Friday, February 29, 2008
¿Qué es un BUG?

En el contexto de la seguridad de la información, se define como una vulnerabilidad ó un fallo concebido en cualquiera de las etapas del ciclo de vida de un software ó hardware, y como consecuencia de la explotación de este bug o vulnerabilidad los sistemas podrían verse afectados en cuanto a su CONFIDENCIABILIDAD, INTEGRIDAD Y DISPONIBILIDAD, razón por la cual es necesario estar pendientes de la aparición de vulnerabilidades.

 

De acuerdo a los antecedentes, el primer registro de un BUG informático fue en 1945, pero, se tiene conocimiento que Thomas Alva Edison también utilizaba este termino para referirse a situaciones relacionadas con el mal funcionamiento de sus invenciones.

 

 

Consideraciones a tener para catalogar un BUG o vulnerabilidad

 

Lugar desde donde se podría explotar el bug ó vulnerabilidad

 

- Desde el mismo equipo

- Desde la red local

- Remotamente

 

Niveles de Impacto que presenta la explotación del bug ó vulnerabilidad

 

- Extremadamente crítico

- Altamente crítico

- Moderadamente crítico

- Poco crítico

- No crítico

 

Técnicas aprovechadas para explotar el bug o vulnerabilidad

 

- Fuerza Bruta

- XSS                              (http://es.wikipedia.org/wiki/XSS)

- DoS                              (http://es.wikipedia.org/wiki/DoS)

- Hijacking                        (http://es.wikipedia.org/wiki/Hijacking)

- Spoofing                        (http://es.wikipedia.org/wiki/Spoofing)

- Phishing                         (http://es.wikipedia.org/wiki/Phishing)

- Defacement                (http://en.wikipedia.org/wiki/Website_defacement)

- Escalamiento de privilegios        

- Acceso al sistema

- Manipulación de data

- Exposición de información

- Otras técnicas desconocidas

 

 

Conclusiones

 

  • Es evidente que al momento de referirse a un bug ó vulnerabilidad, lo primero que se deberá establecer es el riesgo implicado al explotar dicha vulnerabilidad en función de los criterios ya expuestos.

 

  • Cuando desee comparar la seguridad de dos o más productos desarrollados para una tarea en particular, pero, que pertenecientes a distintos fabricantes, en base al número de vulnerabilidades durante una ventana de tiempo, se tendría que considerar el nivel de riesgo de dichas vulnerabilidades así como el tiempo que tomó la publicación del parche desde que aparición de la vulnerabilidad. 

 

  • Se recomienda visitar con regularidad páginas Web en donde se publiquen vulnerabilidades y de ser posible inscribirse a sus respectivas listas de correo. 

 

  • A continuación se dejamos una lista de páginas para su consideración:

- http://secunia.com

- http://nvd.nist.gov

- http://cve.mitre.org

- http://www.us-cert.gov

- http://www.securityfocus.com/bid

- http://www.microsoft.com/technet/security/advisory/default.mspx

 

 

  • Los criterios expuestos para catalogar un bug ó vulnerabilidad son referenciales.
Vulnerabilidades Red
2/29/2008 7:07:55 PM (SA Pacific Standard Time, UTC-05:00)  #    Comments [50]Trackback

© Copyright 2009 TELMEX PERU S.A.
Theme design by Bryan Bell

newtelligence dasBlog 1.7.5016.2
Subscribe to this weblog's RSS feed with SharpReader, Radio Userland, NewsGator or any other aggregator listening on port 5335 by clicking this button.   RSS 2.0|Atom 0.2|CDF  Send mail to the author(s) | Page rendered at 1/7/2009 12:03:01 AM (SA Pacific Standard Time, UTC-05:00)

Reset | Discreet Blog Blue | Just Html | Movable Radio Heat | Candid Blue | DasBlog | Movable Radio Blue | Slate | Custom