplicar un mensaje y enviarlo a todos los equipos de una misma red. De este modo, cuando el equipo del atacante envía una solicitud a varios servidores de difusión ubicados en diferentes redes, todas las respuestas de esos equipos se enrutarán al equipo de destino.
De esta manera, gran parte de la labor del atacante reside en encontrar una lista de servidores de difusión y en falsificar la dirección de respuesta para direccionarlas al equipo de destino.

·         Etapas de un ataque smurfing.


4.    Capa de transporte.

4.1 Fingerprinting.

·         ¿En qué consiste la huella digital o fingerprinting?
Este método, cuya traducción sería “huella dactilar, es utilizado para obtener información de un determinado servidor. Al igual que cada persona tiene distintas huellas dactilares, lo mismo ocurre en los sistemas informáticos, donde cada servidor tiene una forma diferente de responder a ciertas peticiones, pudiendo distinguir de ese modo, por ejemplo, un servidor Apache de un servidor Cherokee. 

·         ¿En qué se basa el fingerprinting?
La técnica del "fingerprinting" de red se basa en encontrar diferencias en los paquetes que un sistema envía o recibe, y a partir de comparar estas  diferencias realizar una identificación. En general es usada para identificar servicios, programas, o un Sistema Operativo.

·         ¿Cuál es el propósito del fingerprinting?
La huella digital es un mecanismo para defender los derechos de autor y combatir la copia no autorizada de contenidos, que consiste en introducir una serie de bits imperceptibles sobre un producto de soporte electrónico (CD-ROM, DVD,...) de forma que se puedan detectar las copias ilegales.

          4,2  Information Leakage

·         ¿Qué es el ataque Information Leakage?
En seguridad de la información se entiende por fuga de información una salida no controlada de información que hace que esta llegue a personas no autorizadas o sobre la que su responsable pierde el control. . Algunos ejemplos de fuga de información pueden ser desde un empleado vendiendo información confidencial a la competencia (incidente interno e intencional), una secretaria que pierde un documento en un lugar público (incidente interno y no intencional) o en la misma línea la pérdida de una laptop o un pen drive, así como también el acceso externo a una base de datos en la organización o un equipo infectado con un Spyware que envíe información a un delincuente.

          4.3 Banner Grabbing

·         ¿En qué consiste el ataque Banner Grabbing?
Banner Grabbing es el nombre que se le da a ia interacción manual, en texto plano. del usuario en forma directa contra el servidor donde reside la aplicación web,  si bien  puede aplicarse sobre cualquier tipo de servicio, cómo por ejemplo, FTP,  VNC, HTTP con el objetivo de conocer qué infraestructura o sistema se encuentra detrás de una aplicación web o servicio.

·         ¿Qué ocurre en una conexión Banner Grabbing?
En esta conexión generalmente el servidor informa nombre del servicio o del software, versión y hasta capacidades incluidas en tiempo de compilación.

·         ¿Cuál es el programa atacado para realizar un Banner Grabbing?
Si bien es cierto hay programas que son más adecuados (Netcat es más adecuado que Telnet por ejemplo) para hacer banner grabbing, el programa cliente de Telnet ([WIKI_TELNET]) es el software generalizado por excelencia para conectarse a cualquier host: puerto TCP e interactuar "a mano" con el servicio que aloja el server remoto.

5.     Capa de sesión.
5.1 Spoofing.
·         ¿Qué es Spoofing?
Técnicas a través de las cuales un atacante, generalmente con usos maliciosos o de investigación, se hace pasar por una entidad distinta a través de la falsificación de los datos en una comunicación.

·         ¿Qué es DNS Spoofing?
Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación "Nombre de dominio-IP" ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa.

·         ¿Qué es Web Spoofing?
Suplantación de una página web real (no confundir con Phishing). Enruta la conexión de una víctima a través de una página falsa hacia otras páginas WEB con el objetivo de obtener información de dicha víctima (páginas web vistas, información de formularios, contraseñas etc.). 

·         ¿Qué es Mail Spoofing?
Suplantación de la dirección de correo electrónico de otras personas o entidades. Esta técnica es usada con asiduidad para el envío de mensajes de correo electrónico hoax como suplemento perfecto para el uso de suplantación de identidad y para SPAM.

5.2 Ataque de fuerza bruta.
·         En criptografía ¿En qué consiste el ataque de fuerza bruta?
En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permita el acceso.

·         ¿Cómo se puede proteger un sistema contra los ataques de fuerza bruta?
o   Cuenta umbral de bloqueo, que establece el número máximo de intentos de acceso no válidos antes de que ocurra el cierre patronal.
o   Cuenta duración del bloqueo, que establece el tiempo en minutos para que un bloqueo se mantenga en vigor. Si establece este valor en cero, el bloqueo se mantendrá hasta que se restablezca por un administrador.
o   Ventana de bloqueo de cuentas. Esta política de seguridad es responsable de establecer la longitud total de tiempo que debe transcurrir antes de que el recuento de intentos de conexión fallidos
se pone a cero.

·         Mencione 3 programas utilizados para fuerza bruta.
Elcomsoft Wireless security Auditor, RAR Password Cracker, Ms Word Excel Cracker.

6.    Capa de presentación
6.1 XSS Cross Screpty

·         ¿Qué es XSS?
XSS es un ataque de inyección de código malicioso para su posterior ejecución que puede realizarse a sitios web, aplicaciones locales e incluso al propio navegador.

·         ¿Cómo puede afectar el XSS?
XSS es un vector de ataque que puede ser utilizado para robar información delicada, secuestrar sesiones de usuario, y comprometer el navegador, subyugando la integridad del sistema. Las vulnerabilidades XSS han existido desde los primeros días de la Web.

·         ¿Por qué medios XSS puede llegar al usuario?
o   Directa (también llamada Persistente): este tipo de XSS comúnmente filtrado, y consiste en insertar código HTML peligroso en sitios que lo permitan; incluyendo así etiquetas como <script> o <iframe>.
o   Indirecta (también llamada Reflejada): este tipo de XSS consiste en modificar valores que la aplicación web utiliza para pasar variables entre dos páginas, sin usar sesiones y sucede cuando hay un mensaje o una ruta en la URL del navegador, en una cookie, o cualquier otra cabecera HTTP (en algunos navegadores y aplicaciones web, esto podría extenderse al DOM del navegador).

6.2 SQL Injection.

·         ¿Qué es SQL Injection?
Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos.

·         ¿Cómo sucede la inyección SQL?
La intrusión ocurre durante la ejecución del programa vulnerable, ya sea, en computadores de escritorio o bien en sitios Web, en este último caso obviamente ejecutándose en el servidor que los aloja.
La vulnerabilidad se puede producir automáticamente cuando un programa "arma descuidadamente" una sentencia SQL en tiempo de ejecución, o bien durante la fase de desarrollo, cuando el programador explicita la sentencia SQL a ejecutar en forma desprotegida.

·         ¿Cómo podemos prevenir la inyección SQL?

Ruby on Rails

En el framework Ruby on Rails (RoR), las consultas son verificadas automáticamente por cualquiera de los métodos de búsqueda incluidos.
Perl
En lenguaje Perl DBI, el método DBI::quote filtra los caracteres especiales (asumiendo que la variable $sql contiene una referencia a un objeto DBI).
PHP
En el lenguaje PHP, hay diferentes funciones que pueden servir de ayuda para usar con distintos sistemas de gestión de bases de datos.

6.3 Input Validation.

·         ¿Qué es el Input Validation?
Un ataque de validación de entrada es cuando un atacante envía intencionadamente un mensaje inusual con la esperanza de confundir una aplicación.

·         ¿Cuál es la técnica de seguridad para prevenir el input validation?
o   Es esencial tener instalada una herramienta que analice el tráfico en la red y, muy especialmente, en su perímetro.
o   Tener alguna forma de analizar los registros de seguridad del sistema. 
o   Limpieza de documentos.

·         ¿Cuáles son los controles o técnicas para evitar el Input Validation?
o   Usar captchas en los formularios para validar las peticiones de los usuarios.
o   Crear limitaciones y reglas en los formularios.
o   Impedir la entrada de código maligno escapando los caracteres.
o   Convertir  los caracteres especiales con htmlspecialchars.
o   Bloquear todos los caracteres especiales que no sean letras ni números.

7.    Capa de aplicación

7.1 Buffer Overflow

·         ¿Qoé es Buffer Overflow?
Los ataques por desbordamiento de búfer (también denominado saturación de búfer) están diseñados para activar la ejecución de un código arbitrario en un programa al enviar un caudal de datos mayor que el que puede recibir.

·         ¿Dónde ocurre y por qué?
Un desbordamiento de búffer ocurre cuando los datos que se escriben en un búffer corrompen aquellos datos en direcciones de memoria adyacentes a los destinados para el búffer, debido a una falta de validación de los datos de entrada. Esto se da comúnmente al copiar cadenas de caracteres de un búffer a otro.

·         ¿Qué pasa si ocurre un Buffer Overflow en el sistema?
Si esto ocurre, por algún error imprevisto, se ingresa a la pila de la aplicación más datos que los que ésta puede contener, lo que provoca que esta se "desborde" y algunos datos se sobreescriban. 

·         ¿Cuáles son los lenguajes más afectados por Buffer Overflow?
o   Aplicaciones que carecen de lenguajes de programación avanzados
o   Lenguaje de alto nivel sin bibliotecas de función segura.

          7.2  Ingeniería social.

·         ¿Qué es la técnica de ingeniería social?
Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos.

·         ¿Quiénes utilizan la técnica de ingeniería social?
Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

·         ¿Qué principio sustenta la ingeniería social?
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil".

·         ¿Cómo son atacados los usuarios?
o   Un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente.
o   Engañan a un usuario llevándolo a pensar que un administrador del sistema está solicitando una contraseña para varios propósitos legítimos.
o   Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o algún programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). .

·         Mencione los 4 principios de la ingeniería social:
Según Kevin Mitnick  la ingeniería social se basa en estos cuatro principios:
1.    Todos queremos ayudar.
2.    El primer movimiento es siempre de confianza hacia el otro.
3.    No nos gusta decir No.
4.    A todos nos gusta que nos alaben.