Sesión 12: Práctica de análisis forense con Autopsy

En esta práctica vamos a aprender a usar Autopsy. Así pues, dicho programa nos permite realizar un análisis forense de discos duros, imágenes de disco, teléfonos móviles, archivos lógicos, etc. Además, este programa nos permite conocer el historial web, los archivos usados más recientes, los programas instalados en un dispositivo, recuperar los archivos borrados, etc.

Ejercicio 1

En primer lugar, descargué el programa en mi ordenador, pero tras realizar el análisis del primer archivo, había algún error y me salían 32 correos en vez de 38. Así pues, decidí usar el programa que se encuentra en el escritorio de criminología de MyApps. Aún así, debo decir que sigue habiendo algún error, ya que el programa solo localiza 35 correos. Sin embargo, lo importante es saber hacerlo y comprender el funcionamiento del programa así que he decidido sacar los informes a pesar de los errores.

De esta manera lo primero que debemos hacer es crear un nuevo caso. Seguidamente le doy el nombre de “Prácticas de análisis forense”. También debo asignarle un número al caso así que lo número según la fecha de hoy: 15052021. A continuación, debo señalar que el tipo de fuente de datos que voy a analizar es una imágen de disco. Una vez indicado el tipo de fuente, deberemos señalar el directorio en el que hemos guardado el archivo “nps-2010-emails.E01”, en mi caso lo he guardado en descargas. Así pues, una vez señalemos que queremos aplicar todos los módulos de ingesta y le demos a “Next”, empezará el análisis.

Finalizado el análisis vemos que como comentaba solo se hallan 35 emails. Lo interesante es que si analizamos los emails podemos ver los documentos adjuntos de los mismo y si pulsamos sobre ellos veremos quién es su autor, cuándo se creó el archivo, cuándo se modificó, etc. Además, vemos que hay un lugar donde podemos observar que se han borrado varios archivos, 3 en concreto.

Para señalar que hemos realizado el ejercicio correctamente, debemos generar un informe pulsando en “Generate report”. Así pues, se nos proporcionará un enlace con el informe. A continuación podemos ver el resumen del mismo:

Ejercicio 2

En este ejercicio analizaremos la carpeta “directorios_ficheros”. Para ello no debemos crear un caso nuevo, sino que debemos pulsar en “Add Data Source” y señalar que “Logical Files” como fuente de los nuevos datos. Así pues, debemos señalar la ruta en la que se encuentra dicha carpeta y a continuación debemos seleccionar la aplicación de todos los módulos de ingesta. Una vez que le demos a "Next", el programa analizará la carpeta seleccionada.

De esta manera, sin nos dirigimos a “View → File Types”, podemos buscar los archivos por la extensión de los mismos o por su MIME Type. Así pues, en el caso de que la extensión sea JPEG podemos ver de qué imágenes se tratan. De la misma manera, podemos analizar qué documentos se encuentran tras el análisis como archivos ofimáticos o PDF.

Tal y como hemos hecho en el ejercicio anterior, generaremos un informe para dejar constancia del análisis. Como vemos en el informe, en este salen los resultados del análisis del ejercicio anterior (la imagen de disco) y los de este:

Ejercicio 3

Este ejercicio consistirá en realizar el análisis de dos imágenes, una de un Sistema Operativo Windows y la otra de una cámara de fotos. Puesto que en la captura del informe proporcionada en las instrucciones de la práctica salen las 4 fuentes analizadas a lo largo de todos los ejercicios, he decidido no crear un nuevo caso y realizar el análisis de todos los archivos en un mismo caso.

Así pues, en primer lugar vamos a añadir la imagen “nps-2008-jean.E01.” Para ello, una vez hemos seleccionado “Add Data Source”, indicaremos que la fuente se trata de una imagen de disco. A continuación debemos indicar la ruta en la que se encuentra dicha imagen. En mi caso se encuentra en “R:\Downloads\imagenes_practicas\nps-2008-jean.E01” y así lo indico. Al igual que hemos hecho las otras veces, seleccionamos todos los módulos de ingesta y le damos a “Next”. A diferencia de los demás análisis, este parece tardar mucho más, lo cual se pueda deber a que su peso es mayor, ya que se trata de una imagen de un Sistema Operativo.

Una vez finalizado el análisis, podemos observar que la imagen tiene 3 volúmenes. El primero y el tercero se tratan de “Unallocated Space”. Esto quiere decir que contienen todo aquello que no se usa incluidos archivos eliminados.

Así pues, generaremos un informe para dejar constancia del progreso de la práctica. Creo que ha habido algún error, ya que a pesar de que el análisis ha finalizado, no puedo ver ni las búsquedas de web, ni las cookies, ni el historial, etc. A pesar de que intenté rehacer la práctica varias veces para que me salieran los mismos resultados que se proporcionan en las instrucciones, el resultado era el mismo, así que tuve que optar por seguir a pesar de los errores:

Finalmente, pulsaremos “Add Data Source” para proceder con el análisis de la imagen “nps-2009-canon2-gen2.E01”. Así pues, volveremos a indicar que se trata de una imagen de disco. Además señalaremos que la ruta en la que se encuentra es “R:\Downloads\imagenes_camara\nps-2009-canon2-gen2.E01”. Tras volver a seleccionar que queremos aplicar todos los módulos de ingesta, le daremos a “Next” para que se lleve a cabo el análisis. Esta vez vemos que la imagen contiene dos volúmenes, uno de los cuales se trata de un Unallocated Space. El volumen 2 contiene una carpeta llamada “100CANON” en la que podemos hallar una serie de imágenes. Lo interesante es que no solo podemos ver de qué imagen se trata sino que podemos ver cuando se creó, con que modelo de cámara se tomó, etc. Además, vemos que en esa carpeta se borraron 3 imágenes.

Una vez hemos realizado el análisis pertinente, generaremos un informe para dejar constancia de lo encontrado. Como veremos a continuación, ha habido algún fallo en los análisis, ya que el informe conjunto de todas las fuentes está incompleto, Sin embargo, espero haber reflejado que me he familiarizado con el programa y que he dedicado bastante tiempo para comprender e indagar en los resultados del análisis y en su funcionamiento:

Sesión 10: Redes Botnet

 Actividad 1: comprobando si formamos parte de una red botnet

Antes de nada, volvamos a refrescar que es una red botnet. Este término hace referencia a una red de equipos infectados con un malware que permite el control remoto de nuestros dispositivos. Este malware obliga a dichos dispositivos a enviar spam, propagar virus o realizar DDoS sin que estos sean conscientes de ello y, por consiguiente, sin su consentimiento.

Probablemente ha habido un error, pues en esta actividad se nos pide lo mismo que en la actividad 4 de la sesión 9. Aún así, volvamos a repetir el proceso para comprobar que nuestro ordenador sigue siendo seguro. Para ello debemos pulsar en comprueba tu conexión Chequear tu conexión y aceptar las condiciones de uso y privacidad. Una vez hemos aceptado, le damos a chequea mi conexión y la plataforma comprobará si formamos parte de una botnet.

Como podemos ver en la captura, mi portátil no forma parte de una botnet. Además, podemos ver que si queremos podemos instalar una extensión para Chrome y/o Firefox. Este plugin realiza chequeos periódicos y nos avisaría automáticamente si detectara que formamos parte de una botnet.

Sesión 8: Prácticas sobre amenazas y vulnerabilidades

Actividad 1: Identificando a que dimensión de la seguridad afectan las diferentes amenazas 

En esta actividad voy a indicar a que dimensión de la seguridad planteada por el modelo CIA afectan cada una de las amenazas propuestas en el catálogo de amenazas de la hoja del INCIBE que ya trabajamos en una práctica de una sesión anterior.

Antes de nada, recordemos que dimensiones presentaba el modelo CIA:

• Confidencialidad (confidentiality): según dicho principio tan solo los propietarios de la información y personal autorizado pueden acceder y manipular los datos.
• Integridad (integrity): este principio determina que se debe asegurar que los datos no se vean modificados de forma incorrecta, tanto por error como con intención maliciosa.
• Disponibilidad (avaialability): este establece que los datos deben estar disponibles en cualquier momento para aquellos usuarios autorizados.

Amenazas	Dimensión afectada
Fuego	Disponibilidad
Daños por agua	Disponibilidad
Desastres naturales	Disponibilidad
Fuga de información	Confidencialidad
Introducción de falsa información	Integridad
Alteración de la información	Integridad
Corrupción de la información	Integridad
Destrucción de la información	Disponibilidad
Interceptación de la información (escucha)	Confidencialidad
Corte de suministro eléctrico	Disponibilidad
Condiciones inadecuadas de temperatura o humedad	Disponibilidad
Fallo de servicios de comunicaciones	Disponibilidad
Interrupción de otros servicios y suministros esenciales	Disponibilidad
Desastres industriales	Disponibilidad
Degradación de los soportes de almacenamiento de la información	Disponibilidad
Difusión de software dañino	Confidencialidad, Integridad y Disponibilidad (depende del tipo de malware)
Errores en el mantenimiento/actualización de programas (software)	Integridad y Disponibilidad (podría llegar a afectar a la confidencialidad ya que esta amenaza aumenta la vulnerabilidad de nuestro equipo y facilitar que un atacante acceda a nuestra información)
Errores en el mantenimiento/actualización de equipos (hardware)	Integridad y Disponibilidad (podría llegar a afectar a la confidencialidad ya que esta amenaza aumenta la vulnerabilidad de nuestro equipo y facilitar que un atacante acceda a nuestra información)
Caída del sistema por sobrecarga	Disponibilidad
Pérdida de equipos	Confidencialidad (si un tercero los encuentra y accede a la información) y Disponibilidad
Indisponibilidad del personal	Disponibilidad
Abuso de privilegios de acceso	Confidencialidad (si aprovecha sus privilegios para filtrar información) e Integridad
Acceso no autorizado	Confidencialidad e Integridad (si el que accede modifica la información)
Errores de los usuarios	Integridad y Disponibilidad (su error podría facilitar la aparición de otra amenaza que ataque la Confidencialidad)
Errores del administrador	Integridad y Disponibilidad (su error podría facilitar la aparición de otra amenaza que ataque la Confidencialidad)
Errores de configuración	Integridad y Disponibilidad (dicho error podría facilitar la aparición de otra amenaza que ataque la Confidencialidad)
Denegación de servicio	Disponibilidad
Robo	Confidencialidad
Indisponibilidad del personal	Disponibilidad
Extorsión	Confidencialidad
Ingeniería social	Confidencialidad, Integridad y Disponibilidad

Actividad 2: estimando tiempos

Para realizar dicha actividad debemos fijarnos en la hoja de cruces amenazas-activos. Además, debemos en fijarnos en los activos que consideramos en la práctica de la sesión 5 y que pertenecían a mi pequeña empresa de construcción. Así pues, en mi empresa identifiqué 26 activos diferentes, para cada activo hemos de considerar si cada una de las 31 amenazas ofrecidas les afecta o no. De esta manera, en mi opinión, para ponderar si una amenaza afecta o no a un activo podemos usar unos 10 segundos de media. Es decir, no es una tarea complicada. Simplemente debemos imaginarnos mentalmente que le pasa a ese activo si se da x amenaza (ej. ¿Si hay un incendio mis ordenadores se verán afectados? Si, se verán afectados). Claramente, con algunos cruces tardaremos muy poco (como en el ejemplo anterior) y en otros tardaremos más (ej. ¿Un error de un usuario puede llegar a afectar a mi equipo o hardware?), de ahí que hablemos de una media de 10 segundos para cada caso hipotético.

Teniendo todo lo anterior en cuenta, vamos a tener que ponderar 806 cruces (31x26). Para ponderar esos 806 cruces vamos a tardar unas 2h y 15 min aproximadamente. Podríamos plantearnos agrupar activos, por ejemplo, los activos de la información podrían agruparse en subcategorías, lo cual reduciría mucho el tiempo que deberíamos dedicar a dicha actividad. Sin embargo, puesto que los 13 diferentes activos de la información que planteé tienen valores diferentes no aconsejaría unirlos ya que el daño derivado de los cruces sería diferente.

Actividad 3: Vulnerabilidades de Microsoft y utilidad del CVE

Aunque ya hicimos esta actividad en otra sesión se nos pide volver a analizar una vulnerabilidad de Microsoft brevemente. Personalmente he elegido aquella que fue publicada el 14 de Marzo de 2017 y hace referencia a una vulnerabilidad hallada en Adobe Flash Player.

Como podemos ver, nos dice que esta actualización que implica un conjunto de vulnerabilidades a las que se refiere con su código CVE (más adelante explicaremos que es este código). Más tarde, nos indican que dicha vulnerabilidad es crítica y puede facilitar el control remoto de nuestro dispositivo y la ejecución remota del mismo. Así pues, se daría cuando Adobe Flash Player está instalado en un equipo con ediciones de software Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10, and Windows Server 2016. Como podemos ver, para cada edición se nos ofrece un enlace para poder actualizar nuestro software y así parchear la vulnerabilidad presentada. Nos explican que un atacante puede explotar estas vulnerabilidades de formas muy diversas: aprovechando una página web especialmente diseñada para ello y haciendo que el usuario acceda a la misma, infectando un archivo o una aplicación, aprovechando páginas webs que permiten poner pop ups, etc.

A continuación nos indican varias formas de mitigar la explotación de la vulnerabilidad. Una de ellas sería no acceder a páginas sospechosas, no abrir correos sospechosos, etc. Finalmente, nos enseñan a cambiar la configuración de nuestro equipo para bloquear estos ataques sin necesidad de parchear la vulnerabilidad. Así pues, nos indican como inactivar el Adobe Flash Player, impedir que este se active en Internet Explorer, etc. Aunque dichas indicaciones pueden ser muy útiles, lo más aconsejable es parchear la vulnerabilidad para así evitar riesgos innecesarios.

Para acabar esta actividad, vamos a centrarnos en la definición y la utilidad del código CVE, siglas que hacen referencia a Common Vulnerabilities and Exposures. Estos no son más que identificadores únicos con los que se catalogan las vulnerabilidades que se van descubriendo. Dicha codificación la llevan a cabo las CVE Numbering Authority (CNA). La principal de estas CNA es MITRE (quién además mantiene el catálogo). Sin embargo otras CNA contribuyen a la numeración 18 fabricantes de software (ej. Adobe) y tres coordinadores de seguridad.

De esta manera cuando se descubre una nueva vulnerabilidad, la CNA asigna un CVE candidato. Una vez se ha dado un código se necesita revisar y estudiar la vulnerabilidad para darle una solución eficaz. Si esta vulnerabilidad se confirma y publica, dicho código se vuelve oficial. Así pues, este código permite que diferentes entidades se refieran a una vulnerabilidad de la misma forma. Esto facilita la coordinación y evita conflictos o malos entendidos.

Las vulnerabilidades tratadas en el boletín que he expuesto son las siguientes: CVE-2017-2997, CVE-2017-2998, CVE-2017-2999, CVE-2017-3000, CVE-2017-3001, CVE-2017-3002, CVE-2017-3003.

Así pues, fijémonos en la primera: CVE-2017-2997. Las tres primeras siglas indican que la numeración posterior hace referencia a una vulnerabilidad confirmada y publicada. Los cuatro siguientes números señalan el año en que se descubrió dicha vulnerabilidad: 2017. Finalmente, los últimos 4 números son el identificador único e inequívoco de la vulnerabilidad hallada.

Actividad 4: Security Focus

Si accedemos a la página web de Security Focus y buscamos nuestro CVE anterior (CVE-2017-2997), podemos ver que dicha página nos ofrece una información mucho más esquemática. Así pues nos indica si la vulnerabilidad puede ser explotada localmente o de forma remota y quien la descubrió o publicó. Además nos proporciona una lista mucho más larga de los software que se pueden ver afectados. Además, nos indica aquella versión de Adobe Flash Player que no es vulnerable: Adobe Flash Player 25.0.0.127. Nos indica formas de explotar la vulnerabilidad y si hay solución. De haber solución, nos remite a la fuente primaria que ha proporcionado el parche.

Así pues, podemos decir que es una base de datos que contiene todas las vulnerabilidades publicadas bajo su código CVE, lo cual facilita la accesibilidad a dicha información por parte de los usuarios y desarrolladores. Además, pone a la disposición de los interesados una plataforma para poder discutir e informar sobre las diferentes vulnerabilidades. La última vulnerabilidad (CVE-2019-1010241) publicada data del 26 de julio de 2019 y hace referencia a una vulnerabilidad que facilita la divulgación o revelación de información al usar tus credenciales para acceder a Jenkins.

Actividad 5: posibles vulnerabilidades en el aula de informática según el CCN

En la página del CNN no solo se nos ofrecen boletines sobre diferentes vulnerabilidades clasificadas según diferentes categorías, sino que podemos hallar noticias referentes al ámbito de la ciberseguridad.

Puesto que los ordenadores de la universidad usan Windows como sistema operativo, se podrían ver afectados por aquellas vulnerabilidades que refieren a Microsoft. Además como el aula virtual a la que acceden profesores y alumnos es de la plataforma Moodle, también se pueden ver afectados por aquellas vulnerabilidades que hacen referencia a dicha plataforma. Además, probablemente se vean afectados por aquellas que refieren a Adobe ya que lo más probable es que los ordenadores cuenten con alguna versión de este software.

Sesión 11: egarante mail y web

 Actividad 1: práctica testigo online "eGarante Mail"

Hay veces en que necesitamos certificar que un correo ha sido enviado ya que si no más tarde podríamos tener problemas. Por ejemplo, tal vez enviemos un informe o un contrato y el destinatario lo borra y dice no haberlo recibido. En esos casos, a no ser que contemos con un certificado con validez legal, podríamos llegar a tener problemas. Por ello, la plataforma que vamos a usar en esta actividad, eGarante, es sumamente valiosa en estos casos. Dicha plataforma te proporciona un certificado que indica que el correo ha sido enviado, quien es su emisor, su receptor, el contenido, los archivos adjuntos, la fecha indubitada en la que se produjo la certificación y se confirma al servidor de correo del destinatario de una copia idéntica del mensaje original.

Así pues, vamos a poner en práctica este proceso. En primer lugar, voy a abrir mi cuenta de correo de la universidad y voy a crear un correo nuevo. Como destinatarios del mismo voy a poner mi cuenta de hotmail y añadiré también a mailsigned@egarante.com para así poder certificar este correo. Como asunto, voy a poner "Prueba". Además, voy a adjuntar un archivo cualquier, en mi caso he seleccionado un archivo pdf llamado "Comentario Crítico - Sansó Vert, Maria Magdalena". Así pues, nuestro correo nos que daría de la siguiente manera:

Seguidamente, le damos a enviar. Tras enviarlo nos llega un correo con la certificación del correo que hemos enviado:

En dicho correo hayamos dos archivos adjuntos. Aquel que vemos como original no es más que una copia del correo enviado que facilita la correspondencia de la certificación con el correo que la ha originado:

En el segundo archivo adjunto, se encuentra la certificación oficial. En la primera página del mismo podemos encontrar el correo del emisor, los datos del receptor, el asunto del correo, el fichero que se adjuntó en el mismo y si se ha verificado al destinatario y al origen de la evidencia. Además, la certificación está firmada electrónicamente . En la siguiente imagen podemos observar esta primera página del certificado:

En las siguientes páginas encontramos la transcripción exacta de la información intercambiada por los servidores del emisor y el receptor. Con esta podríamos reconstruir el mensaje original, de manera que si alguna de las dos partes hubiera modificado el contenido sería evidente.

Así pues, este certificado cuenta con validez legal y podría ser usado como prueba.

Actividad 2: práctica testigo online "eGarante Web"

En esta actividad, vamos a usar la misma plataforma que en la actividad q pero aplicada a una págnia web. A través de eGarante, obtendremos un certificado que contendrá la url de la página que queremos certificar y a la que hemos accedido, el contenido de la misma mediante una captura de pantalla que contiene los enlaces existentes en la página, la fecha y hora de acceso y una aclaración por parte de la plataforma de que este proceso se realiza desde unos servidores no manipulables por el interesado, es decir, por nosotros.

Cabe mencionar que esta herramienta es usada por la Guardia Civil para acreditar que existe un contenido ilícito en una página web de forma que dicha prueba tenga validez legal. De esta manera, si el administrador de la página, la eliminara, existiría una prueba de que la página eliminada o la información eliminada existían. No solo eso, esta plataforma puede ser muy útil para presentar denuncias ante la policía. Imaginemos que en Twitter alguien nos insulta, nos amenaza o cuelga contenido ilícito. Para denunciar, necesitamos presentar pruebas con validez legal y dicha certificación sería admitida como tal. Es un pena que mucha gente no sepa de su existencia pues en las redes sociales muchos menores reciben todo tipo de insultos o son víctimas de cyberbulling. Así pues, lo que pasa muchas veces es que cuando uno se decide y quiere denunciar, el agresor ya a eliminado los tweets. Por ello, lo mas importante cuando sufrimos este tipo de acoso es no contestar y obtener pruebas para poder denunciar.

Por otra parte, si vemos contenido ilícito pero no somos víctimas del mismo podemos llenar el formulario de la Guardia Civil de "Quiero informar" que hallaremos en el la página web del Grupo de Delitos Telemáticos www.gdt.guardiacivil.es y así quedará constancia del mismo. Por ejemplo, el año pasado había una cuenta de Twitter que se dedicaba a publicar fotos de menores con poca ropa y poses sugerentes. Además, los seguidores de la misma y el propietario hacían todo tipo de comentarios obscenos respecto a las menores. En estos casos lo mejor es rellenar este formulario y no limitarnos a denunciar la cuenta mediante la plataforma de la red social, ya que así se pone en conocimiento de las autoridades la existencia de este tipo de contenido ilícito. En caso de que seamos los afectados podemos obtener documentos certificados como pruebas para presentar nuestra denuncia.

Lo que vamos a realizar en el siguiente ejercicio es certificar una evidencia digital para acompañar la denuncia, por un delito contra el honor, de calumnias e injurias. Esto es muy común, pues en Twitter uno puede ser insultado y vejado. Para poder denunciar, necesitaremos certificar dichos contenidos mediante eGarante, como decíamos antes. Sin embargo, para la práctica vamos a usar una URL cualquiera. En mi caso, voy a hacerlo con la cuenta de un personaje público como el de la banda de música N.Flying. 

Así pues, lo primero que debo hacer es acceder a la cuenta de Twitter que me interesa certificar y copiar el URL. Seguidamente, debemos enviar un correo a websigned@egarante.com y pondremos de asunto el URL que hemos copiado y que nos interesa certificar. De esta manera, el correo nos quedaría así:

Así pues, debemos enviar el correo tan solo con dicha información. A continuación, recibiremos un correo de la plataforma (puede tardar unos minutos en llegar):

Como vemos, hay un archivo adjunto. Dicho archivo es el certificado firmado digitalmente. En la primera página del mismo, encontramos la URL que queremos certificar, la fecha en la que se ha certificado la misma y la dirección IP:

En las siguientes páginas hallaremos información adicional sobre el dominio. Seguidamente, se nos presentaran capturas de la página que queremos certificar. Debemos comprobar que lo que queremos denunciar está en las capturas. Por ello, cuando queremos certificar tweets concretos en los que hay calumnias o injurias lo mejor es certificar el tweet y no la cuenta de Twiter. Además, debemos remarcar que los enlaces que aparecen en las capturas son accesibles si pulsas encima de los mismos. De esta manera, si pulsamos sobre un tweet nos llevará al mismo, si pulsamos sobre el nombre de usuario nos redirigirá a este, si pulsamos encima de la página web oficial de la banda nos llevará a esta, etc.

Sesión 9: practicas sobre Malware

 Actividad 1: Analizando archivos en busca de malware

Para poder comprobar si un archivo almacenado en nuestro ordenador está infectado con malware, vamos a hacer uso del servicio online conocido como Virus Total.

El documento que he seleccionado para analizar es un archivo de un artículo llamado "La Prensa como Actor Colectivo en La Transición Española a La Democracia. El Ejemplo de Los Dos Editoriales Conjuntos" que descargué de Dialnet para un trabajo sobre los GRAPO y la transición. Así pues, he subido el archivo a Virus Total. Tras confirmar que se ha subido a la plataforma, esta ha analizado el archivo en busca de malware. Como veremos en la captura de este post, observaremos que se nos presenta una lista de posibles tipos de malware. Sin embargo, como vemos, la plataforma no detecta ninguno de ellos, por lo que nuestro archivo está libre de malware. Por otra parte, cabe mencionar que la plataforma ha sido incapaz de analizar el archivo en busca de algunos tipos de malware.

 Actividad 2: Software antivirus

Para comprobar si mi portátil está protegido por alguna solución de software antivirus, vamos a dirigirnos a "Centro de Actividades". Si hacemos esto, veremos la siguiente pantalla:

Para ver, que tipo de servicio de software de antivirus tiene nuestro dispositivo debemos pulsar sobre el "Ver en Seguridad de Windows" de debajo "Protección antivirus". Si hacemos esto, veremos la siguiente pantalla:

Una vez hecho esto, podemos ver que mi dispositivo está protegido por Kaspersky Internet Security, ya que cuento con una licencia anual.

Actividad 3: Vulnerabilidades de la Seguridad de Microsoft

Para acceder a un informe más actual que el proporcionado en el documento de la práctica, vamos a usar la página recomendada en clase del Centro Criptológico Nacional. Una vez en esta página, deberemos buscar los boletines referentes a la seguridad de Microsoft. Si hacemos esto veremos que el informe más actual data del 20 de Octubre de 2017.

Como vemos, este último boletín trata la vulnerabilidad de los componentes gráficos que podrían facilitar la fuga de información desde nuestro dispositivo. Así pues, nos relatan que esta se da si entramos a una página web que contiene archivos JPEG creados especialmente por los propios administradores de la página.  Así pues, un atacante podría aprovechar dicha vulnerabilidad para adquirir información sobre tu sistema y así usar los ataques adecuados para comprometer el sistema y la información que contiene. De esta manera, por si sola esta vulnerabilidad no permite que manipulen el contenido de nuestro dispositivo ni el sistema del mismo, pero como hemos dicho permite que se usen ataques acordes al sistema del ordenador facilitando así que nuestra información se pueda ver comprometida.

Para resolver dicha vulnerabilidad, es necesario cambiar como la memoria es inicializada y administrada cuando se descodifica un archivo JPEG.

A continuación nos ofrecen una lista de aquellas versiones de software que tendrían dicha vulnerabilidad. Entre los mismos podemos encontrar: Windows Server 2003 Service Pack 2, Windows Vista x64 Edition Service Pack 2, Windows Server 2008 for x64-based Systems Service Pack 2, etc.

Finalmente, nos informan de que no se han encontrado factores mitigantes ni "Workarounds". Es decir, que la vulnerabilidad no se puede reducir a menos que se actualice el sistema.

Por otra parte, he decidido acceder al boletín publicado el 14 de Septiembre de 2017 para explicar una vulnerabilidad más. Estos nos dicen, que a diferencia de la anterior, el tratamiento de esta vulnerabilidad es crítica. Así pues, la vulnerabilidad que se trata es sobre Internet Explorer. Es decir, si un usuario entra en una página web que ha sido creada especialmente para este propósito mediante el navegador de Internet Explorer, el atacante podría ejecutar códigos de forma remota en nuestro ordenador. De esta manera, el atacante tendría todos aquellos permisos de los que dispone el propio usuario, lo cual supone que puede acceder a todos la información de nuestro dispositivo. De esta manera, si el usuario afectado es el administrador del equipo el atacante incluso podría instalar programas, manipular archivos, crear cuentas bajo el nombre del usuario, etc. 

Para solucionar dicha vulnerabilidad sería necesario actualizar el sistema modificando como Internet Explorer y otras extensiones del mismo tratan los objetos almacenados en la memoria.

Igual que en la vulnerabilidad anterior, se nos proporciona una lista de los softwares que presentarían dicha vulnerabilidad, entre los que se encuentran: Windows Vista Service Pack 2, Windows Server 2012, Windows 7 for 32-bit Systems Service Pack 1, etc.

Además, con la actualización que se nos propone, además de solucionar esta vulnerabilidad, estaríamos actualizando protocolos de seguridad profunda y se eliminaría la encriptación RC4 para Internet Explorer 11 y los navegadores Edge.

Seguidamente, se nos especifica que dependiendo del tipo de software que tenemos podemos sufrir diferentes amenazas. Estas son: ejecución remota de códigos, elevación de privilegio, divulgación de información y el traspaso de las medidas de seguridad propias del sistema.

Actividad 4: Botnet

Lo que vamos a comprobar en esta última actividad, es si nuestra conexión está incluida en una botnet. Así pues, antes de hacerlo vamos a aclarar que es una botnet. Este término hace referencia a una red de equipos infectados con un malware que permite el control remoto de nuestros dispositivos. Este malware obliga a dichos dispositivos a enviar spam, propagar virus o realizar DDoS sin que estos sean conscientes de ello y, por consiguiente, sin su consentimiento.

Así pues, una vez aclarado el término, vamos a comprobar si nuestro dispositivo está incluido en una botnet. Para ello, vamos a entrar en la página de la Oficina de Seguridad del Internauta OSI, del INCIBE. Una vez en la página, debemos pulsar en "Chequea tu conexión" y aceptar las condiciones de uso y privacidad. Así pues, una vez hecho, podemos ver como mi portátil no está incluido en una botnet: