Investigación y Descubrimiento de Vulnerabilidades. Lic. Julio C. Ardita jardita@cybsec.com
|
|
- Carmen Parra Marín
- hace 8 años
- Vistas:
Transcripción
1 Investigación y Descubrimiento de Vulnerabilidades Lic. Julio C. Ardita jardita@cybsec.com
2 Agenda - El mundo de las vulnerabilidades de seguridad - Descubriendo vulnerabilidades - Experiencias en la investigación de vulnerabilidades 2
3 El mundo de las vulnerabilidades de seguridad 3
4 El mundo de las vulnerabilidades de seguridad Qué es una vulnerabilidad? Es un falla o limitación en el diseño, procedimiento o implementación de un sistema. Qué es una vulnerabilidad explotable? Es aquélla que representa un riesgo de seguridad para un sistema. En caso de ser aprovechada o explotada podría violarse la seguridad de la información que reside en el mismo. Qué es un exploit? Es el programa o técnica utilizado para aprovechar una vulnerabilidad. 4
5 El mundo de las vulnerabilidades de seguridad Cantidad de vulnerabilidades de seguridad reportadas Vulnerabilidades CERT
6 El mundo de las vulnerabilidades de seguridad Tendencias en el descubrimiento de vulnerabilidades Aplicaciones Bases de Datos Aplicaciones Clientes 19XX Sistemas Operativos Networking Aplicaciones Web 6
7 El mundo de las vulnerabilidades de seguridad Zero-days ( 0-day s) Técnicamente hablando, un 0-day es un exploit que aprovecha una nueva vulnerabilidad para la cual no existe un parche o solución. Ejemplo: Microsoft Security Bulletin MS (WMF) Aviso de MS donde se informa la vulnerabilidad MS lanza un Boletín y los parches. xx-xx-06 Usuarios finales aplican los parches. Wild Público Masiva explotación Parches Media explotación Baja Explotación 7
8 El mundo de las vulnerabilidades de seguridad El valor de una vulnerabilidad de seguridad Las condiciones que determinar el valor son las siguientes: Afectación (software de uso masivo) Origen de la explotación (remota o local) Posibilidad de ejecutar código Conocimiento de la vulnerabilidad en el mercado 8
9 El mundo de las vulnerabilidades de seguridad Compra de conocimiento Verisign idefense Vulnerability Contributor Program (VCP) Desde Durante el 2006, compró 81 vulnerabilidades. TippingPoint ZDI Zero Day Initiative. Desde En 2006, compró 54 vulnerabilidades. NetRagard SNOSOFT Exploit Acquisition Program. Desde Broker de vulnerabilidades. Precio por vulnerabilidad de hasta U$S
10 El mundo de las vulnerabilidades de seguridad Descubrimiento de vulnerabilidades hoy Publicación responsable Muchas personas buscando vulnerabilidades Investigación básica ( grep research) Mayor disponibilidad de herramientas automatizadas Google Code Search Novatos centrados en búsqueda de vulnerabilidades en aplicaciones web (45%) Concursos El mes de... Windows, Browsers, Databases, etc 10
11 Descubriendo Vulnerabilidades 11
12 Descubriendo vulnerabilidades Metodologías para el descubrimiento de vulnerabilidades Básicamente existen dos formas de detectar vulnerabilidades: White-Box (Auditoría del código fuente) Black-Box (Inyección de fallas, Ingeniería reversa, Function Hooking y Análisis de parches) Para cada una de estas metodologías de detección de vulnerabilidades existen herramientas que realizan el trabajo de manera automatizada. Sin embargo, de nuestra experiencia se desprende que el mejor resultado se obtiene combinando herramientas automatizadas y análisis manual. 12
13 Descubriendo vulnerabilidades Vulnerabilidades más comunes Buffer Overflows Format Strings Off-by-one Conversiones entre distintos tipos de datos (signed, unsigned, long, short) Double free Errores lógicos y muchas, muchas más 13
14 Descubriendo vulnerabilidades White-Box Auditoría de código fuente Este método para encontrar vulnerabilidades en software posee la siguiente ventaja: - Alcance, ya que es posible encontrar vulnerabilidades que de otra forma serían muy difíciles de encontrar. Pero también presenta las siguientes desventajas: - Se requieren conocimientos relativamente avanzados de programación y del lenguaje que se desea auditar. - Consume una gran cantidad de tiempo. - No se evalúan los problemas de compilación ni escenarios de implementación. 14
15 Descubriendo vulnerabilidades Auditoría de código fuente Mencionaremos dos metodologías para el análisis de código de forma manual: Bottom-up, en la cual se comienza leyendo el código de la función principal del programa y luego se leen en orden de llamada todas las funciones del programa. Top-down, se seleccionan funciones específicas que por la experiencia del investigador podrían llegar a poseer vulnerabilidades y se focaliza el análisis únicamente en ellas. 15
16 Descubriendo vulnerabilidades Auditoría de código fuente Existen herramientas que realizan la tarea de auditoría de código en forma automatizada, las mismas poseen las siguientes propiedades: - Dependientes del lenguaje de programación. - Fallan en descubrir errores en la lógica del programa. - Barren con gran velocidad el código fuente generando una auditoria del código en segundos. -Generan falsos positivos los cuales deben ser verificados por el investigador de forma manual. Debemos encontrar un balance entre las herramientas automáticas y el trabajo de los investigadores. 16
17 Descubriendo vulnerabilidades Black-Box El análisis de vulnerabilidades Black-Box presenta un nivel de dificultad mucho mayor: la ausencia del código fuente. El investigador tiene acceso únicamente al conjunto de ejecutables y/o librerías (y con suerte alguna información de debugging...). Frente a este desafío se pueden utilizar diferentes enfoques: - Inyección de fallas (Fuzzing). - Ingeniería Reversa. - Function Hooking. - Análisis de parches. 17
18 Descubriendo vulnerabilidades Inyección de fallas - Fuzzing Desde principios de 1990 esta metodología es utilizada para detectar vulnerabilidades en software. Básicamente la idea es ingresar fallas utilizando todos los métodos de entrada que el software provea. Por ejemplo, si el software sobre el cual deseamos encontrar vulnerabilidades es un servidor Web, podremos ingresar fallas por medio del puerto 80 TCP. Requests modificados Request original GGGGGGGGGGGGGGGGGGGGGGGET / HTTP/1.1 GET /////////////////////// HTTP/1.1 GET / HHHHHHHHHHHHHHHHHHHHHHHTTP/1.1 GET / HTTP/1.1 GET / HTTP///////////////////////1.1 GET / HTTP/ GET / HTTP/1...1 GET / HTTP/
19 Descubriendo vulnerabilidades Inyección de fallas - Fuzzing Las herramientas automatizadas para inyección de fallas (fuzzers), actualmente se encuentran en pleno desarrollo y aún son algo primitivas, pero sin duda alguna, ahorran una gran cantidad de tiempo. Algunas de las herramientas que utilizamos son: SPIKE Autodafe Fuzzers desarrollados internamente. Estas herramientas realizan un trabajo repetitivo y en general es posible encontrar vulnerabilidades utilizándolas. De todas formas, nada puede reemplazar a una persona debidamente capacitada y experimentada para detectar vulnerabilidades en software. 19
20 Descubriendo vulnerabilidades Ingeniería Reversa La Ingeniería Reversa es el proceso que intenta reproducir el diseño de un sistema a partir del producto terminado. Se originó para brindar compatibilidad con diversos sistemas de código cerrado y carentes de documentación. El objetivo es realizar la siguiente transformación: mov [ebx+7], al mov [ebx+8], ebx mov [ebx+12], eax mov al, 11 lea ecx, [ebx+8] lea edx, [ebx+12] int 0x80 void funcion1(char *str) { int i; if (i == 20) { *str = a ; } funcion2(str); } 20
21 Descubriendo vulnerabilidades Ingeniería Reversa Una vez que se obtiene una aproximación del código original, se analiza si el mismo posee vulnerabilidades. Ventajas: - Conocimiento exacto del funcionamiento de la Aplicación. - Identificación de vulnerabilidades lógicas o extremadamente complejas de detectar por fuzzing. Desventajas: - Profundo conocimiento de Assembler, compiladores y programación. - Proceso arduo y tedioso. - Complejidad para identificar código alcanzable. 21
22 Descubriendo vulnerabilidades Function Hooking Esta técnica se basa en reemplazar funciones en librerías por nuestras propias funciones. El objetivo es interceptar las llamadas, analizar los parámetros recibidos y derivar la ejecución a la verdadera función. Microsoft Research ha desarrollado una herramienta que permite realizar este tipo de análisis: Detours. Con esta herramienta, nuestra librería (dll) se inyecta en el espacio de direcciones del proceso objetivo. 22
23 Descubriendo vulnerabilidades Ejemplo de Function Hooking Aplicación a auditar (buggy.exe) call convertirstring(...) retorna LibBuggy.dll 23
24 Descubriendo vulnerabilidades Ejemplo de Function Hooking Aplicación a auditar (buggy.exe) LibBuggy.dll call convertirstring(...) call convertirstring(...) retorna MiAudit.dll Función: ConvertString retorna 24
25 Descubriendo vulnerabilidades Análisis de Parches Cuando una nueva vulnerabilidad es reportada, el fabricante desarrolla el parche y lo libera para que los usuarios puedan actualizarse y protegerse. Estructura e implementación de un parche, según el tipo de Aplicación Aplicaciones de Código Abierto: - Archivos.diff. Implementación y recompilación. - Binarios. Reemplazo completo del binario vulnerable. Aplicaciones de Código Cerrado: - Binarios. Reemplazo completo del binario vulnerable. 25
26 Descubriendo vulnerabilidades Análisis de Parches Si el parche soluciona la vulnerabilidad...agrega o elimina código. La técnica consiste en analizar la diferencia entre el parche y el componente vulnerable. Diferentes procedimientos y herramientas: Archivos.diff - Análisis directo del código fuente agregado o eliminado. Binarios: - Comparar versiones. Herramientas automáticas (BinDiff, EBDS). - Analizar el código modificado (si, a leer assembler otra vez). 26
27 Experiencias en la investigación de vulnerabilidades 27
28 Experiencias en la investigación de vulnerabilidades CYBSEC-LABS CYBSEC-LABS es un área de CYBSEC, cuyo objetivo es investigar y desarrollar nuevas técnicas y herramientas de Seguridad Informática para suplir al área de Consultoría. Paralelamente se realizan investigaciones sobre productos o sistemas utilizados masivamente, analizando la seguridad de los mismos en busca de nuevas vulnerabilidades. Durante el año 2006 hemos descubierto 16 vulnerabilidades, las cuales afectan a sistemas críticos. 28
29 Experiencias en la investigación de vulnerabilidades Vulnerabilidad en Microsoft Windows - Servicio DHCP Cliente Severidad: Alta Tipo de Vulnerabilidad: Buffer Overflow. Afecta: Todas las versiones de Microsoft Windows (2000, XP, 2003). Posibilita la ejecución de código en forma remota. 29
30 Experiencias en la investigación de vulnerabilidades Vulnerabilidad en SAP Internet Graphics Service (IGS) Severidad: Alta Tipo de Vulnerabilidad: Buffer Overflow. Afecta: Todas las plataformas de SAP IGS (AIX, HP-UX, Linux, Windows, etc). Posibilita la ejecución de código en forma remota. INTERNET O LAN 30
31 Experiencias en la investigación de vulnerabilidades Vulnerabilidad en IPS TippingPoint Severidad: Alta Tipo de Vulnerabilidad: Falla de diseño Afecta todas las versiones del hardware previo al reporte de la vulnerabilidad al vendor Posibilita el bypass de las funcionalidades de bloqueo y detección del IPS 31
32 Experiencias en la investigación de vulnerabilidades Investigación sobre RFC de SAP RFC es el protocolo de comunicación utilizado por SAP para la interconexión interna de SAP y también entre SAP y sistemas externos. Investigación de vulnerabilidades en la interfaz y en la librería de RFC. Duración del proyecto: 3 meses. Resultado: 7 vulnerabilidades descubiertas y reportadas. 6 con parche disponible a la fecha. Release coordinado con SAP para Abril de Desarrollo y lanzamiento de una herramienta para realizar PenTest a sistemas SAP. 32
33 Experiencias en la investigación de vulnerabilidades Lo que viene... Nuevas vulnerabilidades. Durante 2007, en CYBSEC descubrimos: - 2 vulnerabilidades que afectan a MS Windows. - 1 vulnerabilidad al cliente de SAP (SAPGui). - 1 vulnerabilidad nueva en SAP. Las mismas están siendo solucionadas por los Vendors y próximamente saldrán los avisos correspondientes. Desarrollo de herramientas para el descubrimiento de nuevas vulnerabilidades. 33
34 Conclusiones - La cantidad de vulnerabilidades va a seguir en aumento. Es necesario definir e implementar un política efectiva de Patch Management. - Las empresas desarrolladoras deben capacitarse más y actualizarse sobre las nuevas vulnerabilidades existentes. -Se deben aplicar metodologías y herramientas de testing para realizar evaluaciones de seguridad a los productos antes de lanzarlos al mercado. 34
35 Preguntas? Lic. Julio C. Ardita CYBSEC S.A. Security Systems
La importancia de las pruebas de penetración (Parte I)
Publicado en Revista.Seguridad (http://revista.seguridad.unam.mx) Inicio > La importancia de las pruebas de penetración (Parte I) La importancia de las pruebas de penetración (Parte I) Por Erika Gladys
Más detalles3-ANÁLISIS DE VULNERABILIDADES
3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna
Más detallesJulio César Ardita jardita@cybsec.com. 12 de Septiembre de 2012 Buenos Aires - Argentina
Tendencias en Seguridad de la Información Julio César Ardita jardita@cybsec.com 12 de Septiembre de 2012 Buenos Aires - Argentina Agenda Presión de las regulaciones El rol del CSO Outsourcing de la seguridad
Más detallesElementos requeridos para crearlos (ejemplo: el compilador)
Generalidades A lo largo del ciclo de vida del proceso de software, los productos de software evolucionan. Desde la concepción del producto y la captura de requisitos inicial hasta la puesta en producción
Más detallesRequerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral
Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral
Más detallesIMPACTO DEL DESARROLLO TECNOLOGICO EN LA AUDITORIA
V REUNIÓN DE AUDITORES INTERNOS DE BANCA CENTRAL 8 AL 11 DE NOVIEMBRE DE 1999 LIMA - PERÚ IMPACTO DEL DESARROLLO TECNOLOGICO EN LA AUDITORIA Claudio Urrutia Cea Jefe de Auditoría BANCO CENTRAL DE CHILE
Más detallesEL ÁREA DE SEGURIDAD INFORMÁTICA. Lic. Julio C. Ardita (*) jardita@cybsec.com
EL ÁREA DE SEGURIDAD INFORMÁTICA Lic. Julio C. Ardita (*) jardita@cybsec.com 6 de Enero de 2003 INTRODUCCIÓN Este documento refleja los estándares a nivel internacional con referencia al armado de un área
Más detallesAGRADECIMIENTOS. A Nuestros Padres y Familiares, por el apoyo recibido durante la elaboración de este trabajo
II AGRADECIMIENTOS Nuestro agradecimiento profundo: A Dios, por permitirnos cumplir nuestra meta A Nuestros Padres y Familiares, por el apoyo recibido durante la elaboración de este trabajo A Rodrigo,
Más detallesIntegración de la seguridad en el proceso de desarrollo de las aplicaciones Seguridad en e-business y e-commerce
Integración de la seguridad en el proceso de desarrollo de las aplicaciones Seguridad en e-business y e-commerce Marcos Mateos García Jefe de Proyecto Germinus Grupo Gesfor Índice 1. Introducción 2. Desarrollo
Más detallesPenetration Test Metodologías & Usos
Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances
Más detallesBienvenidos a la presentación, producción de informes y depuración (debugging). En esta unidad discutiremos la producción de informes utilizando la
Bienvenidos a la presentación, producción de informes y depuración (debugging). En esta unidad discutiremos la producción de informes utilizando la tecnología.net y la aplicación de técnicas de depuración
Más detallesPruebas de Intrusión de Aplicación
Pruebas de Intrusión de Aplicación Enero 23, 2013 Esteban O. Farao Information Security Director CISSP, CISA, CRISC, PCIP, PCI-QSA, PCI-ASV Enterprise Risk Management, Inc. Agenda Que significa Pruebas
Más detallesAdelantándose a los Hackers
1 Adelantándose a los Hackers Herramientas y técnicas de testing de vulnerabilidades Lic. Julio C. Ardita jardita@cybsec.com 5 de Julio de 2001 Buenos Aires - ARGENTINA 2 Adelantándose a los Hackers Temario
Más detallesWINDOWS 2008 5: TERMINAL SERVER
WINDOWS 2008 5: TERMINAL SERVER 1.- INTRODUCCION: Terminal Server proporciona una interfaz de usuario gráfica de Windows a equipos remotos a través de conexiones en una red local o a través de Internet.
Más detallesCómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.
El equipo de inteligencia en seguridad de es una organización de investigación de primer nivel dedicada a descubrir vulnerabilidades y fallas de seguridad en redes de cómputo. Pocas son las organizaciones
Más detallesSAP Business One 2007 FAQs para clientes
Acerca de Por qué debería pensar en el upgrade a la versión 2007 de la aplicación SAP Business One? Con el upgrade a la versión 2007 de la aplicación SAP Business One, usted puede sacar provecho de muchas
Más detallesPROVIAS NACIONAL INFORME TÉCNICO DE EVALUACIÓN DE SOFTWARE Nº 001-2007-MTC/20.2.6. 1. NOMBRE DEL ÁREA: Unidad de Informática
PROVIAS NACIONAL INFORME TÉCNICO DE EVALUACIÓN DE SOFTWARE Nº 001-2007-MTC/20.2.6 1. NOMBRE DEL ÁREA: Unidad de Informática 2. RESPONSABLES DE LA EVALUACIÓN: 3. CARGOS: Milton Sandoval Cruz Administrador
Más detallesCalidad y Seguridad en la programación de aplicaciones
Calidad y Seguridad en la programación de aplicaciones Presentada por: Tartarelli Martin COO, Infobyte Security Research Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial
Más detallesUNIVERSIDAD DE LA RIOJA
PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL CONTRATO DE SERVICIO DE MANTENIMIENTO DE CORTAFUEGOS Y SERVICIOS DE SEGURIDAD DE LA UNIVERSIDAD DE LA RIOJA Página 1 PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL
Más detallesBechtle Solutions Servicios Profesionales
Soluciones Tecnología Bechtle Solutions Servicios Profesionales Fin del servicio de soporte técnico de Windows Server 2003 No hacer nada puede ser un riesgo BECHTLE Su especialista en informática Ahora
Más detallesTERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad
TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes
Más detallesPRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE
PRUEBAS DE SOFTWARE La prueba del software es un elemento crítico para la garantía de la calidad del software. El objetivo de la etapa de pruebas es garantizar la calidad del producto desarrollado. Además,
Más detallesInfraestructura Tecnológica. Sesión 2: Mejoras adicionales al servidor de archivos
Infraestructura Tecnológica Sesión 2: Mejoras adicionales al servidor de archivos Contextualización Los servidores como cualquier equipo de cómputo pueden contar con varias mejoras con las que se pueden
Más detallesHacking Ético y Frameworks Opensource
Hacking Ético y Frameworks Opensource Mariano Nuñez Di Croce mnunez@cybsec.com Febrero 11-13, 13, 2009 IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información La Habana,, Cuba Copyright
Más detallesPrácticas y Tecnologías de Seguridad Informática
El estado del arte actual Iván Arce І ivan.arce@corest.com Prácticas y Tecnologías Agenda El estado actual: Prácticas Penetration Tests El estado actual: Herramientas Vulnerability Scanners Intrusion Detection
Más detallesINFORME TECNICO PREVIO DE EVALUACION DE SOFTWARE DE GESTIÓN PARA LA PLATAFORMA DE SERVIDORES DE ACCESO Y ARCHIVO DE OSINERGMIN
INFORME TECNICO PREVIO DE EVALUACION DE SOFTWARE DE GESTIÓN PARA LA PLATAFORMA DE SERVIDORES DE ACCESO Y ARCHIVO DE OSINERGMIN 1. NOMBRE DEL ÁREA : OFICINA DE SISTEMAS (OS) 2. RESPONSABLES DE LA EVALUACIÓN
Más detallesInforme de Amenazas CCN-CERT IA-02/14. Riesgos de uso de Windows XP tras el fin de soporte
Informe de Amenazas Riesgos de uso de Windows XP tras el fin de soporte 22 de enero de 2014 LIMITACIÓN DE RESPONSABILIDAD El presente documento se proporciona de acuerdo con los términos en él recogidos,
Más detallesAnuncio de software ZP10-0561 de IBM Europe, Middle East and Africa con fecha 16 de noviembre de 2010
con fecha 16 de noviembre de 2010 IBM Rational AppScan Source Edition e IBM Rational AppScan Build Edition V8.0 ofrecen ahora una función de comprobación de la vulnerabilidad de las aplicaciones mejorada
Más detallesHacking ético y Seguridad en Red
TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...
Más detallesLa Pirámide de Solución de TriActive TRICENTER
Información sobre el Producto de TriActive: Página 1 Documento Informativo La Administración de Sistemas Hecha Simple La Pirámide de Solución de TriActive TRICENTER Información sobre las Soluciones de
Más detallesCAPITULO 4. ANALISIS COMPARATIVO Y SELECCION DE LA PLATAFORMA EDUCATIVA.
CAPITULO 4. ANALISIS COMPARATIVO Y SELECCION DE LA PLATAFORMA EDUCATIVA. El análisis se ha centrado en cuatro temas solamente, sin profundizar en otros elementos que pueden ser más diferenciales, pero
Más detallesLOGÍSTICA DE PROCESOS: Movimientos Internos de Mercadería. Sistema. IWMS MKR Systems
LOGÍSTICA DE PROCESOS: Movimientos Internos de Mercadería Sistema IWMS MKR Systems 1 Contenidos del Documento: Introducción. Tipos de Movimientos Internos. o Movimiento Selectivo de Contenedores. o Movimiento
Más detallesEstrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad
Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Presentación de Pozuelo de Alarcón Presentación de Pozuelo de Alarcón Presentación
Más detallesSeguridad en Software Libre
Seguridad en Software Libre Carlos Sarraute Ariel Futoransky 7 junio 2005 USUARIA 2005 Motivación Hay alguna diferencia estratégica perceptible entre la seguridad de soluciones de código abierto vs. código
Más detallesmnunez@cybsec.com 12 de Septiembre de 2007 Hotel Sheraton Buenos Aires - Argentina
Mariano Nuñez Di Croce mnunez@cybsec.com 12 de Septiembre de 2007 Hotel Sheraton Buenos Aires - Argentina Agenda Introducción al Penetration Testing El PenTest Hoy Casos Reales El Futuro del Penetration
Más detallesCapítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN
CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CONCEPTOS DE PRUEBAS DE APLICACIÓN El departamento de Testing se encarga de diseñar, planear y aplicar el rol de pruebas a los sistemas que el PROVEEDOR
Más detallesAdministración de Acciones Preventivas
1 de 8 PROCEDIMIENTO DE CALIDAD 2 de 8 3 de 8 ÍNDICE 1. OBJETIVO...4 2. ALCANCE...4 3. ABREVIATURAS...4 4. RESPONSABILIDAD...4 5. DEFINICIONES...4 6. DOCUMENTOS RELACIONADOS...4 7. DESCRIPCIÓN...4 7.1
Más detallesLa Seguridad de la Información en la Gestión del Negocio Financiero
La Seguridad de la Información en la Gestión del Negocio Financiero Lic. Julio C. Ardita jardita@cybsec.com CYBSEC S.A. Security Systems Agenda - Análisis de la situación actual - Continuidad de servicios
Más detallesDel Penetration Test a la Realidad
1 MSc. Julio C. Ardita jardita@cybsec.com 10 15 de Mayo de 2004 VII Seminario Iberoamericano de Seguridad en Tecnologías de Información y Comunicaciones La Habana - CUBA 2 Temario - Qué es el Penetration
Más detallesINFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE
1. NOMBRE DEL ÁREA Gerencia de Desarrollo. INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE 2. RESPONSABLE DE LA EVALUACIÓN Amado Zumaeta Vargas 3. CARGO Analista 4. FECHA 20/07/2011 5. JUSTIFICACIÓN AGROBANCO
Más detallesGuía 1: Implementación de Modelo de Firma Electrónica Simple con Identificador/Clave
Guía 1: Implementación de Modelo de Firma Electrónica Simple con Identificador/Clave Agustinas 1291, piso 5, ofic. G - Santiago de Chile F: (56 2) 694 5808 / (56 2) 694 5964 - Fax: (56 2) 694 5965 http://www.modernizacion.gov.cl
Más detallesSAP BusinessObjects Edge BI Standard Package La solución de BI preferida para. Empresas en Crecimiento
SAP BusinessObjects Edge BI Standard Package La solución de BI preferida para Empresas en Crecimiento Portfolio SAP BusinessObjects Soluciones SAP para Empresas en Crecimiento Resumen Ejecutivo Inteligencia
Más detallesVICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS
VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS CONTENIDO INVITACIÓN A COTIZAR 1. ALCANCE...3 2. CONDICIONES TECNICAS...3 2.1 ANÁLISIS DE VULNERABILIDADES A LOS SERVIDORES Y FIREWALL... 3 2.1.1
Más detallesInformación de Producto:
Windows Server 2008 Foundation La nueva tecnología rentable de Windows Server 2008 Foundation La tecnología confiable y comprobada de Windows Server Foundation proporciona una base para ejecutar las aplicaciones
Más detallesCaracterísticas del software
Características del software Descripción general de Fierro Fierro resuelve la operatoria diaria y la problemática de librerías y editoriales. Fierro fue gestado por gente que conoce el mercado del libro,
Más detallesMaquinas virtuales Conceptos Básicos
Jimenez Zamudio Eduardo Aplicaciones de redes de computadoras 13 de septiembre de 2014 Maquinas virtuales Conceptos Básicos Concepto Básicamente, es un equipo dentro de un equipo, implementado en el software.
Más detallesUtilidades de la base de datos
Utilidades de la base de datos Desde esta opcion del menú de Access, podemos realizar las siguientes operaciones: Convertir Base de datos Compactar y reparar base de datos Administrador de tablas vinculadas
Más detallesCapítulo 9. Archivos de sintaxis
Capítulo 9 Archivos de sintaxis El SPSS permite generar y editar archivos de texto con sintaxis SPSS, es decir, archivos de texto con instrucciones de programación en un lenguaje propio del SPSS. Esta
Más detallesCapítulo I. 1.1 Planteamiento del Problema.
1.1 Planteamiento del Problema. En la actualidad las empresas se han preocupado por minimizar sus costos y maximizar la riqueza de sus accionistas. Ya que cada día nacen nuevas empresas con mayores opciones
Más detallesLENGUAJES DE PROGRAMACIÓN WEB (PHP1, HTML52)
LENGUAJES DE PROGRAMACIÓN WEB (PHP1, HTML52) LENGUAJES DE PROGRAMACIÓN WEB (PHP, HTML5) 1 Sesión No. 1 Nombre: Arquitectura Objetivo: Conocer cómo funciona y se planifica una aplicación web Contextualización
Más detallesVulnerabilidades de los sistemas informáticos
Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel
Más detallesCONSTRUCCIÓN DEL PROCESO TRANSACCIONAL Bizagi Process Modeler
Bizagi Process Modeler Copyright 2011 - bizagi Contenido 1. INTRODUCCIÓN A LAS TRANSACCIONES... 3 2. DIAGRAMA DEL PROCESO... 4 SUB PROCESO RESERVA... 5 SUB PROCESO REPORTE DE GASTOS... 8 3. MODELO DE DATOS...
Más detallesCONSEJO DE AUDITORIA INTERNA GENERAL DE GOBIERNO CMM 2014. Manual de usuario
CONSEJO DE AUDITORIA INTERNA GENERAL DE GOBIERNO CMM 2014 Manual de usuario Manual operativo con relación a aplicación CMM 2014 Contenido Requerimientos... 2 Instalación... 3 Ejecutar... 5 Uso de aplicación...
Más detallesPRESENTACIÓN PRODUCTO. Más que un software, el método más eficaz de conciliar.
PRESENTACIÓN PRODUCTO Más que un software, el método más eficaz de conciliar. Automatizar las conciliaciones significa ahorrar recursos y generar mayor rentabilidad en su negocio. Eligiendo Conciliac su
Más detallesGuía Rápida de Inicio
Guía Rápida de Inicio 1. Acerca de esta Guía Esta guía le ayudará a instalar y dar los primeros pasos con BitDefender Security for SharePoint. Para disponer de instrucciones detalladas, por favor, diríjase
Más detallesMetodologías de Desarrollo de Sistemas de Información
Metodologías de Desarrollo de Sistemas de Información Metodología para el Desarrollo de SI Las metodologías son sistemas completos de técnicas que incluyen procedimientos paso a paso, productos resultante,
Más detallesEl comité de compras y contrataciones del INDOTEL les informa que, hemos recibido las siguientes preguntas:
18-Nov-2014 CIRCULAR NO. 1 RESPUESTA A LOS OFERENTES A TODOS LOS OFERENTES CONFORME AL REGISTRO DE INTERESADOS EN EL PROCESO DE LICITACION PUBLICA NACIONAL INDOTEL/ LPN-001-2014 PARA LA CONTRATACION DE
Más detallesTest de intrusión (Penetration Test) Introducción
Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales
Más detallesEspecificaciones de la oferta Administración de dispositivos distribuidos Administración de activos
Resumen del servicio Especificaciones de la oferta Administración de dispositivos distribuidos Administración de activos Los servicios de administración de dispositivos distribuidos le permiten realizar
Más detallesProcedimiento de Sistemas de Información
Procedimiento de Sistemas de Información DIRECCIÓN DE COORDINACIÓN TÉCNICA Y PLANEACIÓN VIEMBRE DE 2009 PR-DCTYP-08 Índice. 1. INTRODUCCIÓN.... 3 2. OBJETIVO.... 4 3. ALCANCE.... 4 4. MARCO LEGAL.... 4
Más detallesSMV. Superintendencia del Mercado de Valores
INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE Nº 007--/09 MONITOREO DE SERVIDORES Y ADMINISTRACIÓN DE LOGS 1. NOMBRE DEL AREA: OFICINA DE TECNOLOGÍAS DE INFORMACIÓN 2. RESPONSABLE DE LA EVALUACIÓN:
Más detallesSOLUCIONES EN SEGURIDAD INFORMATICA
SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados
Más detallesDepartamento de Informática INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE NRO. 03-2012-07.06 MICROSOFT ENROLLMENT FOR EDUCATION SOLUTIONS (OVS-ES)
INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE NRO. 03-2012-07.06 MICROSOFT ENROLLMENT FOR EDUCATION SOLUTIONS (OVS-ES) Noviembre 2012 Pág. 2 ÍNDICE 1. NOMBRE DEL ÁREA... 3 2. RESPONSABLE DE LA EVALUACIÓN...
Más detallesSitios y programas recomendados
WEB HACKING 1 Sitios y programas recomendados A continuación encontraremos un listado de sitios web relacionados con las temáticas expuestas en el libro, junto a una serie de programas que brindan herramientas
Más detallesSoporte. Misión y Visión
Misión y Visión Misión Proporcionar servicios especializados, agregando valor a sus clientes, concentrando recursos y esfuerzos a través de profesionales innovadores en la solución de problemas utilizando
Más detallesIntroducción. Hallazgos Clave 26% 74%
Promedio de NO Cumplimiento 26% 74% Promedio de Cumplimiento Cumplimiento Introducción Durante 2012, las inversiones de software en Colombia ascendieron a 698 millones de dólares, este crecimiento prácticamente
Más detallesINFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE MICROSOFT OFFICE 365. 3. Cargos : Gerente de Sistemas (e) Analista de Sistemas Gestor de Proyectos
INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE MICROSOFT OFFICE 365 I-OS-26-2015 1. Nombre del Área : Oficina de Sistemas 2. Responsables de la Evaluación : Eduardo Vasquez Díaz Ronald Mallqui Meza 3.
Más detallesTEMA 3 PROFESOR: M.C. ALEJANDRO GUTIÉRREZ DÍAZ 2 3. PROCESAMIENTO DE CONSULTAS DISTRIBUIDAS
1 1 BASES DE DATOS DISTRIBUIDAS TEMA 3 PROFESOR: M.C. ALEJANDRO GUTIÉRREZ DÍAZ 2 3. PROCESAMIENTO DE CONSULTAS DISTRIBUIDAS 3.1 Metodología del procesamiento de consultas distribuidas 3.2 Estrategias de
Más detallesMEMORIA DE PROYECTO DE INNOVACIÓN EDUCATIVA CURSO ACADÉMICO 2012/2013
MEMORIA DE PROYECTO DE INNOVACIÓN EDUCATIVA CURSO ACADÉMICO 2012/2013 Título del proyecto: Coordinación de las asignaturas de redes y seguridad de la información para la certificación CISCO CCNA del alumnado
Más detallesINFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE
INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE 1. NOMBRE DEL ÁREA Gerencia de Operaciones y Sistemas. 2. RESPONSABLE DE LA EVALUACIÓN Amado Zumaeta Vargas 3. CARGO Analista 4. FECHA 06/10/2010 5. JUSTIFICACIÓN
Más detallesSymantec Backup Exec System Recovery 7.0 Server Edition. Recuperación de sistemas en cuestión de minutos, en lugar de en horas o días
PRINCIPALES VENTAJAS TANGIBLES Recuperación de sistemas Windows completos en cuestión de minutos, en lugar de en horas o días Symantec ha demostrado de manera pública y en reiteradas ocasiones que Backup
Más detallesIntroducción En este apartado se va a proporcionar una apreciación global del SRS.
INTRODUCCIÓN Se pretende desarrollar una aplicación web para la gestión de un restaurante que ofrece espectáculos en fechas determinadas con el fin de poner en práctica los principios de planificación
Más detallesUSO DE SOFTWARE LIBRE, UNA EXPERIENCIA EXITOSA. Sonia Muñoz Chacón Jefe División Informática
USO DE SOFTWARE LIBRE, UNA EXPERIENCIA EXITOSA Sonia Muñoz Chacón Jefe División Informática I. QUÉ ES LA FSF? Es la sigla utilizada para referenciar a la Fundación del Software Libre (Free Software Foundation).
Más detallesPROYECTO ESPECIAL CHAVIMOCHIC INFORME TECNICO PREVIO DE EVALUACION DE SOFTWARE N 001-2007-GR-LL/PECH-05-INF
PROYECTO ESPECIAL CHAVIMOCHIC INFORME TECNICO PREVIO DE EVALUACION DE SOFTWARE N 001-2007-GR-LL/PECH-05-INF 1. NOMBRE DEL AREA: Informática que depende de la Jefatura de Planificación y Presupuesto 2.
Más detallesUnidad 1. Fundamentos en Gestión de Riesgos
1.1 Gestión de Proyectos Unidad 1. Fundamentos en Gestión de Riesgos La gestión de proyectos es una disciplina con la cual se integran los procesos propios de la gerencia o administración de proyectos.
Más detallesSSTQB. Nivel Fundamentos. Examen ejemplo. Programa de estudios 2010
SSTQB Nivel Fundamentos Examen ejemplo Página 1 de 12 Fecha publicación: 28 - octubre - 2015 Índice Preguntas... 3 Respuestas... 12 Página 2 de 12 Fecha publicación: 28 - octubre - 2015 Preguntas 1 2 Una
Más detallesQué es un antivirus? Son programas cuya función es detectar y eliminar Virus informáticos y otros programas maliciosos (a veces denominados malware).
Antivirus Qué es un antivirus? Son programas cuya función es detectar y eliminar Virus informáticos y otros programas maliciosos (a veces denominados malware). Funcionamiento Básico Compara el código de
Más detallesINFORME TECNICO PARA LA ADQUISICIÓN DE LICENCIAS SOFTWARE OFIMÁTICO
INFORME TECNICO PARA LA ADQUISICIÓN DE LICENCIAS SOFTWARE OFIMÁTICO 1.- Nombre del Área: El área encargada de la evaluación técnica para la adquisición de licencias de software ofimático es la oficina
Más detallesDESARROLLO DE COMPONENTES PARA LA INTEGRACIÓN DEL PORTAL CORPORATIVO DEL CITI CON LA BPMS BIZAGI
DESARROLLO DE COMPONENTES PARA LA INTEGRACIÓN DEL PORTAL CORPORATIVO DEL CITI CON LA BPMS BIZAGI Informe de Práctica Profesional de 4to Año, Ingeniería Informática Autor: Manuel Alejandro Aguilar Díaz
Más detallesWe Care For Your Business Security
We Care For Your Business Security Warriors Defender Firewall es una sólida solución de cortafuego y control, fácil de utilizar y económica para empresas de cualquier tamaño. Warriors Defender Firewall
Más detallesGuía de instalación 1
Guía de instalación 1 Tabla de contenidos 1. Requisitos de software y hardware 3 2. Instalación del sistema 6 Bienvenida... 8 Archivo de licencia... del producto 9 Información de... licencia 12 Acuerdo
Más detallesGestión de la Seguridad Informática
Documento de Gestión de la Seguridad Informática Versión 01 ARCHIVO: ANEXO6_GESTION DE LA SEGURIDAD INFORMATICA Nº. PÁG: 1 / 6 CREADO: 11/11/a TABLA DE CONTENIDO 1. GESTIÓN DE SEGURIDAD INFORMÁTICA...
Más detallesEmpresa Financiera Herramientas de SW Servicios
Empresa Financiera Herramientas de SW Servicios Resulta importante mencionar que ésta es una empresa cuya actividad principal está enfocada a satisfacer las necesidades financieras de los clientes, a través
Más detallesIncidencias: Todas las incidencias que ocurrirán durante el apadrinamiento de un niño se deben registrar para poder buscar soluciones.
Apadrinamiento ONG Estudio preliminar: Se desea diseñar una aplicación para la gestión de los apadrinamientos de una asociación ONG. Para ello el sistema proporcionara una interfaz al usuario para poder
Más detallesTécnico y sus funciones. 5. Función de los líderes. 6 Función del analista de datos. 6. Metas del Help Desk. 7 Definir el alcance del Help Desk.
3 Qué es un Help Desk? 3 Cómo trabaja un Help Desk? 3 Cómo se mide el éxito de un Help Desk? 5 Funciones de los miembros del equipo del Help Desk. 5 Técnico y sus funciones. 5 Función de los líderes. 6
Más detallesUN PROBLEMA CON INTERÉS Y CALCULADORA
UN PROBLEMA CON INTERÉS Y CALCULADORA José Antonio Mora Sánchez. Alacant Las calculadoras ofrecen la posibilidad de modificar la óptica desde la que se abordan ciertos problemas matemáticos, esto hace
Más detalles100% Laboratorios en Vivo
100% Laboratorios en Vivo Sabemos que la única forma de aprender es haciendo. Por lo mismo todos los laboratorios son con desafíos de hacking en un ambiente en vivo. Con servidores y servicios dentro de
Más detallesMonitorización y gestión de dispositivos, servicios y aplicaciones
Monitorización y gestión de dispositivos, servicios y aplicaciones Asesor Técnico - Seguridad Consejería de Educación - Junta de Andalucía Jefa del Servicio de Informática - Secretaría General Técnica
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesSeguridad en Administración de Redes. INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos.
Seguridad en Administración de Redes INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos. Administración de Seguridad en Redes La administración
Más detallesConfiguración de equipos para conexión a la red inalámbrica de la UMA
Página 1 de 10 Configuración de equipos para conexión a la red inalámbrica de la UMA El Servicio Central de Informática de la UMA ha implementado una red inalámbrica que proporciona acceso a través de
Más detallesINFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE N 002-2011/UIE-PATPAL - FBB
INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE N 002-2011/UIE-PATPAL - FBB Contenido 1. NOMBRE DEL AREA... 2 2. RESPONSABLES DE LA EVALUACIÓN... 2 3. CARGOS... 2 4. FECHA... 2 5. JUSTIFICACIÓN... 2 6.
Más detallesTítulo: Implementación de un servicio de acceso a Internet por correo electrónico. Navegación total.
INFO 2002 Título: Implementación de un servicio de acceso a Internet por correo electrónico. Navegación total. Autor: Ing. Alfredo Batista Rodríguez. Ing. Emilio Joel Macias. Correo electrónico: alfredo@biomundi.inf.cu
Más detallesElección de un Sistema de Remuneraciones y Recursos Humanos. Según su modo de operar.
Elección de un Sistema de Remuneraciones y Recursos Humanos. Según su modo de operar. Introducción En la elección de un sistema de remuneraciones para reemplazar a la modalidad actualmente en uso en la
Más detallesAnálisis de aplicación: BlueFish
Análisis de aplicación: BlueFish Este documento ha sido elaborado por el Centro de excelencia de software libre de Castilla La Mancha (Ceslcam, http://ceslcam.com). Copyright 2011, Junta de Comunidades
Más detallesCOLEGIO COMPUESTUDIO
COLEGIO COMPUESTUDIO ÁREA: TECNOLOGIA E INFORMATICA DOCENTE: WILLY VIVAS LLOREDA ESTUDIANTE: CLEI: III GUIA N 5 N SESIONES: NUCLEO TEMÁTICO: UNIDAD: 2 Sistema operativo (Windows) OBJETIVO: Comprender el
Más detallesSistema de Gestión de Proyectos Estratégicos.
[Documento versión 2.0 del 24/06/2015] Sistema de Gestión de Proyectos Estratégicos. El sistema de Gestión de Proyectos Estratégicos (GPE), es una poderosa herramienta para administrar y gestionar los
Más detallesSeguridad Informática con Software Libre
1 Seguridad Informática con Software Libre Lic. Julio C. Ardita jardita@cybsec cybsec.comcom 1er Encuentro de Software Libre en el Estado 13 de Mayo de 2005 Santa Cruz - ARGENTINA 2 Temario La seguridad
Más detallesMultipedidos es un sistema de ventas on-line que permite gestionar pedidos por internet en tiempo real de manera económica, simple y eficaz.
Presentación Multipedidos es un sistema de ventas on-line que permite gestionar pedidos por internet en tiempo real de manera económica, simple y eficaz. El sistema está pensado para empresas que deseen
Más detallesAspectos Básicos de Networking
Aspectos Básicos de Networking ASPECTOS BÁSICOS DE NETWORKING 1 Sesión No. 4 Nombre: Capa de transporte del modelo OSI Objetivo: Al término de la sesión el participante aplicará las principales características
Más detalles