TRABAJO DE REDES DE COMPUTADORAS I

NOMBRE: CINDY ROMERO TINOCO LEONARDO ORMAZA SIGUENZA

FECHA: 11 DE ABRIL DEL 2017

TEMA: IDENTIFICACION DE LAS VULNERABILIDADES DE SEGURIDAD MS IMPORTANTES A NIVEL DE

HARDWARE Y SOFTWARE

VULNERABILIDADES DE SEGURIDAD A NIVEL DE HARDWARE

SEGURIDAD FSICA: Se refiere a todos aquellos mecanismos generalmente de prevencin y deteccin
destinados a proteger fsicamente cualquier recurso del sistema; estos recursos son desde un simple
teclado hasta una cinta de backup con toda la informacin que hay en el sistema, pasando por la propia
CPU de la mquina.
PROTECCION DEL HARDWARE: El hardware es frecuentemente el elemento ms caro de todo el sistema
informtico y por tanto las medidas encaminadas a asegurar su integridad son una parte importante de la
seguridad fsica de cualquier organizacin.
Problemas a los que nos enfrentamos:

Acceso fsico
Desastres naturales
Alteraciones del entorno

Acceso fsico
Si alguien que desee atacar un sistema tiene acceso fsico al mismo todo el resto de medidas de seguridad
implantadas se convierten en intiles.
Incluso dependiendo el grado de vulnerabilidad del sistema es posible tomar el control total del mismo, por
ejemplo reinicindolo con un disco de recuperacin que nos permita cambiar las claves de los usuarios.
Este ltimo tipo de ataque es un ejemplo claro de que la seguridad de todos los equipos es importante,
generalmente si se controla el PC de un usuario autorizado de la red es mucho ms sencillo atacar otros
equipos de la misma.
Para evitar todo este tipo de problemas deberemos implantar mecanismos de prevencin (control de
acceso a los recursos) y de deteccin (si un mecanismo de prevencin falla o no existe debemos al menos
detectar los accesos no autorizados cuanto antes).
Para la prevencin hay soluciones para todos los gustos y de todos los precios:

Analizadores de retina
Tarjetas inteligentes
Videocmaras
Vigilantes jurados, etc.
Para la deteccin de accesos se emplean medios tcnicos, como cmaras de vigilancia de circuito cerrado o
alarmas, aunque en muchos entornos es suficiente con qu las personas que utilizan los sistemas se
conozcan entre si y sepan quien tiene y no tiene acceso a las distintas salas y equipos, de modo que les
resulte sencillo detectar a personas desconocidas o a personas conocidas que se encuentran en sitios no
adecuados.

Desastres naturales
Adems de los posibles problemas causados por ataques realizados por personas, es importante tener en
cuenta que tambin los desastres naturales pueden tener muy graves consecuencias, sobre todo si no los
contemplamos en nuestra poltica de seguridad y su implantacin.
Algunos desastres naturales a tener en cuenta:

Terremotos y vibraciones
Tormentas elctricas
Inundaciones y humedad
Incendios y humos
Los terremotos son el desastre natural menos probable en la mayora de organismos, hay varias cosas que
se pueden hacer sin un desembolso elevado y que son tiles para prevenir problemas causados por
pequeas vibraciones:

No situar equipos en sitios altos para evitar cadas.

No colocar elementos mviles sobre los equipos para evitar que caigan sobre ellos.
Separar los equipos de las ventanas para evitar que caigan por ellas o qu objetos lanzados desde el
exterior los daen.
Utilizar fijaciones para elementos crticos.
Colocar los equipos sobre plataformas de goma para que esta absorba las vibraciones.
Otro desastre natural importante son las tormentas con aparato elctrico, generan subidas sbitas de
tensin muy superiores a las que pueda generar un problema en la red elctrica.
Otro tema distinto son las inundaciones, ya que casi cualquier medio (mquinas, cintas, routers ...) que
entre en contacto con el agua queda automticamente inutilizado, bien por el propio lquido o bien por los
cortocircuitos que genera en los sistemas electrnicos.
Por ltimo mencionaremos el fuego y los humos, que en general provendrn del incendio de equipos por
sobrecarga elctrica. Contra ellos emplearemos sistemas de extincin, que aunque pueden daar los
equipos que apaguemos (aunque actualmente son ms o menos inocuos), nos evitarn males mayores.

Alteraciones del entorno

o Electricidad: Para corregir los problemas con las subidas de tensin podremos instalar tomas de tierra o
filtros reguladores de tensin. Para los cortes podemos emplear Sistemas de Alimentacin
Ininterrumpida (SAI), que adems de proteger ante cortes mantienen el flujo de corriente constante,
evitando las subidas y bajadas de tensin. Por ltimo indicar que adems de los problemas del
sistema elctrico tambin debemos preocuparnos de la corriente esttica, que puede daar los
equipos.
o Ruido elctrico: El ruido elctrico suele ser generado por motores o por maquinaria pesada,
pero tambin puede serlo por otros ordenadores o por multitud de aparatos, y se transmite a
travs del espacio o de lneas elctricas cercanas a nuestra instalacin.
o Temperaturas extremas: No hace falta ser un genio para comprender que las temperaturas
extremas, ya sea un calor excesivo o un frio intenso, perjudican gravemente a todos los
 equipos. En general es recomendable que los equipos operen entre 10 y 32 grados Celsius.
Para controlar la temperatura emplearemos aparatos de aire acondicionado.

VULNERABILIDADES DE SEGURIDAD DEL SOFTWARE

Las vulnerabilidades son la piedra angular de la seguridad, puesto que suponen el origen del que derivan
numerosos fallos de seguridad. Una vulnerabilidad en un programa informtico o software es simplemente
un error, un problema en su cdigo o en su configuracin.
CVE (Common Vulnerabilities and Exposures)
El CVE es un estndar. Se puede decir que es DNI de una vulnerabilidad. Su formato es el siguiente:
CVE-2011-1234
CVE, seguido del ao en el que se asign el cdigo a la vulnerabilidad, seguido de un nmero de cuatro
cifras. Los grandes fabricantes normalmente toman lotes de CVE vlidos pero no usados, que MITRE les
adjudica. A medida que van encontrado vulnerabilidades, se los van asignando.
Con los creadores de software ms pequeos, el propio MITRE se encarga de dicha asignacin a medida
que se descubren vulnerabilidades. El CVE ha tenido gran aceptacin entre todos los fabricantes porque la
mayor parte de las veces es muy complejo saber a qu vulnerabilidad nos estamos refiriendo solo por
ciertas caractersticas. Es necesario disponer de una especie de nmero de identidad nico para cada fallo,
puesto que en ocasiones las vulnerabilidades son tan parecidas entre s, tan complejas o se ha ofrecido tan
poca informacin sobre ellas que la nica forma de diferenciar las vulnerabilidades es por su CVE.
CVSS (Common Vulnerability Scoring System)
El CVSS es tambin un estndar que grada la severidad de manera estricta a travs de frmulas
establecidas. De esta forma los administradores o usuarios pueden conocer de manera objetiva (a travs de
un nmero) la gravedad de los fallos que afectan a sus sistemas. Esto permite dar prioridad a la hora de
parchear.
CVSS clasifica la facilidad de aprovechar el fallo y el impacto del problema teniendo en cuenta los tres
pilares de la seguridad de la informacin: qu nivel de compromiso de la confidencialidad, integridad y
disponibilidad de los datos se podran obtener aprovechando la vulnerabilidad.
Para calcular la puntuacin base de una vulnerabilidad se toman nueve parmetros, divididos en tres grupos de tres
parmetros cada uno. Los tres grupos principales son: Explotabilidad, Impacto y Temporal.

o Explotabilidad define cun complicado puede llegar a ser para un atacante aprovechar el fallo.
Cuenta a su vez con tres parmetros, Vector, Complejidad y nivel de Autenticacin. Cada uno a su
vez con varios valores posibles.
o El grupo Impacto define qu grado de acceso a los datos podra obtener el atacante. Se define a
travs de tres valores a su vez, confidencialidad: (si el atacante puede leer aquello que no debera).
Integridad (si el atacante puede escribir o modificar aquello que no debera) y Disponibilidad (si el
servicio o mquina puede seguir funcionando despus de ser atacado).
o El grupo Temporal cuenta tambin con tres parmetros. Mide ciertas propiedades que influyen en
cmo se percibe la vulnerabilidad a lo largo del tiempo y por tanto, son susceptibles de cambios.
Explotabilidad: Indica si es sencillo aprovechar la vulnerabilidad. Nivel de Remedio: Si existe o no
existe una solucin y Confianza de la informacin: O sea, si la informacin sobre la vulnerabilidad es
oficial o no.
 CVRF (Common Vulnerability Reporting Framework)
Finalmente, el CVRF se trata de un estndar reciente, que pretende dar uniformidad a la forma en la que se
avisa de vulnerabilidades de software a un programador o compaa que crea un programa. Con este
mtodo se persigue que, cuando un investigador o empresa cree haber encontrado un fallo de seguridad
en un programa, se le proporcione al fabricante la informacin precisa, rigurosa y adecuada para que
pueda confirmarlo, entenderlo y sobre todo, parchearlo de forma eficaz.
Este estndar es muy reciente y su adopcin es todava limitada. Hoy en da, cada investigador tiene su
propio criterio a la hora de reportar una vulnerabilidad, pero los datos que se proporcionan suelen ser los
descritos ms arriba: causa, consecuencia, impacto, mdulo, etc.

Cmo protegerse de las vulnerabilidades?

Crear software invulnerable es imposible. Lo mximo a lo que se puede tender es a minimizar el riesgo de
las vulnerabilidades que, sin lugar a dudas, aparecern en cualquier software ms o menos complejo.
La lucha contra las vulnerabilidades debe comenzar desde el punto de vista del propio programador. El
equipo que codifica el programa debe seguir unas normas bsicas de seguridad a la hora de crear lneas de
cdigo que estn documentadas en infinidad de manuales de buenas prcticas de seguridad.
Desde el punto de vista del usuario, para protegerse de las vulnerabilidades lo ms efectivo es estar atento
a las actualizaciones de software que debe publicar el propio creador del programa.
Muchas aplicaciones vienen ya de serie con mdulos destinados automticamente a comprobar si se
dispone de la ltima versin de la aplicacin y alertar al usuario en caso contrario. Sin embargo, no es el
caso de la mayora de programas y por tanto, el usuario debe estar atento para conocer las ltimas
actualizaciones que pueden corregir problemas de seguridad visitando regularmente la pgina del
producto, o pendiente de las alertas de seguridad sobre ese producto que pueden aparecer en listas y
noticias sobre seguridad.