VULNERABILIDADES DE LOS SISTEMAS AGENDAS ELECTRNICAS

INFORMTICOS

Las agendas electrnicas como los mviles pueden resultar vulnerables a conexiones no autorizadas realizadas mediante el puerto de infrarrojos o a travs de la tecnologa Bluetooth. VULNERABILIDADES QUE AFECTAN A PROGRAMAS Y APLICACIONES INFORMTICAS 1) SISTEMAS OPERATIVOS, SERVIDORES Y BASES DE DATOS Durante estos ltimos aos se han descubierto multitud de fallos y vulnerabilidades en todos los sistemas operativos del mercado: las distintas versiones de Windows de Microsoft, las familias de Linux, MacOS, etc. Tambin existen vulnerabilidades en gestores de bases de datos como Oracle o SQL Server. No se debe olvidar las innumerables vulnerabilidades en otras aplicaciones y servicios crticos en muchas redes informticas como servidores Web, servidores FTP, servidores de correo electrnico como Sendmail. 2) NAVEGADORES Se presentan multitud de problemas y fallos de seguridad en los navegadores ms populares: Internet Explorer de Microsoft, Netscape, Opera o Firefox. La vulnerabilidad de falsificacin de URLs en Internet Explorer permiti crear pginas maliciosas para engaar a sus usuarios, hacindoles creer que se encontraban en una pgina Web distinta a la que realmente estaban visualizando, la misma que fue corregida. Tambin se conoce que el navegador Internet Explorer tena un grave problema de seguridad al mostrar en pantalla las imgenes con el formato JPEG la cual podra ser explotada por los creadores de virus y otros cdigos dainos para atacar los equipos afectados. 3) APLICACIONES OFIMATICAS COMO WORD O EXCEL Estas aplicaciones se han visto afectadas por agujeros de seguridad que permitan acceder a informacin sensible en el equipo de la vctima, ejecutar cdigo mediante lenguajes de macros sin tener en cuenta las medidas de proteccin contra macros, etc.

En el ao 2002 el procesador de texto Word presentaba un fallo que podra permitir el robo de archivos mediante la introduccin de un documento con un cdigo oculto. As mismo se daba a conocer otra vulnerabilidad en la hoja de clculo Excel de Microsoft donde un fichero malicioso podra provocar que la propia aplicacin Excel descargase y ejecutase en el sistema cualquier tipo de archivo ejecutable. 4) OTRAS UTILIDADES Y APLICACIONES INFORMTICAS Se encontraron vulnerabilidad en compresores como WinZip o en aplicaciones de tratamiento de imgenes, en los reproductores de ficheros de audio. Tambin los juegos con mdulos de comunicacin en red donde se aadan nuevos jugadores a una partida saltndose las medidas de seguridad del servidor. El popular reproductor multimedia Macromedia Flash Player tambin fue objeto de vulnerabilidades y debido a esto un atacante malintencionado podra lograr la ejecucin de cdigo arbitrario de forma remota, comprometiendo de este modo los equipos con versiones no actualizadas del reproductor Flash. RESPONSABILIDAD DE LOS DESARROLLADORES DE SOFTWARE En los ltimos aos se han desatado las crticas contra los fabricantes de software y de equipos informticos, a raz de las continuas vulnerabilidades descubiertas en sus productos y a las consecuencias cada vez ms graves que stas provocan a sus usuarios. Presentndose demandas para reclamar indemnizaciones por daos y perjuicios contra alguno de estos fabricantes por ejemplo Microsoft. HERRAMIENTAS PARA LA EVALUACIN DE VULNERABILIDADES 1) ANLISIS Y EVALUACIN DE VULNERABILIDADES Una organizacin puede utilizar herramientas para la evaluacin de vulnerabilidades, que permitan conocer la situacin real de un sistema y mejorar su seguridad, verificando que los mecanismos de seguridad funcionan correctamente. Con la informacin obtenida de estas herramientas es posible justificar la implantacin de nuevas medidas de seguridad y la obtencin de ms recursos econmicos, as como priorizar las medidas a implantar en funcin de las vulnerabilidades detectadas, seleccionando aquellas que resulten ms adecuadas teniendo en cuenta la relacin coste-beneficio. Se deberan analizar los siguientes aspectos: Parches del Sistema Operativo

Seguridad del Sistema de Ficheros Cuentas de usuarios Servicios y aplicaciones instaladas Protocolos y servicios de red Control de accesos a los recursos Registro y auditoria de eventos Configuracin de las herramientas de seguridad, antivirus, cortafuegos personales, gestores de copias de seguridad.

Para garantizar el xito de las pruebas realizadas en el sistema se debe tener en cuenta lo siguiente: Definicin del alcance y objetivos de las pruebas a realizar. Conocimiento y experiencia del equipo que analiza las vulnerabilidades y realiza las pruebas de intrusin en el sistema Nivel de automatizacin de las pruebas realizadas contando con el apoyo de las herramientas y metodologas adecuadas. Actualizacin peridica de la base de datos de vulnerabilidades a analizar. Controlar y limitar los posibles riesgos que se deriven de las pruebas. Realizacin de las pruebas de forma peridica o en momentos puntuales. Registrar las puntuaciones y resultados obtenidos en las distintas pruebas realizadas, para poder analizar la evolucin en el tiempo de la seguridad en la organizacin. As mismo es importante elaborar una completa documentacin con los resultados de las pruebas, constituida por lo menos por estos dos tipos de documentos. Resumen ejecutivo dirigido a personal no tcnico, con una breve descripcin de los trabajos realizados y las principales conclusiones y recomendaciones, de forma clara y sencilla. Informe tcnico detallado, que describa el sistema objeto de estudio y los recursos analizados, todas las pruebas realizadas, las vulnerabilidades que han sido detectadas y las medidas propuestas para remediarlas y mejorar la seguridad del sistema. 2) EJECUCIN DE TESTS DE PENETRACIN EN EL SISTEMA El test de penetracin representa una valiosa herramienta metodolgica. Un test de penetracin consta de las siguientes etapas: Reconocimiento del sistema para averiguar qu tipo de informacin podra obtener un atacante o usuario malicioso.

 Escaneo propiamente dicho, consistente en la deteccin y verificacin de vulnerabilidades en servidores estndar y en aplicaciones desarrolladas por la propia organizacin. Penetracin: intento de explotacin de las vulnerabilidades detectadas. Generacin de informes, con el anlisis de los resultados y la presentacin de las conclusiones sobre la seguridad del sistema informtico. Limpieza del sistema, para restaurar la situacin inicial. Existen dos test: 1. Test de penetracin externo: Se realizan desde el exterior de la red de la organizacin. 2. Test de penetracin interno: Se llevan a cabo desde el interior de la red de la organizacin, mediante pruebas como el anlisis de los protocolos utilizados y de los servicios ofrecidos.