Actividad 1: Identificando a que dimensión de la seguridad afectan las diferentes amenazas
En esta actividad voy a indicar a que dimensión de la seguridad planteada por el modelo CIA afectan cada una de las amenazas propuestas en el catálogo de amenazas de la hoja del INCIBE que ya trabajamos en
una práctica de una sesión anterior.
Antes de nada, recordemos que dimensiones presentaba el modelo CIA:
- Confidencialidad (confidentiality): según dicho principio tan solo los propietarios de la información y personal autorizado pueden acceder y manipular los datos.
- Integridad (integrity): este principio determina que se debe asegurar que los datos no se vean modificados de forma incorrecta, tanto por error como con intención maliciosa.
- Disponibilidad (avaialability): este establece que los datos deben estar disponibles en cualquier momento para aquellos usuarios autorizados.
|
Amenazas
|
Dimensión afectada
|
|
Fuego
|
Disponibilidad
|
|
Daños por agua
|
Disponibilidad
|
|
Desastres
naturales
|
Disponibilidad
|
|
Fuga de información
|
Confidencialidad
|
|
Introducción
de falsa información
|
Integridad
|
|
Alteración de la información
|
Integridad
|
|
Corrupción
de la información
|
Integridad
|
|
Destrucción de la información
|
Disponibilidad
|
|
Interceptación
de la información (escucha)
|
Confidencialidad
|
|
Corte de suministro eléctrico
|
Disponibilidad
|
|
Condiciones
inadecuadas de temperatura o humedad
|
Disponibilidad
|
|
Fallo de servicios de comunicaciones
|
Disponibilidad
|
|
Interrupción
de otros servicios y suministros esenciales
|
Disponibilidad
|
|
Desastres industriales
|
Disponibilidad
|
|
Degradación
de los soportes de almacenamiento de la información
|
Disponibilidad
|
|
Difusión de software dañino
|
Confidencialidad, Integridad y Disponibilidad (depende
del tipo de malware)
|
|
Errores
en el mantenimiento/actualización de programas (software)
|
Integridad
y Disponibilidad (podría llegar a afectar a la confidencialidad ya que esta
amenaza aumenta la vulnerabilidad de nuestro equipo y facilitar que un
atacante acceda a nuestra información)
|
|
Errores en el mantenimiento/actualización
de equipos (hardware)
|
Integridad y Disponibilidad (podría llegar a afectar
a la confidencialidad ya que esta amenaza aumenta la vulnerabilidad de nuestro
equipo y facilitar que un atacante acceda a nuestra información)
|
|
Caída
del sistema por sobrecarga
|
Disponibilidad
|
|
Pérdida de equipos
|
Confidencialidad (si un tercero los encuentra y
accede a la información) y Disponibilidad
|
|
Indisponibilidad
del personal
|
Disponibilidad
|
|
Abuso de privilegios de acceso
|
Confidencialidad (si aprovecha sus privilegios para
filtrar información) e Integridad
|
|
Acceso
no autorizado
|
Confidencialidad
e Integridad (si el que accede modifica la información)
|
|
Errores de los usuarios
|
Integridad y Disponibilidad (su error podría facilitar
la aparición de otra amenaza que ataque la Confidencialidad)
|
|
Errores
del administrador
|
Integridad
y Disponibilidad (su error podría facilitar la aparición de otra amenaza que
ataque la Confidencialidad)
|
|
Errores de configuración
|
Integridad y Disponibilidad (dicho error podría facilitar
la aparición de otra amenaza que ataque la Confidencialidad)
|
|
Denegación
de servicio
|
Disponibilidad
|
|
Robo
|
Confidencialidad
|
|
Indisponibilidad
del personal
|
Disponibilidad
|
|
Extorsión
|
Confidencialidad
|
|
Ingeniería
social
|
Confidencialidad,
Integridad y Disponibilidad
|
Actividad 2: estimando tiempos
Para realizar dicha actividad debemos fijarnos en la hoja de cruces amenazas-activos. Además, debemos en fijarnos en los activos que consideramos en la
práctica de la sesión 5 y que pertenecían a mi pequeña empresa de construcción. Así pues, en mi empresa identifiqué 26 activos diferentes, para cada activo hemos de considerar si cada una de las 31 amenazas ofrecidas les afecta o no. De esta manera, en mi opinión, para ponderar si una amenaza afecta o no a un activo podemos usar unos 10 segundos de media. Es decir, no es una tarea complicada. Simplemente debemos imaginarnos mentalmente que le pasa a ese activo si se da x amenaza (ej. ¿Si hay un incendio mis ordenadores se verán afectados? Si, se verán afectados). Claramente, con algunos cruces tardaremos muy poco (como en el ejemplo anterior) y en otros tardaremos más (ej. ¿Un error de un usuario puede llegar a afectar a mi equipo o hardware?), de ahí que hablemos de una media de 10 segundos para cada caso hipotético.
Teniendo todo lo anterior en cuenta, vamos a tener que ponderar 806 cruces (31x26). Para ponderar esos 806 cruces vamos a tardar unas 2h y 15 min aproximadamente. Podríamos plantearnos agrupar activos, por ejemplo, los activos de la información podrían agruparse en subcategorías, lo cual reduciría mucho el tiempo que deberíamos dedicar a dicha actividad. Sin embargo, puesto que los 13 diferentes activos de la información que planteé tienen valores diferentes no aconsejaría unirlos ya que el daño derivado de los cruces sería diferente.
Actividad 3: Vulnerabilidades de Microsoft y utilidad del CVE
Aunque ya hicimos esta actividad en otra sesión se nos pide volver a analizar una vulnerabilidad de Microsoft brevemente. Personalmente he elegido aquella que fue publicada el 14 de Marzo de 2017 y hace referencia a una vulnerabilidad hallada en Adobe Flash Player.
Como podemos ver, nos dice que esta actualización que implica un conjunto de vulnerabilidades a las que se refiere con su código CVE (más adelante explicaremos que es este código). Más tarde, nos indican que dicha vulnerabilidad es crítica y puede facilitar el control remoto de nuestro dispositivo y la ejecución remota del mismo. Así pues, se daría cuando Adobe Flash Player está instalado en un equipo con ediciones de software Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10, and Windows Server 2016. Como podemos ver, para cada edición se nos ofrece un enlace para poder actualizar nuestro software y así parchear la vulnerabilidad presentada. Nos explican que un atacante puede explotar estas vulnerabilidades de formas muy diversas: aprovechando una página web especialmente diseñada para ello y haciendo que el usuario acceda a la misma, infectando un archivo o una aplicación, aprovechando páginas webs que permiten poner pop ups, etc.
A continuación nos indican varias formas de mitigar la explotación de la vulnerabilidad. Una de ellas sería no acceder a páginas sospechosas, no abrir correos sospechosos, etc. Finalmente, nos enseñan a cambiar la configuración de nuestro equipo para bloquear estos ataques sin necesidad de parchear la vulnerabilidad. Así pues, nos indican como inactivar el Adobe Flash Player, impedir que este se active en Internet Explorer, etc. Aunque dichas indicaciones pueden ser muy útiles, lo más aconsejable es parchear la vulnerabilidad para así evitar riesgos innecesarios.
Para acabar esta actividad, vamos a centrarnos en la definición y la utilidad del código CVE, siglas que hacen referencia a Common Vulnerabilities and Exposures. Estos no son más que identificadores únicos con los que se catalogan las vulnerabilidades que se van descubriendo. Dicha codificación la llevan a cabo las CVE Numbering Authority (CNA). La principal de estas CNA es MITRE (quién además mantiene el catálogo). Sin embargo otras CNA contribuyen a la numeración 18 fabricantes de software (ej. Adobe) y tres coordinadores de seguridad.
De esta manera cuando se descubre una nueva vulnerabilidad, la CNA asigna un CVE candidato. Una vez se ha dado un código se necesita revisar y estudiar la vulnerabilidad para darle una solución eficaz. Si esta vulnerabilidad se confirma y publica, dicho código se vuelve oficial. Así pues, este código permite que diferentes entidades se refieran a una vulnerabilidad de la misma forma. Esto facilita la coordinación y evita conflictos o malos entendidos.
Las vulnerabilidades tratadas en el boletín que he expuesto son las siguientes: CVE-2017-2997, CVE-2017-2998, CVE-2017-2999, CVE-2017-3000, CVE-2017-3001, CVE-2017-3002, CVE-2017-3003.
Así pues, fijémonos en la primera: CVE-2017-2997. Las tres primeras siglas indican que la numeración posterior hace referencia a una vulnerabilidad confirmada y publicada. Los cuatro siguientes números señalan el año en que se descubrió dicha vulnerabilidad: 2017. Finalmente, los últimos 4 números son el identificador único e inequívoco de la vulnerabilidad hallada.
Actividad 4: Security Focus
Si accedemos a la página web de Security Focus y buscamos nuestro CVE anterior (CVE-2017-2997), podemos ver que dicha página nos ofrece una información mucho más esquemática. Así pues nos indica si la vulnerabilidad puede ser explotada localmente o de forma remota y quien la descubrió o publicó. Además nos proporciona una lista mucho más larga de los software que se pueden ver afectados. Además, nos indica aquella versión de Adobe Flash Player que no es vulnerable: Adobe Flash Player 25.0.0.127. Nos indica formas de explotar la vulnerabilidad y si hay solución. De haber solución, nos remite a la fuente primaria que ha proporcionado el parche.
Así pues, podemos decir que es una base de datos que contiene todas las vulnerabilidades publicadas bajo su código CVE, lo cual facilita la accesibilidad a dicha información por parte de los usuarios y desarrolladores. Además, pone a la disposición de los interesados una plataforma para poder discutir e informar sobre las diferentes vulnerabilidades. La última vulnerabilidad (CVE-2019-1010241) publicada data del 26 de julio de 2019 y hace referencia a una vulnerabilidad que facilita la divulgación o revelación de información al usar tus credenciales para acceder a Jenkins.
Actividad 5: posibles vulnerabilidades en el aula de informática según el CCN
En la página del CNN no solo se nos ofrecen boletines sobre diferentes vulnerabilidades clasificadas según diferentes categorías, sino que podemos hallar noticias referentes al ámbito de la ciberseguridad.
Puesto que los ordenadores de la universidad usan Windows como sistema operativo, se podrían ver afectados por aquellas vulnerabilidades que refieren a Microsoft. Además como el aula virtual a la que acceden profesores y alumnos es de la plataforma Moodle, también se pueden ver afectados por aquellas vulnerabilidades que hacen referencia a dicha plataforma. Además, probablemente se vean afectados por aquellas que refieren a Adobe ya que lo más probable es que los ordenadores cuenten con alguna versión de este software.
No hay comentarios:
Publicar un comentario