PRUEBA 1 PARCIAL R

1. Complete según la ISO 27002 Seguridad Informática es:

Seguridad de la información: protección de la información de un rango amplio de amenazas
para asegurar la continuidad del negocio, minimizar el riesgo comercial, y maximizar el retorno
de las inversiones y oportunidades comerciales." ISO 27002
2. Cual es la relación que existe entre Ciberseguridad y Seguridad de la Información
3. Seleccione 2 propiedades de la información
a. Confidencialidad Protección contra divulgación de datos no autorizada
b. Disponibilidad Prevenir retardos, denegación, remoción
c. Integridad Prevención de modificación de datos no autorizada
4. Mencione 3 propiedades de la información
a. Confidencialidad Protección contra divulgación de datos no autorizada
b. Disponibilidad Prevenir retardos, denegación, remoción
c. Integridad Prevención de modificación de datos no autorizada
d. No-retractación
e. Responsabilidad ante terceros
5. Complete riesgo es la probabilidad de que una amenaza actúe sobre un activo, y cause un
impacto.
6. Defina que es amenaza
Cualquier circunstancia susceptible de lograr que la información sufra perdida de
confidencialidad, integridad y disponibilidad.
7. Mencione cuatro Tipos de amenazas a la Seguridad de la Información
a. Interrupción
b. Intercepción
c. Modificación
d. Fabricación
8. Indique las 2 actividades de la caracterización de activos
Identificación
Clasificación
9. Indique 3 tipos (no ejemplos) de vulnerabilidades que se puede encontrar en los sistemas
operativos
Vulnerabilidades inherentes al SO (Buffer overflow)
Vulnerabilidades de instalación
Vulnerabilidades de configuración (banderas)
Vulnerabilidades de operación (procedimientos)
10. Indique 4 tipos / ejemplos de vulnerabilidades que puede encontrar en Redes
WEP ("Wired Equivalent Privacy")
Configuraciones (switches, routers)
Protocolos (texto claro)
BDD de usuarios distribuidas
Autenticación débil
Falta de autenticación y autorización
11. Seleccione 3 opciones correctas. El ataque “Morris Internet Worm” utilizó los siguientes
componentes / servicios de UNIX durante el ataque.
rsh: Acceso remoto sin contraseña para un mismo usuario
finger: bbd de usuario (exploit, username 536 char
sendmail: reenvió de correo, pruebas (exploit: debugger)
12. Indique las DOS vulnerabilidades Internas que forman parte del Top 10 según la compañía
QUALYS
a. Microsoft Schannel Spoofing Vulnerability (Mms15-121
b. Adobe Flash Player and AIR Security Update (APSB15-28)
c. OpenSSL Multiple Remote Security
d. SSH Protocol Version 1 Supported
13. A su juicio que sistema operativo es más seguro Linux o Windows. Explique según sus
argumentos vistos en clases
Linux es más seguro por la cantidad de vulnerabilidades encontradas en relacion a windows
14. Que significa CVSS
CVSS: Common Vulnerability Scoring System Framework para comunicar características
e impacto de vulnerabilidades
15. CVSS utiliza métricas que se basan en los siguientes criterios
impacto, explotabilidad, remediación, vector de ataque
16. CVSS utiliza tres tipos (grupos )de Score (métricas) que son:
Base, Temporal, Ambiental
17. What is Security Engineering
"La ingeniería de seguridad consiste en crear sistemas para que sigan siendo confiables frente a
la malicia, el error o la desgracia. Como disciplina, se enfoca en las herramientas, los procesos y
los métodos necesarios para diseñar, implementar y probar sistemas completos y para adaptar
los sistemas existentes. Los sistemas a medida que su entorno evoluciona".
"Pero muchos sistemas fallan porque sus diseñadores protegen las cosas incorrectas, o protegen
las cosas correctas, pero de la manera incorrecta"
18. En la siguiente afirmación escriba CORRECTO o INCORRECTO según corresponda (NO usar V o
F)
a.- Buffler Overflow ocurre cuando un programa intenta escribir datos mas allá de los limites
pre-asignados de longitud de un buffer CORRECTO
b.- Buffer Overflow ocurre debido a la integración del almacenamiento de los datos (p.e. buffers)
con el almacenamiento para control (p.e. dirección de retorno) CORRECTO

PRUEBA 2 PARCIAL
1. Enumere y explique de manera clara y concisa las fases del modelo The Cyber Kill Chain
Reconocimiento: Identificar objetivos
Weaponization: Prepara malware (automatico y payload=
Entrega: Malware al objetivo, email, web, USB, red social
Explotaciòn: SW, Hw, humanos,zero day exploit
Instalaciòn: Backdoor persistente o implante para mantener acceso (servicios, autorun)
Command & Control: Abre comunicación de dos vìas a infraestructura C2 (protocolos web,
DNS, email)
Acciones en objetivos: Colectar credenciales, escalación de privilegio, colectar y exfiltrar.
2. Con que objetivo un atacante realiza un proceso de Transferencia de zona (DNS)
Proceso de obtener información de un dominio, registro de un dominio.
3. Cite 4 operadores avanzados de Google (ejemplo) ponga su funcionamiento.
Site: Busqueda circunscrita
Link: Paginas de referencia al sitio ejm. País.com
Info: Informaciòn acerca del sitio (cache, sitios similares, paginas)
Allintitle: Busca todas las cadenas en títulos
Inurl: cadenas en urls
Filetype: archivos con extensión
4. ¿Cuál es el análisis de seguridad que un analista (de seguridad), podrá realizar al utilizar este
operador de Google? Inititle “Test page for Apache”
Conflicto con los DNS y el servidor local, lo cual muestra el servidor web que están trabajando.
5. Aplicación para metadatos y que información puede obtener.
 FOCA: es una herramienta utilizada principalmente para encontrar metadatos e información
oculta en los documentos que examina. Estos documentos pueden estar en páginas web, y con
FOCA se pueden descargar y analizar.
6. Indique las fases de un análisis de seguridad de tipo Pruebas de penetración
F1.- Reconocimiento
F2.- Escaneo
F3.- Enumeración
F4.- Acceso
F5.- Mantenimiento de acceso

7. Mencione 4 recursos / medios que un atacante puede utilizar para obtener información
sobre su victima
Ingenieria social
Instrusiòn física
Bucear en contenedores de basura
DNS
Whois
Desde el punto de vista de Seguridad que significa la siguiente regla:

Cualquier host puede enviar correo al exterior. Un adversario puede obtener acceso a
computadores internos mediante paquetes originados en el puerto 25 del computador externo
8. Mitigación: Mitigar el riesgo de seguridad anterior.
ACK indica que el paquete es parte de una conversación iniciada previamente. Paquetes sin
bandera ACK son mensajes de inicio de sesión (no permitidos)

9. Defina: Falso Positivo

IDS / IPS dispara un evento de alarma debido a un error de algoritmo o análisis
10. Defina; Falso Negativo
El IDS / IPS NO detecta / reporta un ataque o evento.
11. Mencione y dibuje 2 modos de implementación (conexión a la red) de los sistemas IDS
a.- Conexiòn al swith en modo espejo, esto es a nivel de capa 2, no necesita ip
b.- El otro modo es necesario una ip.
12. Mencione 2 limitaciones de seguridad en los firewalls
Imperfecto: Construcciòn en su lógica en software
Bugs: Firewall se inhibe o colapsa
Inyección de datos en buffer
13. Explique 2 métodos que un atacante utiliza para evadir los firewalls

• Fabricantes han construidos componentes de SW que corre sobre HTTP

• http típicamente autorizadod en FWs / proxies
14. Desde el punto de vista de instrusiones en la red mencione tres tipos de anomalías
• De protocolo
• De red
• De comportamiento
15. Dos tipos de firmas de IPS
 IP (Fragmentación)
ICMP (Traffic récords, ping sweeps, ICMP
TCP (Port scans, host sweeps, ataques de correo)
16. Menciones 2 limitaciones de seguridad de los sistemas IDS
Inhabilitados para detectar ataques nuevos
Falsos positivos
Requiere programación para cada patròn nuevo
17. Mencione 2 acciones que los sistemas IDS podrían tomar al momento de detectar una alerta
Notificaciòn de correo, sonido, beeper
Enviò de Traps SNMP
Terminar la sesión TCP
Desactivar Cuenta.

PRUEBA 3 PARCIAL
1. Indique 3 componentes de la estructura, de un “Attack Tree”
Raiz u Objetivo
Caminos
Relaciones And u Or
2. Especifique 3 atributos de los nodos de un árbol de ataque
Costo, Dinero
Habilidad,
Tiempo
3. ¿Qué entiende por “Adversarial Thinking”?
El pensamiento adversario es entender como piensa el adversario en sus técnicas y
procedimientsos de ataque.
4. Usted es el administrador de la red y quiere detectar eventos de seguridad (log´s de sistemas
de seguridad) que ocurren en la red para tomar acciones de respuesta. Que tipo herramienta
SW utilizaría para colectar los logs
ELK (Elastic, Logstah, Kibana),
OSSIM (Alien Vault)
5. Mencione 2 técnicas para evadir un firewall
• Segmentación de paquetes
• Http autrorizados en fw y proxies
6. En un firewall existe la Regla general: todo lo que no esta expresamente permitido esta
PROHIBIDO y se lo implementa mediante una regla denominada DROP RULE
7. Mencione 3 técnicas, métodos, tecnologías (contramedidas) que permitan realizar control de
acceso.
Firewall, IDS, IPS
8. Especifique 3 modelos (de operación) de los CSIRTs
Centralizado, Distribuido, Coordinado
9. Indique 3 ejemplos de firmas IPS
* IP (Fragmentación)
*ICMP (Traffic récords, ping sweeps, ICMP
* TCP (Port scans, host sweeps, ataques de correo)
10. Las siguientes son capacidades de un Firewall de inspección de estado
a. Detecta paquetes fuera de contexto
b. Todas las anteriores
c. Examina capa de transporte
d. Examina paquetes de contexto
11. Los siguientes son métodos que se utilizan para modelar ataques
a. Missue models
b. Communication models
c. Attack tress
d. ACME
e. STRIDE
12. Seleccione TODOS los literales que contienen una oración técnicamente correcta
según lo indicado en clase
a. Un IDS puede conectarse en modo paralelo
b. Un IDS puede conectarse en modo puente (en línea o in line)
c. Un IDS puede conectarse en modo serie
d. Un IDS puede conectarse en modo promiscuo
17.Dibuje el proceso de manejo de incidentes y las actividades que se realizan en cada una
de las fases
a. Preparación
• Construcción del equipo
• Equipo listo para manejar incidentes
• Estrategia de respuesta
• Plan de comunicación
b. Identificación
• ¿Es una ocurrencia o incidente o no?
• Nivel de red, nivel de host, nivel de sistema, cadena de custodia
• Validación Host atacados.
• BDD de incidentes
c. Contención
• Prevención difusión a otras áreas
• Corto plazo—desconexión de la red
• Largo plazo –Mantener el Sistema en producción mientras ocurre la limpieza
d. Erradicación:
• Remover la infección del sistema
• Utilizar información de pasos previos
• Analizar la causa del incidente—verdadera erradicación.
e. Recuperación:
• Restaurar los servicios a la normalidad
• Validar el sistema una vez restaurado
• El área de negocio debe probar el sistema y validar
• Monitorización de malware y actividad no autorizada
f. Lecciones aprendidas
• Documentar el proceso completo de manejo
• Mejorar tiempo de respuesta
• Entrenar al equipo en incidentes similares