![Page 1: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/1.jpg)
Juan Antonio Calles García
![Page 2: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/2.jpg)
1. El estado de la informática en la actualidad2. Auditorías de Seguridad3. Ontología de Seguridad4. Demo5. Conclusiones y Trabajos Futuros6. Bibliografía
![Page 3: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/3.jpg)
1. El estado de la informática en la actualidad2. Auditorías de Seguridad3. Ontología de Seguridad4. Demo5. Conclusiones y Trabajos Futuros6. Bibliografía
![Page 4: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/4.jpg)
Estudio DigiWorld Analiza los beneficios producidos en el mercado
económico de las Tecnologías de la Información ylas Telecomunicaciones en Europa
En el año 2009: Beneficios de mas de 900.000Millones de euros en el mercado económicobasado en las TIC.
Subida frente a 2008 de casi un 6%
![Page 5: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/5.jpg)
NO.
Los beneficios producidos por las empresas delsector de las TIC están constantemente enpeligro, debido a los numerosos ataques de“hackers” que reciben.
![Page 6: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/6.jpg)
![Page 7: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/7.jpg)
Realizando auditorías de seguridad eimplantando sistemas seguros.
Para ello nacieron en la década de los 90empresas especializadas en el sector de laseguridad.
Estas empresas generaron solo en España640.000.000€ en 2008
![Page 8: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/8.jpg)
Malware: utilizando software malicioso para conseguir enel peor de los casos el control de las máquinas.
Exploits: aprovecharse de vulnerabilidades en el softwarede la organización (normalmente bases de datos ysistemas operativos no actualizados) para modificar orobar datos.
Ataques web: inyectando código en las zonas malprotegidas de un sitio web.
Curiosidad: investigando las zonas no protegidas de unaorganización de forma manual o con automatizaciones desoftware.
![Page 9: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/9.jpg)
Auditoría de Seguridad
Securización de las
vulnerabilidades encontradas en
la auditoría
Sistema Seguro
![Page 10: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/10.jpg)
1. El estado de la informática en la actualidad
2. Auditorías de Seguridad3. Ontología de Seguridad4. Demo5. Conclusiones y Trabajos Futuros6. Bibliografía
![Page 11: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/11.jpg)
Auditoría de Seguridad
Auditoría de Aplicaciones Web
Auditoría interna
Caja Negra
Caja Blanca
Caja Gris
![Page 12: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/12.jpg)
Ataques web: Pruebas para comprobar la seguridad de las aplicaciones
web de una empresa. Se revisan exploits y vulnerabilidades web:
▪ sql injection▪ ldap injection▪ xpath injection▪ cssp (connection string parameter pollution)▪ local file inclusion▪ remote file inclusion▪ ejecución de comandos con manipulación de tokens tipo && ; y ``▪ path disclosure▪ path transversal▪ XSS (Cross-site scripting)
![Page 13: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/13.jpg)
Caja Negra
No poseemos conocimiento ninguno sobre la organización. Se realiza desde fuera de la red interna. Objetivo: averiguar que puede conseguir un
“hacker” desde fuera de la empresa
Caja Gris
Entre auditoría de caja negra y caja blanca. Se realiza desde la red interna pero con credenciales de usuario corriente. Objetivo: escalar privilegios a
Administrador y proseguir con auditoría de caja blanca.
Caja Blanca
Tenemos conocimientos y credenciales de administrador interno de la empresa. Se realiza desde la red interna. Objetivo: averiguar que puede conseguir un empleado malintencionado desde dentro de la empresa y
poner soluciones.
![Page 14: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/14.jpg)
Dependiendo del tamaño de la organización y de los tipos de auditoría seleccionadas. De media unos 120.000€
No. La auditoría es necesaria para verificar la seguridad de una organización.
![Page 15: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/15.jpg)
Tras realizar la auditoría de seguridad, esnecesario securizar el sistema, protegiendolas vulnerabilidades encontradas, trabajo queNO va incluido dentro de la auditoría y que seabonaría aparte.
Éste coste podría ser ahorrado por laorganización si su propio personal seencargase de la securización del sistema.
Securización de las
vulnerabilidades encontradas en
la auditoría
![Page 16: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/16.jpg)
1. El estado de la informática en la actualidad2. Auditorías de Seguridad
3. Ontología de Seguridad4. Demo5. Conclusiones y Trabajos Futuros6. Bibliografía
![Page 17: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/17.jpg)
Mediante un software que ayude a losusuarios a solucionar las vulnerabilidades delsistema.
En este proyecto se ha definido unaOntología de seguridad y se ha desarrolladouna aplicación para ayudar a los usuarios aproteger un sistema tras una fase deauditoría. Ahorrando así dinero a la empresa.
![Page 18: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/18.jpg)
Auditoría de Seguridad
Securización de las
vulnerabilidades encontradas en
la auditoría
Sistema Seguro
Auditoría de Seguridad
ONTOLOGÍA DE
SEGURIDAD
Sistema Seguro
![Page 19: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/19.jpg)
Al estilo “google”, indicándole a la aplicaciónlas vulnerabilidades que se nos han indicadoen el informe de la auditoría, nos detalla lasolución que debemos aplicar.
Conseguimos:
Sistema Seguro
![Page 20: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/20.jpg)
La Ontología ha sido diseñada para resolverlas vulnerabilidades encontradas en la fase deAuditoría web y en la fase de Caja Negradentro de la Auditoría Interna, omitiendo lasfases de Caja Blanca y Caja Gris por su granextensión.
Contiene mas de 50 soluciones avulnerabilidades.
![Page 21: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/21.jpg)
![Page 22: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/22.jpg)
La Ontología es capaz de dar solución a las siguientesvulnerabilidades web sql injection (PHP+MySQL). sql injection (JAVA). sql injection (C#, SQL Server). ldap injection. xpath injection. cssp (connection string parameter pollution). local file inclusión. remote file inclusion (PHP). path disclosure. path traversal.
![Page 23: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/23.jpg)
La Ontología es capaz de dar solución a lassiguientes vulnerabilidades producidas pordescuidos de Footprinting Fuzzing http
Fuzzing dns
Whois
Transferencia de zona
Mostrar banner por defecto del servidor
Error 404 no controlado
Metadatos en documentos web
![Page 24: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/24.jpg)
La Ontología es capaz de dar solución a las siguientes vulnerabilidadesproducidas por descuidos de Fingerprinting
Puertos abiertos extraños.
Puertos abiertos innecesarios
Y a los siguientes Exploits:
Buffer Overflow.
Race condition.
Format string Bugs.
XSS
sql injection (PHP+MySQL)
sql injection (JAVA)
sql injection (C#, SQL Server)
CRLF (Inyección de caracteres).
![Page 25: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/25.jpg)
La Ontología es capaz de dar solución a los siguientes tipos deMalware Adware Backdoor Badware alcalino Bomba fork Botnet Crackers Cryptovirus Dialers Hoaxes, Jokes o Bulos Keylogger Virtual crab o Ladilla virtual Leapfrog
Parásito informático Pharming Phising Pornware Riskware Rootkit Spam Spyware Troyano Worms
![Page 26: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/26.jpg)
Pregunta: ¿Qué antimalware elimina el malware rootkit?
Antimalware + Elimina el malware: + contains + Rootkit
Respuesta: La solución es identificarlos mediante antirootkits como ICE SWORD oROOTKIT REVEALER
Pregunta: ¿Qué solución a exploit soluciona el error producido por un sql injection?
Solución a exploit + soluciona el error + contains + sql injection (C#, SQL Server)
Respuesta: Parametrizar los string que inserta un usuario como variables, para que laBBDD las interprete únicamente como texto y no las ejecute
Pregunta: ¿Qué suceso produce el malware Keylogger?
Suceso producido por malware + nombre malware + contains + keylogger
Respuesta: Programa espía que intenta robar las contraseñas leídas mediante pulsacionesen el teclado
![Page 27: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/27.jpg)
Pregunta: ¿Qué protección a Footprinting protege a la fuga de datos por metadatosalojados en los documentos web?
Protección Footprinting + Protege frente a: + contains + Metadatos en documentos web
Respuesta: Siempre hay que eliminar los metadatos de los documentos antes de subirlos aun servidor, o sino instalar una herramienta como Meta Shield Protector(www.metashieldprotector.com) que elimina los metadatos de los documentos en tiemporeal antes de que sean descargados por un usuario.
Pregunta: ¿Qué solución a error web soluciona el “remote file inclusion”?
Solución a error web + soluciona el + contains + remote file inclusión (PHP)
Respuesta: Comprobar que el fichero solicitado en la URL tiene la extensión .PHP y que seencuentra dentro del directorio donde se encuentra alojado el sitio web y sino rechazar lapetición web
![Page 28: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/28.jpg)
La implementación del software ha sidorealizada con la aplicación Protégé.
![Page 29: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/29.jpg)
1. El estado de la informática en la actualidad2. Auditorías de Seguridad3. Ontología de Seguridad
4. Demo5. Conclusiones y Trabajos Futuros6. Bibliografía
![Page 30: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/30.jpg)
![Page 31: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/31.jpg)
![Page 32: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/32.jpg)
![Page 33: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/33.jpg)
![Page 34: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/34.jpg)
![Page 35: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/35.jpg)
![Page 36: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/36.jpg)
1. El estado de la informática en la actualidad2. Auditorías de Seguridad3. Ontología de Seguridad4. Demo
5. Conclusiones y Trabajos Futuros6. Bibliografía
![Page 37: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/37.jpg)
La Ontología de Seguridad ahorraría bastantedinero a las empresas, que podrían prescindirde los servicios de personal externo paraimplantar un sistema seguro tras una fase deauditoría
Como trabajo futuro se propone aumentar labase de datos del conocimiento de laOntología a las fases de Caja Gris y CajaBlanca de la fase de Auditoría Interna.
![Page 38: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/38.jpg)
1. El estado de la informática en la actualidad2. Auditorías de Seguridad3. Ontología de Seguridad4. Demo5. Conclusiones y Trabajos Futuros
6. Bibliografía
![Page 39: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/39.jpg)
Informe DigiWorld 2009, http://www.enter.ie.edu/enter/cms/es/informe/7049/1, Junio 2009. Enter, http://www.enter.ie.edu/, 2009. Idate, http://www.idate.fr/, 2009. Francisco Ros. El sector de la seguridad informática en España generó 640 millones de euros el año
pasado, http://www.dicyt.com/noticias/el-sector-de-la-seguridad-informatica-en-espana-genero-640-millones-de-euros-el-ano-pasado, Octubre 2008.
ISO/IEC 27001:2005, http://www.iso27001security.com/, 2009 OSSTMM, http://www.isecom.org/osstmm/, Noviembre 2009. OWASP, http://www.owasp.org/, Diciembre 2009. Sql inyection: http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL, Diciembre 2009. Blind sql inyection: http://es.wikipedia.org/wiki/Blind_SQL_injection, Diciembre 2009. XSS, Cross-Site Scripting: http://es.wikipedia.org/wiki/Cross-site_scripting, Noviembre 2009. Buffer Overflow: http://es.wikipedia.org/wiki/Desbordamiento_de_b%C3%BAfer, Octubre
2009. Chema Alonso, Rodolfo Bordón, Marta Beltrán y Antonio Guzmán. LDAP Injection Techniques,
ICCS 2008, Guangzho (China), Noviembre 2008 Antonio Guzmán, Marta Beltrán, Chema Alonso y Rodolfo Bordón. LDAP Injection and Blind
LDAP Injection, Collecter 2008, Madrid (España), Junio 2008 Chema Alonso, Rodolfo Bordón, Daniel Katchakil, Antonio Guzmán y Marta Beltrán. Blind SQL
InjectionTime-based Using Heavy Queries: A practical Approach for MS SQL Server, MS Access, Oracle and MySQL Databases, IASK 2007, Oporto (Portugal), Diciembre 2007
Seth Fogie, Jeremiah Grossman, Robert Hansen, Anton Rager, Petko D. Petkov. XSS Attacks: Cross Site Scripting Exploits and Defense (Paperback)
Juan Garrido Caballero, Análisis forense digital en entornos Windows. 2008 Protege: http://protege.stanford.edu/, 2009.
![Page 40: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/40.jpg)
![Page 41: Presentacion Ontología de Seguridad para la securización de sistemas](https://reader034.vdocuments.pub/reader034/viewer/2022052622/55957de51a28abfc028b46bb/html5/thumbnails/41.jpg)