Tema 5

Question 1

¿Qué es una metodología de desarrollo?

Answer 1

Conjunto de filosofías, fases, procedimientos, reglas, técnicas, herramientas, documentación y aspectos de formación para los desarrolladores de SI (Maddison,1983)

Question 2

¿Cuál es el objetivo de desarrollar software de manera sistemática?

Answer 2

• Mejores aplicaciones. Un mejor proceso de desarrollo que identifique salidas (o productos intermedios) de cada fase de forma que se pueda planificar y controlar un proyecto.
• Un proceso estándar en la organización.

Question 3

Las metodologías de desarrollo de software seguro más extendidas hoy día:

Answer 3

► Microsoft
• Iniciativa Trustworthy Computing
► OSSTMM (Open Source Security Testing Methodology Manual )
► OWASP (Open Web Application Security Project)
► OASIS Web Application Security (WAS) project

Question 4

¿Qué conceptos abarca la Metodología Microsoft?

Answer 4

• Confianza
• Estabilidad
• Seguridad en la plataforma, que se sustenta sobre 5 pilares básicos:
– Aislamiento y flexibilidad
– Calidad
– Autenticación
– Autorización y control de accesos – Orientación y formación

Question 5

¿Cuáles son los cuatro principios de la Metodología Microsoft?

Answer 5

La aplicaciones deben ser:

• Seguras
• Privadas
• Fiables
• Deben garantizar la integridad de negocio

Question 6

La seguridad debe abarcar todas las fases. Por tanto, el software debe
ser:

Answer 6

► Seguro por diseño
• Ninguna parte de la aplicación queda fuera del control de seguridad
► Seguro por defecto
• La aplicación recién instalada tiene un comportamiento suficientemente seguro
• Un ejemplo es el gestor de áreas de exposición de SQL Server
► Seguro en la distribución
• Informar al usuario sobre la seguridad de la aplicación
• Mecanismos de modificación de las características de seguridad
• Crear parches de seguridad tan pronto como se detecte una nueva vulnerabilidad.
► Seguro en las comunicaciones

Question 7

¿Qué frase comprende Modelo de Amenazas (Threat Model)?

Answer 7

– Identificar activos de la aplicación
– Crear información general sobre la arquitectura
– Descomponer la aplicación
– Identificar, documentar y clasificar las amenazas
– Identificar las vulnerabilidades

Question 8

¿Qué comprende el modelo Modelo STRIDE?

Answer 8

– Spoofing (suplantación)
– Tampering (manipulación)
– Repudiation (no repudio)
– Information disclosure (divulgación de información) – Denial of service (denegación de servicio)
– Elevation of privileges (elevación de privilegios)

Question 9

¿Qué comprende la Directiva dread?

Answer 9

– Damage - Daño potencial
– Reproducibility - Facilidad de reproducción
– Exploitability - Capacidad de explotación
– Affected users - Usuarios afectados
– Discoverability - Dificultad para su descubrimiento

Question 10

¿Cómo se calcula el riesgo DREAD?

Answer 10

Riesgo dread = (D + R + E + A + D) / 5

Cada riesgo se calcula como un promedio de los cinco parámetros
anteriores, valorados de 0 a 10

Question 11

Recomendaciones para la defensa con Microsoft:

Answer 11

– Adoptar el principio mínimo privilegio
– Usar las defensas en profundidad
– No confiar en los datos introducidos por el usuario
– Utilizar opciones predeterminadas seguras
– No depender de la seguridad por medio de ocultación
– Validar todo acceso al sistema
– Asumir que los sistemas externos no son seguros
– Reducir el área de exposición
– Cometer errores de forma segura
– No olvidar que el alcance de la seguridad lo define su punto más débil – Si no se utiliza, hay deshabilitarlo

Question 12

¿Qué significa OSSTMM?

Answer 12

Open Source Security Testing Methodology Manual (Manual de Metodología de Pruebas de Seguridad de Código Abierto)

Question 13

¿Qué es OSSTMM?

Answer 13

El Manual de la Metodología Abierta de Comprobación de la Seguridad es uno de los estándares de factor más utilizado en Auditorías de Seguridad para revisar la Seguridad de los Sistemas desde Internet.

Question 14

¿Qué fases comprende OSSTMM?

Answer 14

• Seguridad de la información
• Seguridad de los procesos
• Seguridad en las tecnologías de Internet
• Seguridad en las comunicaciones
• Seguridad inalámbrica
• Seguridad física

Question 15

¿Qué significa OWASP?

Answer 15

Open Web Application Security Project

Question 16

¿Qué objetivo tiene OWASP?

Answer 16

• De libre acceso y utilización
• Que pueda ser utilizada como material de referencia por parte de los arquitectos de, software desarrolladores, fabricantes y profesionales de la seguridad
• Todos ellos involucrados en el diseño, desarrollo, despliegue y verificación de la seguridad de las aplicaciones y servicios web

Question 17

OWASP pretende que se desarrolle mejor software mediante:

Answer 17

• El desarrollo de herramientas útiles para identificar los fallos y corregirlos
• La educación de los grupos involucrados, para evitar que se produzcan fallos
• El fomento de la discusión de problemas a través de una comunidad abierta
• La definición de estándares

Question 18

¿Cuáles son los patrocinadores principales de OWASP?

Answer 18

Foundstone, Deloitter, Visa, Unisys

Question 19

¿Cuáles son los proyectos más destacados de OWASP?

Answer 19

• OWASP Top Ten Project: Representa un consenso a nivel global sobre las 10 vulnerabilidades web
más importantes
• WebGoat: Herramienta destinada a la educación y que permite practicar y explotar las vulnerabilidades más frecuentes de un sitio Web
• WebScarab: Es un framework para el análisis de aplicaciones que utilizan como base los protocolos HTTP y HTTPS

Question 20

Las guías más relevantes de OWASP:

Answer 20

• Development Guide
– Guía para la construcción de aplicaciones web seguras
• Code Review Guide
– Guía para la revisión de código para la garantía de software seguro
• Testing Guide
– Guía y herramientas para pruebas de intrusiones y garantía de software seguro

Question 21

OWASP: Principios básicos de la seguridad de cualquier aplicación o servicio
web

Answer 21

• Validación de la entrada y salida de información
• Diseños simples
• Utilización y reutilización de componentes de confianza
• Defensa en profundidad
• Verificación de privilegios
• Ofrecer la mínima información

Question 22

¿Qué directivas se deben seguir si se guardan datos de tarjeta de crédito?

Answer 22

Debe seguir las directivas de PCI al pie de la letra. Se recomienda encarecidamente que no almacene datos de tarjetas de crédito.

Question 23

¿Qué es phishing?

Answer 23

El phishing es una tergiversación donde el criminal utiliza ingeniería social para aparecer como una identidad legitima. Hasta un 5% de los usuarios parecen ser atraídos en este tipo de ataques.

Question 24

OWASP está dividida conceptualmente en dos grandes partes:

Answer 24

• Marco de trabajo de pruebas en el Ciclo de Vida del Desarrollo del Software (SDLC Testing Framework)
• Vulnerabilidades más comunes en Aplicaciones Web es una guía y no un documento formal que seguir al «pie de la letra»

Question 25

El framework de pruebas de OWASP está estructurado de la siguiente forma:

Answer 25

Fase 1: Antes de empezar el desarrollo
Fase 2: Durante el diseño y definición
Fase 3: Durante el desarrollo
Fase 4: Durante la implementación
Fase 5: Mantenimiento y operación

Question 26

La Guía de Pruebas de OWASP contempla y analiza en detalle las pruebas que hay que realizar para los siguientes grupos de vulnerabilidades:

Answer 26

• Recolección de información
• Pruebas de gestión de configuración
• Pruebas de autenticación
• Pruebas de gestión de sesiones
• Pruebas de autorización
• Pruebas de validación de datos
• Pruebas de denegación de servicio
• Pruebas de servicios web
• Pruebas de AJAX

Question 27

Se estima que hoy en día la mayor parte de ataques contra aplicaciones web se aprovechan de vulnerabilidades presentes en:

Answer 27

La aplicación web.

Question 28

¿Cuál es un peligro comúnmente asociado al uso de sesiones?

Answer 28

Reutilización, falsificación o intercepción de sesión.

Question 29

Los datos sobre autorización y roles del cliente una vez este ha sido identificado deben ser almacenados en:

Answer 29

Sesiones