Identificación y detección de vulnerabilidades

Abstract

[ES] El uso de las nuevas tecnologías tiene mucho protagonismo en la actualidad, prácticamente la población entera tiene información valiosa en sus dispositivos, desde imágenes y datos personales hasta datos bancarios o de interés en su trabajo o empresa. Creemos y confiamos en que está información está segura, lo que desconocemos es el riesgo al que ponemos esta información causado por las vulnerabilidades informáticas. Como bien dijo Aristófanes (444 a. C. - 385 a. C.), dramaturgo griego, ¿La desconfianza es la madre de la seguridad¿.

Una vulnerabilidad se define como una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información, pudiendo permitir que un atacante pueda comprometer la integridad, disponibilidad o confidencialidad de la misma. Por tanto, podemos decir que, si existe una vulnerabilidad, siempre existirá alguien que intentará explotarla, es decir, sacar provecho de su existencia.

Las vulnerabilidades son muchas y muy variadas y es difícil hacer una clasificación de ellas. Durante el proyecto distinguiremos entre: físicas (se refieren al lugar en donde se encuentra almacenada la información), naturales (se refieren a todo lo relacionado con las condiciones de la naturaleza que ponen en riesgo la información), de hardware (hacen referencia a los posibles defectos de fábrica o a la mala configuración de los equipos de cómputo de la empresa que puedan permitir un ataque o alteración de éstos), de software (están relacionadas con los accesos indebidos a los sistemas informáticos sin el conocimiento del usuario o del administrador de red), de red (este tipo de punto débil abarca todo el tránsito de la información) y humanas (están relacionadas con los daños que las personas pueden causar a la información y al ambiente tecnológico que la soporta).

La finalidad de mi proyecto de final de grado de ingeniería informática, es la de clasificar, definir y argumentar sobre los distintos tipos de vulnerabilidades. Además, con la ayuda de mi tutor, Vicente Guerola, me propongo realizar una intrusión mediante un pentesting a una máquina virtual que crearé con antelación. Para así mostrar cómo pueden acceder a nuestro dispositivo e intentar concienciar sobre ello.

[EN] The use of new technologies is very important nowadays, practically the entire population has valuable information on their devices, from images and personal data to banking data or data of interest in their work or company. We believe and trust that this information is safe, what we do not know is the risk to which we put this information caused by computer vulnerabilities. As the Greek playwright Aristophanes (444 BC - 385 BC) said, "Mistrust is the mother of security". A vulnerability is defined as a weakness or flaw in an information system that puts the security of the information at risk, potentially allowing an attacker to compromise the integrity, availability or confidentiality of the information. Therefore, we can say that, if a vulnerability exists, there will always be someone who will try to exploit it, i.e. take advantage of its existence. Vulnerabilities are many and varied and it is difficult to classify them. During the project we will distinguish between: physical (they refer to the place where the information is stored), natural (they refer to everything related to natural conditions that put the information at risk), hardware (they refer to possible factory defects or misconfiguration of the company's computer equipment that may allow an attack or alteration of these), software (related to improper access to computer systems without the knowledge of the user or the network administrator), network (this type of weak point covers the entire transit of information) and human (related to the damage that people can cause to information and the technological environment that supports it). The purpose of my final degree project in computer engineering is to classify, define and argue about the different types of vulnerabilities. In addition, with the help of my tutor, Vicente Guerola, I intend to carry out an intrusion through a pentesting to a virtual machine that I will create in advance. In order to show how they can access our device and try to raise awareness about it.

[CA] L'ús de les noves tecnologies té molt protagonisme en l'actualitat, pràcticament la població sencera té informació valuosa als seus dispositius, des d'imatges i dades personals fins a dades bancàries o d'interés en el seu treball o empresa. Creiem i confiem que està informació està segura, el que desconeixem és el risc al qual posem aquesta informació causat per les vulnerabilitats informàtiques. Com bé va dir Aristòfanes (444 a. C. - 385 a. C.), dramaturg grec, “La desconfiança és la mare de la seguretat”. Una vulnerabilitat es defineix com una feblesa o fallada en un sistema d'informació que posa en risc la seguretat de la informació, podent permetre que un atacant puga comprometre la integritat, disponibilitat o confidencialitat d'aquesta. Per tant, podem dir que, si existeix una vulnerabilitat, sempre existirà algú que intentarà explotar-la, és a dir, traure profit de la seua existència. Les vulnerabilitats són moltes i molt variades i és difícil fer una classificació d'elles. Durant el projecte distingirem entre: físiques (es refereixen al lloc on es troba emmagatzemada la informació), naturals (es refereixen a tot el relacionat amb les condicions de la naturalesa que Identificación y detección de vulnerabilidades 2 fiquen en risc la informació), de hardware (fan referència als possibles defectes de fàbrica o a la mala configuració dels equips de còmput de l'empresa que puguen permetre un atac o alteració d'aquests), de software (estan relacionades amb els accessos indeguts als sistemes informàtics sense el coneixement de l'usuari o de l'administrador de xarxa), de xarxa (aquest tipus de punt feble abasta tot el trànsit de la informació) i humanes (estan relacionades amb els danys que les persones poden causar a la informació i a l'ambient tecnològic que la suporta). La finalitat del meu projecte de final de grau d'enginyeria informàtica, és la de classificar, definir i argumentar sobre els diferents tipus de vulnerabilitats. A més, amb l'ajuda del meu tutor, Vicente Guerola, em propose realitzar una intrusió mitjançant un pentesting a una màquina virtual que crearé amb antelació. Per a així mostrar com poden accedir al nostre dispositiu i intentar conscienciar sobre aquest.