Ir al contenido principal

Sesión 8 - Amenazas y vulnerabilidades

 Hola de nuevo! En la sesión de hoy vamos a hablar de amenazas y vulnerabilidades otra vez. Lo primero que vamos a hacer es clasificar una lista de amenazas en función de la dimensión de la seguridad que consideramos que ataca, si es la confidencialidad, la integridad o la disponibilidad. Esta lista es un catálogo de amenazas que nos proporciona el INCIBE y que nos puede ayudar a la hora de establecer un plan de seguridad de la información, así como para analizar los riesgos de la misma. 
En cuanto a las amenazas que pueden afectar a la confidencialidad, bajo mi punto de vista serían fuga de información, la alteración de la misma (ya que implicaría ver esa información), la corrupción de la información y la interceptación de la información. También lo serían el abuso de privilegios de acceso y el acceso no autorizado, así como el robo y la extorsión. 
Si hablamos de integridad de la información, personalmente pienso que las amenazas más potentes serían la introducción de falsa información, la alteración de la información, así como la corrupción y destrucción de la misma; también los errores de usuarrios, administrador y de configuración. 
Por último, hablando de la disponibilidad de la información, pienso que amenazas como el fuego, los daños por agua o desastres naturales, ya que podrían dañar los equipos donde se encuentra la información o los documentos físicos que la albergan; por otra parte, la fuga de información y la destrucción de la misma también serían muy perjudiciales. Lo mismo sucede con los cortes del suministro eléctrico, el fallo de los servicios de comunicaciones, la interrupción de otros servicios y suministros esenciales o los desastres industriales, ya que si nuestra información está en formato electrónico no podríamos acceder a ella; sumamos a este mismo motivo la desgradación de los soportes de almacenamiento de la información, la difusión de software dañino, los errores de mantenimiento y actualización de programas tanto del hardware como del software, la caída del sistema por sobrecarga, la pérdida de equipos y la denegación del servicio.



A continuación, basándonos en un ejercicio que llevamos a cabo en la sesión anterior, vamos a ver cuántas evaluaciones sobre cruces entre amenazas y activos tendríamos que llevar a cabo. En nuestro caso, el total de amenazas estimadas fueron 16, y el total de los activos que planteamos fueron 13. Si tenemos en cuenta que consideramos 3 activos físicos, 4 activos de información, 2 activos de servicio de TI y cuatro activos humanos, con cuatro amenazas diferentes para cada uno de ellos, tendríamos que llevar a cabo un total de 52 evaluaciones de los distintos cruces entre amenazas y activos individuales. Si esto fuese una aplicación real parra establecer un plan de seguridad para una empresa, estas evaluaciones podrían durar semanas si se hacen en profundidad y de manera correcta, con el objetivo de que nuestro plan de gestión de la seguridad sea lo más eficiente posible y que tenga un número lo más reducido posible de vulnerabilidades. 
 

Vamos a proseguir con la actividad hablando del Boletín de Seguridad de Microsoft, que no es más que un manual en el que esta organización nos informa de los puntos débiles más recientes y actualizados que tienen sus sistemas. Esto nos puede ayudar a detectar las vulnerabilidades más agudas en relación con problemas y defectos en el software. Todos los meses publican un resumen en el que exponen información relacionada con distintas vulnerabilidades; hoy vamos a localizar una de estas mismas y cuál es su CVE. 


La vulnerabilidad elegida ha sido la de divulgación de información de Microsoft Excel. Su CVE es CVE-2021-28456 y nos explica que el vector de ataque es local, nos dice que el componente vulnerable no esta relacionado con la pila de red y que la vía del atacante está relacionada con las capacidades de escribir, leer y ejecutar; además, el hacker explota la vulnerabilidad accediendo localmente al objetivo del sistema (como el teclado) o remotamente, o que bien se basa en las interacciones del usuario por parte de otra persona para llevar a cabo las acciones requeridas para explotar la vulnerabilidad, como puede ser engañando a un usuario legítimo para que abra un documento con contenido malicioso. La complejidad de este ataque se define como baja, ya que nos son necesarias condiciones especializadas de acceso ni situaciones atenuantes, así como que no hay privilegios requeridos, porque el atacante no está autorizado para llevar a cabo el ataque, y tampoco se requiere ningún acceso a los ajustes o los archivos para llevar a cabo el ataque. Si es cierto que es necesaria. La interacción del usuario, ya que para que este ataque sea eficiente se necesita que el usuario legítimo lleve a cabo alguna acción antes. Se destaca una pérdida importante de la confidencialidad ya que toda esta información puede ser divulgada por el hacker, aunque nos exponen que no hay impactos relacionados con la integridad ni la disponibilidad de la información. 


En cuanto al CVE, es un concepto que hace referencia a los puntos vulnerables y las exposiciones comunes. Encontramos una larga lista de CVEs publicada en la que se exponen distintas vulnerabilidades que puede tener un sistema informático y que es disponible para todos los públicos. Cada una de estas vulnerabilidades está numerada, y por ello nos encontramos con distintos CVEs. 



 Vamos a adentrarnos un poco más en la vulnerabilidad que hemos escogido, y para ello vamos a servirnos del buscador de Security Focus. Desafortunadamente, no hemos podido encontrar más acerca de nuestra vulnerabilidad elegida, pero hemos podido observar que este buscador nos aporta datos como la “Bugtraq ID”, así como el tipo de vulnerabilidad del que se trata, su CVE, si es remota y local, cuando fue publicada y si fue actualizada, así como lo que es vulnerable y lo que no lo es. La última actualización data del 26 de julio de 2019, por lo que deberían actualizar la página de nuevo. 


Por último vamos a investigar el apartado de vulnerabilidades del CNN, portal nacional que informa sobre amenazas, y vamos a usar su buscador de vulnerabilidades para plantearnos cuáles de estas podrían perjudicar al aula de informática de la universidad. Bajo mi punto de vista, las vulnerabilidades que podríamos tener serían las relacionadas con el sistema Windows, que es el que utilizan nuestros ordenadores. De este modo, adjunto a continuación las primeras entradas sobre vulnerabilidades de Windows que aparecen al buscar esta misma palabra en el buscador: 






Comentarios

Publicar un comentario

Entradas populares de este blog

Sesión 4 - Modelo de Seguridad CIA

El modelo de seguridad CIA hace referencia a la Confidencialidad (Confidentiality), la Integridad (Integrity) y la Disponibilidad (Availability) de la información. Establece estos tres principios como parte básica de toda gestión de la seguridad de la información, ya que sin estos tres principios nos encontraríamos ante riesgos y amenazas constantes. Si bien es cierto que no existe ningún sistema de seguridad que sea completamente fiable y ajeno a las intrusiones, hemos de conseguir que sea al menos lo menos vulnerable posible.   La confidencialidad es el principio que hace referencia a que la información únicamente puede ser tratada por los usuarios o plataformas que estén autorizadas para hacerlo, para garantizar que estos datos no puedan ser divulgados ni vistos por cualquier persona.  La integridad, por su parte, se refiere a que las personas o sistemas que vayan a tratar con estos datos no van a poder manipularlos, cambiarlos o modificarlos sin tener autorización para ell...
Publicar un comentario
Leer más

Sesión 4 - Creación de Correo Electrónico

  A continuación, voy a exponer los pasos que he seguido para crearme una cuenta de correo electrónico y cuáles han sido los distintos impedimentos que he encontrado en distintas plataformas, así como porqué he elegido la plataforma escogida.   La primera plataforma en la que me he intentado suscribir ha sido Yandex Mail . Sin embargo, nos pide el número de teléfono, y por ello la vamos a descartar. En segundo lugar, lo he intentado con Proton Mail . En esta ocasión, se nos ha pedido un segundo email para poder recuperar la contraseña en caso de que haya algún tipo de fallo, y la cuenta ha sido creada con éxito. No obstante, no es el correo final. Además, cabe resaltar que en esta plataforma se podía acceder con un plan gratuito, pero también había otros de pago. En Zoho Mail , he intentado crear la cuenta pero ninguno de los planes existentes era gratuito, únicamente nos encontramos con una prueba gratuita de 15 días, por lo que vamos a descartar esta plataforma. En el cas...
Publicar un comentario
Leer más

Sesión 11 - eGarante

En la entrada de hoy, vamos a hablar sobre la herramienta web eGarante mail. El objetivo es el de conocer como funcionan los “testigos online”, cuya principal función es la certificación del envío de un correo y de su contenido teniendo en cuenta a los adjuntos, a los destinatarios y la fecha de certificación, entregando al servidor de correo del destinatario una copia exacta del mensaje. Puede ser muy útil en el envío de informes o contratos.   Lo que vamos a hacer para poner a prueba esta plataforma es entrar en dicha web y mandar un mail a nuestro correo personal, utilizando para ello nuestro correo de la universidad, pero incluyendo también a la cuenta de correo de eGarante, que es mailsigned@egarante.com . De este modo, eGarante nos devolverá un segundo correo para certificarlo y asegurar el envío.  A continuación, vamos a llevar a cabo el mismo procedimiento pero utilizando la herramienta eGarante web, que puede servirnos para comprobar si los contenidos de redes socia...
Publicar un comentario
Leer más