Ing De Sistemas
Páginas: 5 (1160 palabras)
Publicado: 26 de septiembre de 2012
I. Introducción
1. Alcance y propósito del documento
Un manejo inadecuado o deficiencia en la operación del sistema o portal cuando se realizan operaciones financieras por Internet puede traducirse en una merma o pérdida del patrimonio económico del usuario, situación que acarrea un riesgo muy alto a este tipo de operaciones por internet, así que en este documento se analizaran los riesgosinherentes de este tipo de transacciones vía online y las estrategias y protocolos de cómo evitar o minimizar el riesgo.
2. Visión general de los riesgos principales
El uso de la internet para acceder y compartir información no es 100% seguro puesto que existen infinidades de programas maliciosos, técnicas de hackeo y sobre todo falta de cultura de seguridad de los usuarios sobre el uso de estetipo de aplicaciones.
II. Tabla de riesgo del proyecto.
1. Descripción de todos los riesgos
Riesgos
1. Falta de contraseñas o uso de contraseñas débiles: Es un problema de seguridad enorme para cualquier transacción, y de igual forma el uso de contraseñas por defecto o de pocos caracteres.
2. Demasiados puertos abiertos para que algún usuario pueda conectarse a su PC escontraproducente.
3. Insuficiente filtrado de los paquetes con direcciones de inicio y destino inadecuadas: La falsificación de direcciones IP es un método comúnmente utilizado por los atacantes para cubrir sus huellas cuando atacan a una víctima, Por ejemplo, el popular ataque "smurf" hace uso de una característica de los enrutadores (routers) para enviar una secuencia de paquetes a miles de máquinaselpopular ataque "smurf" hace uso de una característica de los enrutadores (routers) para enviar una secuencia de paquetes a miles de máquinas donde cada paquete contiene una dirección IP de origen que es suplantada de una víctima, se puede traducir en: Robo de información, Suplantación de identidad, Modificación de información:
4. Programas CGI vulnerables: Los programas CGI vulnerables resultanespecialmente atractivos para los intrusos ya que son relativamente fáciles de localizar y de operar con los mismos privilegios y poder que tiene el software del servidor Web. Es de sobra conocido el hecho de que los intrusos abusan de los programas CGI para modificar páginas Web, robar información de tarjetas de crédito e instalar puertas traseras que les servirán para posteriormente teneracceso a los sistemas comprometidos.
III. Reducción, supervisión y gestión del riesgo
Riesgo 1:
Utilice contraseñas más fuertes. Escoja aquellas que sean difíciles o imposible de suponer.
Póngale contraseñas diferentes a cada una de las cuentas.
Realice respaldos regulares de datos críticos.
Riesgo 2:
Utilice un antivirus monitoreando toda actividad de archivos, actualizándoloperiódicamente (sugerido una vez a la semana, lo ideal es diariamente).
Cerrar todos los puertos y luego solo abrir los que realmente se necesiten.
Utilizar cortafuegos como barrera entre su computadora e Internet.
Riesgo 3:
Utilizar un mecanismo de filtrado sobre el tráfico que entra en la red (ingress filtering) y el que sale (egress filtering) le ayudará a lograr un alto nivel de protección.Uso de protocolos SET(Transacción Electrónica Segura): El cual utiliza los certificados digitales expedidos por una Autoridad en certificación, para encriptar los datos de la tarjeta de crédito.
Riesgo 4:
Uso de pentesting y hacking metasploit que permiten explotar esta vulnerabilidad del código fuente de las aplicaciones Web.
Uso de las versiones más recientes del lenguajes deprogramación del lado del servidor y cliente
Añadir las siguientes reglas en el fichero .htaccess( configuraciones de acceso) los cuales restringe y bloquea (usando allow/deny) usuarios por su dirección IP y/o dominio e ISPs, permite bloquear bots y arañas web.
Estrategia general.
* Alertar sobre los riesgos del proyecto y evitar que los administradores y desarrolladores los ignoren en la...
1. Alcance y propósito del documento
Un manejo inadecuado o deficiencia en la operación del sistema o portal cuando se realizan operaciones financieras por Internet puede traducirse en una merma o pérdida del patrimonio económico del usuario, situación que acarrea un riesgo muy alto a este tipo de operaciones por internet, así que en este documento se analizaran los riesgosinherentes de este tipo de transacciones vía online y las estrategias y protocolos de cómo evitar o minimizar el riesgo.
2. Visión general de los riesgos principales
El uso de la internet para acceder y compartir información no es 100% seguro puesto que existen infinidades de programas maliciosos, técnicas de hackeo y sobre todo falta de cultura de seguridad de los usuarios sobre el uso de estetipo de aplicaciones.
II. Tabla de riesgo del proyecto.
1. Descripción de todos los riesgos
Riesgos
1. Falta de contraseñas o uso de contraseñas débiles: Es un problema de seguridad enorme para cualquier transacción, y de igual forma el uso de contraseñas por defecto o de pocos caracteres.
2. Demasiados puertos abiertos para que algún usuario pueda conectarse a su PC escontraproducente.
3. Insuficiente filtrado de los paquetes con direcciones de inicio y destino inadecuadas: La falsificación de direcciones IP es un método comúnmente utilizado por los atacantes para cubrir sus huellas cuando atacan a una víctima, Por ejemplo, el popular ataque "smurf" hace uso de una característica de los enrutadores (routers) para enviar una secuencia de paquetes a miles de máquinaselpopular ataque "smurf" hace uso de una característica de los enrutadores (routers) para enviar una secuencia de paquetes a miles de máquinas donde cada paquete contiene una dirección IP de origen que es suplantada de una víctima, se puede traducir en: Robo de información, Suplantación de identidad, Modificación de información:
4. Programas CGI vulnerables: Los programas CGI vulnerables resultanespecialmente atractivos para los intrusos ya que son relativamente fáciles de localizar y de operar con los mismos privilegios y poder que tiene el software del servidor Web. Es de sobra conocido el hecho de que los intrusos abusan de los programas CGI para modificar páginas Web, robar información de tarjetas de crédito e instalar puertas traseras que les servirán para posteriormente teneracceso a los sistemas comprometidos.
III. Reducción, supervisión y gestión del riesgo
Riesgo 1:
Utilice contraseñas más fuertes. Escoja aquellas que sean difíciles o imposible de suponer.
Póngale contraseñas diferentes a cada una de las cuentas.
Realice respaldos regulares de datos críticos.
Riesgo 2:
Utilice un antivirus monitoreando toda actividad de archivos, actualizándoloperiódicamente (sugerido una vez a la semana, lo ideal es diariamente).
Cerrar todos los puertos y luego solo abrir los que realmente se necesiten.
Utilizar cortafuegos como barrera entre su computadora e Internet.
Riesgo 3:
Utilizar un mecanismo de filtrado sobre el tráfico que entra en la red (ingress filtering) y el que sale (egress filtering) le ayudará a lograr un alto nivel de protección.Uso de protocolos SET(Transacción Electrónica Segura): El cual utiliza los certificados digitales expedidos por una Autoridad en certificación, para encriptar los datos de la tarjeta de crédito.
Riesgo 4:
Uso de pentesting y hacking metasploit que permiten explotar esta vulnerabilidad del código fuente de las aplicaciones Web.
Uso de las versiones más recientes del lenguajes deprogramación del lado del servidor y cliente
Añadir las siguientes reglas en el fichero .htaccess( configuraciones de acceso) los cuales restringe y bloquea (usando allow/deny) usuarios por su dirección IP y/o dominio e ISPs, permite bloquear bots y arañas web.
Estrategia general.
* Alertar sobre los riesgos del proyecto y evitar que los administradores y desarrolladores los ignoren en la...
Leer documento completo
Regístrate para leer el documento completo.