Your SlideShare is downloading. ×
Presentacion Ontología de Seguridad para la securización de sistemas
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Presentacion Ontología de Seguridad para la securización de sistemas

2,129
views

Published on

En esta presentación se muestra una Ontología orientada a la seguridad informática, diseñada para ayudar en las labores de securización de los sistemas tras un proceso de audtoría de aplicaciones web …

En esta presentación se muestra una Ontología orientada a la seguridad informática, diseñada para ayudar en las labores de securización de los sistemas tras un proceso de audtoría de aplicaciones web y de caja negra

Published in: Education

1 Comment
0 Likes
Statistics
Notes
  • Excelente trabajo, actualmente estoy planeando desarrollar una ontologia de la norma ISO/IEC 27001 (seguridad de la información) como base de mi trabajo de grado, si tienes información que me puedas pasar que me sirvan de guía para orientar mi proyecto te lo agradecería demasiado.
    Mi correo es kikejeus@gmail.com
    Hasta pronto.
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

No Downloads
Views
Total Views
2,129
On Slideshare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
73
Comments
1
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. ONTOLOGÍA DE SEGURIDAD
    APLICACIÓN A LOS PROCESOS DE AUDITORÍA DE CAJA NEGRA Y AUDITORÍA DE APLICACIONES WEB
    Juan Antonio Calles García
  • 2. Índice
    El estado de la informática en la actualidad
    Auditorías de Seguridad
    Ontología de Seguridad
    Demo
    Conclusiones y Trabajos Futuros
    Bibliografía
  • 3. Índice
    El estado de la informática en la actualidad
    Auditorías de Seguridad
    Ontología de Seguridad
    Demo
    Conclusiones y Trabajos Futuros
    Bibliografía
  • 4. El Estado de la informática en la actualidad
    Estudio DigiWorld
    Analiza los beneficios producidos en el mercado económico de las Tecnologías de la Información y las Telecomunicaciones en Europa
    En el año 2009: Beneficios de mas de 900.000 Millones de euros en el mercado económico basado en las TIC.
    Subida frente a 2008 de casi un 6%
  • 5. ¿Estos beneficios están seguros?
    NO.
    Los beneficios producidos por las empresas del sector de las TIC están constantemente en peligro, debido a los numerosos ataques de “hackers” que reciben.
  • 6. Cualquiera puede recibir un ataque…
  • 7. ¿Cómo proteger los beneficios?
    Realizando auditorías de seguridad e implantando sistemas seguros.
    Para ello nacieron en la década de los 90 empresas especializadas en el sector de la seguridad.
    Estas empresas generaron solo en España 640.000.000€ en 2008
  • 8. ¿Cómo pueden poner en peligro la seguridad de las organizaciones?
    Malware: utilizando software malicioso para conseguir en el peor de los casos el control de las máquinas.
    Exploits: aprovecharse de vulnerabilidades en el software de la organización (normalmente bases de datos y sistemas operativos no actualizados) para modificar o robar datos.
    Ataques web: inyectando código en las zonas mal protegidas de un sitio web.
    Curiosidad: investigando las zonas no protegidas de una organización de forma manual o con automatizaciones de software.
  • 9. Protección
  • 10. Índice
    El estado de la informática en la actualidad
    Auditorías de Seguridad
    Ontología de Seguridad
    Demo
    Conclusiones y Trabajos Futuros
    Bibliografía
  • 11. Auditoría de Seguridad
    Auditorías de seguridad
    Auditoría de Aplicaciones Web
    Auditoría interna
    Caja Negra
    Caja Blanca
    Caja Gris
  • 12. Auditoría de aplicaciones web
    Ataques web:
    Pruebas para comprobar la seguridad de las aplicaciones web de una empresa.
    Se revisan exploits y vulnerabilidades web:
    sqlinjection
    ldapinjection
    xpathinjection
    cssp (connectionstringparameterpollution)
    local fileinclusion
    remotefileinclusion
    ejecución de comandos con manipulación de tokens tipo && ; y ``
    pathdisclosure
    path transversal
    XSS (Cross-site scripting)
  • 13. Auditoría Interna
    menos Información inicial
    mas Información inicial
  • 14. ¿Cuánto cuesta una auditoría de seguridad?¿Se puede suprimir para que nuestra empresa sea segura?
    Dependiendo del tamaño de la organización y de los tipos de auditoría seleccionadas. De media unos 120.000€
    No. La auditoría es necesaria para verificar la seguridad de una organización.
  • 15. Securización de las vulnerabilidades encontradas en la auditoría
    Tras realizar la auditoría de seguridad, es necesario securizar el sistema, protegiendo las vulnerabilidades encontradas, trabajo que NO va incluido dentro de la auditoría y que se abonaría aparte.
    Éste coste podría ser ahorrado por la organización si su propio personal se encargase de la securización del sistema.
    Securización de las vulnerabilidades encontradas en la auditoría
  • 16. Índice
    El estado de la informática en la actualidad
    Auditorías de Seguridad
    Ontología de Seguridad
    Demo
    Conclusiones y Trabajos Futuros
    Bibliografía
  • 17. ¿Si no contamos con personal especializado como securizamos el sistema?
    Mediante un software que ayude a los usuarios a solucionar las vulnerabilidades del sistema.
    En este proyecto se ha definido una Ontología de seguridad y se ha desarrollado una aplicación para ayudar a los usuarios a proteger un sistema tras una fase de auditoría. Ahorrando así dinero a la empresa.
  • 18. Modificación del proceso de Securización
  • 19. ¿Cómo funciona la Ontología de seguridad?
    Al estilo “google”, indicándole a la aplicación las vulnerabilidades que se nos han indicado en el informe de la auditoría, nos detalla la solución que debemos aplicar.
    Conseguimos:
    Sistema Seguro
  • 20. Contenido de la Ontología de Seguridad
    La Ontología ha sido diseñada para resolver las vulnerabilidades encontradas en la fase de Auditoría web y en la fase de Caja Negra dentro de la Auditoría Interna, omitiendo las fases de Caja Blanca y Caja Gris por su gran extensión.
    Contiene mas de 50 soluciones a vulnerabilidades.
  • 21. Diagrama de clases
  • 22. Conocimiento de la Ontología 1
    La Ontología es capaz de dar solución a las siguientes vulnerabilidades web
    sqlinjection (PHP+MySQL).
    sqlinjection (JAVA).
    sqlinjection (C#, SQL Server).
    ldapinjection.
    xpathinjection.
    cssp (connectionstringparameterpollution).
    local file inclusión.
    remotefileinclusion (PHP).
    pathdisclosure.
    pathtraversal.
  • 23. Conocimiento de la Ontología 2
    La Ontología es capaz de dar solución a las siguientes vulnerabilidades producidas por descuidos de Footprinting
    Fuzzing http
    Fuzzingdns
    Whois
    Transferencia de zona
    Mostrar banner por defecto del servidor
    Error 404 no controlado
    Metadatos en documentos web
  • 24. Conocimiento de la Ontología 3
    La Ontología es capaz de dar solución a las siguientes vulnerabilidades producidas por descuidos de Fingerprinting
    Puertos abiertos extraños.
    Puertos abiertos innecesarios
    Y a los siguientes Exploits:
    Buffer Overflow.
    Racecondition.
    FormatstringBugs.
    XSS
    sqlinjection (PHP+MySQL)
    sqlinjection (JAVA)
    sqlinjection (C#, SQL Server)
    CRLF (Inyección de caracteres).
  • 25. Conocimiento de la Ontología 4
    La Ontología es capaz de dar solución a los siguientes tipos de Malware
    Adware
    Backdoor
    Badware alcalino
    Bomba fork
    Botnet
    Crackers
    Cryptovirus
    Dialers
    Hoaxes, Jokes o Bulos
    Keylogger
    Virtual crab o Ladilla virtual
    Leapfrog
  • 1 ¿Cómo responde a nuestras preguntas la Ontología?
    Pregunta: ¿Qué antimalware elimina el malware rootkit?
    Antimalware + Elimina el malware: + contains + Rootkit
    Respuesta: La solución es identificarlos mediante antirootkits como ICE SWORD o ROOTKIT REVEALER
    Pregunta: ¿Qué solución a exploit soluciona el error producido por un sqlinjection?
    Solución a exploit + soluciona el error + contains + sqlinjection (C#, SQL Server)
    Respuesta: Parametrizar los string que inserta un usuario como variables, para que la BBDD las interprete únicamente como texto y no las ejecute
    Pregunta: ¿Qué suceso produce el malware Keylogger?
    Suceso producido por malware + nombre malware + contains + keylogger
    Respuesta: Programa espía que intenta robar las contraseñas leídas mediante pulsaciones en el teclado
  • 35. 2 ¿Cómo responde a nuestras preguntas la Ontología?
    Pregunta: ¿Qué protección a Footprinting protege a la fuga de datos por metadatos alojados en los documentos web?
    Protección Footprinting + Protege frente a: + contains + Metadatos en documentos web
    Respuesta: Siempre hay que eliminar los metadatos de los documentos antes de subirlos a un servidor, o sino instalar una herramienta como Meta Shield Protector (www.metashieldprotector.com) que elimina los metadatos de los documentos en tiempo real antes de que sean descargados por un usuario.
    Pregunta: ¿Qué solución a error web soluciona el “remotefileinclusion”?
    Solución a error web + soluciona el + contains + remotefile inclusión (PHP)
    Respuesta: Comprobar que el fichero solicitado en la URL tiene la extensión .PHP y que se encuentra dentro del directorio donde se encuentra alojado el sitio web y sino rechazar la petición web
  • 36. Implementación
    La implementación del software ha sido realizada con la aplicación Protégé.
  • 37. Índice
    El estado de la informática en la actualidad
    Auditorías de Seguridad
    Ontología de Seguridad
    Demo
    Conclusiones y Trabajos Futuros
    Bibliografía
  • 38. DEMO
  • 39.
  • 40.
  • 41.
  • 42.
  • 43.
  • 44. Índice
    El estado de la informática en la actualidad
    Auditorías de Seguridad
    Ontología de Seguridad
    Demo
    Conclusiones y Trabajos Futuros
    Bibliografía
  • 45. Conclusiones y Trabajos Futuros
    La Ontología de Seguridad ahorraría bastante dinero a las empresas, que podrían prescindir de los servicios de personal externo para implantar un sistema seguro tras una fase de auditoría
    Como trabajo futuro se propone aumentar la base de datos del conocimiento de la Ontología a las fases de Caja Gris y Caja Blanca de la fase de Auditoría Interna.
  • 46. Índice
    El estado de la informática en la actualidad
    Auditorías de Seguridad
    Ontología de Seguridad
    Demo
    Conclusiones y Trabajos Futuros
    Bibliografía
  • 47. Bibliografía
    Informe DigiWorld 2009, http://www.enter.ie.edu/enter/cms/es/informe/7049/1, Junio 2009.
    Enter, http://www.enter.ie.edu/, 2009.
    Idate, http://www.idate.fr/, 2009.
    Francisco Ros. El sector de la seguridad informática en España generó 640 millones de euros el año pasado,http://www.dicyt.com/noticias/el-sector-de-la-seguridad-informatica-en-espana-genero-640-millones-de-euros-el-ano-pasado, Octubre 2008.
    ISO/IEC 27001:2005, http://www.iso27001security.com/, 2009
    OSSTMM, http://www.isecom.org/osstmm/, Noviembre 2009.
    OWASP, http://www.owasp.org/, Diciembre 2009.
    Sqlinyection: http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL, Diciembre 2009.
    Blind sqlinyection: http://es.wikipedia.org/wiki/Blind_SQL_injection, Diciembre 2009.
    XSS, Cross-Site Scripting: http://es.wikipedia.org/wiki/Cross-site_scripting, Noviembre 2009.
    Buffer Overflow: http://es.wikipedia.org/wiki/Desbordamiento_de_b%C3%BAfer, Octubre 2009.
    Chema Alonso, Rodolfo Bordón, Marta Beltrán y Antonio Guzmán. LDAP InjectionTechniques, ICCS 2008, Guangzho (China), Noviembre 2008
    Antonio Guzmán, Marta Beltrán, Chema Alonso y Rodolfo Bordón. LDAP Injection and Blind LDAP Injection, Collecter 2008, Madrid (España), Junio 2008
    Chema Alonso, Rodolfo Bordón, Daniel Katchakil, Antonio Guzmán y Marta Beltrán. Blind SQL Injection Time-basedUsing Heavy Queries: A practicalApproachfor MS SQL Server, MS Access, Oracle and MySQLDatabases, IASK 2007, Oporto (Portugal), Diciembre 2007
    SethFogie, Jeremiah Grossman, Robert Hansen, AntonRager, Petko D. Petkov. XSS Attacks: Cross Site Scripting Exploits and Defense (Paperback)
    Juan Garrido Caballero, Análisis forense digital en entornos Windows. 2008
    Protege: http://protege.stanford.edu/, 2009.
  • 48. ¿Preguntas?
  • 49. ¡GRACIAS!