AUDITORIA - SVA

Contenido
I.

INTRODUCCION......................................................................................... 2

II. LUGAR Y UBICACION................................................................................. 3

2.1.

Ubicacin............................................................................................... 4

2.2.

Organizacin.......................................................................................... 4

2.3.

Funciones............................................................................................... 4

2.4.

Misin y Visin........................................................................................ 5

2.4.1.

Misin.............................................................................................. 5

2.4.2.

Visin............................................................................................... 5

2.5.

Valores, principios y actitudes.................................................................5

2.5.1.

Valores............................................................................................. 5

2.5.2.

Principios......................................................................................... 5

2.5.3.

Actitudes.......................................................................................... 5

2.6.

Ejes estratgicos.................................................................................... 6

2.7.

Estructura orgnica................................................................................. 6

2.7.1.

Organigrama institucional.................................................................6

III.

AUDITORIAS REALIZADAS..................................................................10

IV.

HALLAZGOS.......................................................................................... 13

I.

RECOMENDACIONES............................................................................... 23

II. CONCLUSIONES....................................................................................... 24

I. INTRODUCCION
2

Desarrollar auditorias sobre una organizacin, empresa pblica o

privada refuerza los aspectos de calidad que deben de cumplir cada
una de ellas y asegura que los recursos entregados o dispuestos
sean utilizados de forma idnea.
Para el presente proyecto, se desarrollarla una auditoria de
seguridad al SISTEMA VIRTUAL DE AUTOEVALUACION, dicho sistema
que se encuentra en la fase de Pruebas. Con la finalidad de hallar
vulnerabilidades en el sistema se aplicaran distintos tipos de
pruebas que avalen la seguridad con la que cuentan actualmente.

II. LUGAR Y UBICACION

2.1.

Ubicacin
3

2.2.

Departamento : Hunuco.

Provincia

: Leoncio Prado.

Distrito

: Rupa Rupa.

Organizacin
La DICA es el rgano dependiente del Rectorado, encargada de

planificar, organizar, dirigir, supervisar, evaluar y acompaar en el cumplimiento de

los estndares, normas y directivas del Sistema de Calidad de la UNAS.
2.3.

Funciones
Son funciones de la DICA:

Formular y proponer a la autoridad universitaria los lineamientos para la

formulacin de las polticas de calidad universitaria institucional

2.4.

Misin y Visin
2.4.1. Misin
La Direccin de Calidad es la entidad que gestiona el conocimiento y

promueve una cultura de calidad de forma pertinente.

2.4.2. Visin
Ser una entidad referente en Gestin de la Calidad Universitaria.
2.5.

Valores, principios y actitudes.

2.5.1. Valores

Responsabilidad.

Pertinencia.

Identidad.

Compromiso.

Honestidad.

2.5.2. Principios

Coherencia.

Idoneidad.
4

Transparencia.

Integridad.

Eficacia.

Eficiencia.

2.5.3. Actitudes

2.6.

Trabajo en equipo.

Comunicacin efectiva.

Tolerancia.

Cooperacin.

Ejes estratgicos

Gestin del conocimiento.

Cultura organizacional.

Acreditacin.

III. AUDITORIAS
REALIZADAS
Las auditorias sers desarrollada en la aplicacin Web denominado
SISTEMA VIRTUAL DE AUTOEVALUACION, aplicativo que cuenta con las
siguientes caractersticas en el desarrollo:

Lenguaje de programacin Java.

Hibernate.
Hibernate es una herramienta de Mapeo objeto-relacional (ORM)
para la plataforma Java (y disponible tambin para .Net con el
nombre de NHibernate) que facilita el mapeo de atributos entre
una base de datos relacional tradicional y el modelo de objetos de
una aplicacin, mediante archivos declarativos (XML) o
anotaciones en los beans de las entidades que permiten
establecer estas relaciones.
JSF Primefaces.
PrimeFaces es una librera de componentes para JavaServer Faces
(JSF) de cdigo abierto que cuenta con un conjunto de
5

componentes enriquecidos que facilitan la creacin de las

aplicaciones web.
INJECTION SQL
Es una tcnica utilizada por personas maliciosas con el fin de alterar o
atacar un sitio o servidor a travs de comandos SQL. Las inyecciones
utilizan informacin de entrada del usuario combinado con comandos
SQL para construir una consulta SQL maliciosa.
Con estas inyecciones se pueden obtener datos escondidos, eliminar
o sobrescribir datos en la base de datos y hasta lograr ejecutar
comandos peligrosos en la mquina donde est la base de datos. El
hecho de que un servidor pueda verse afectado por las inyecciones
SQL se debe a la falta de medidas de seguridad por parte de sus
diseadores/programadores, especialmente por una mala filtracin de
las entradas (por formularios, cookies o parmetros).

III.1. ATAQUE DE FUERZA BRUTA

Se denomina ataque de fuerza bruta a la forma de recuperar
una clave probando todas las combinaciones posibles hasta encontrar
aquella que permite el acceso.
Dicho de otro modo, define al procedimiento por el cual a partir del
conocimiento del algoritmo de cifrado empleado y de un par texto
claro/texto cifrado, se realiza el cifrado (respectivamente, descifrado)
de uno de los miembros del par con cada una de las posibles
combinaciones de clave, hasta obtener el otro miembro del par.

III.2. ANALISIS DE TRAFICO DE RED

Wireshark es un analizador de protocolos open-source diseado por

Gerald Combs y que actualmente est disponible para plataformas
Windows y Unix. Conocido originalmente como Ethereal, su principal
objetivo es el anlisis de trfico adems de ser una excelente
aplicacin didctica para el estudio de las comunicaciones y para la
resolucin de problemas de red. Wireshark implementa una amplia
gama de filtros que facilitan la definicin de criterios de bsqueda
para los ms de 1100 protocolos soportados actualmente (versin
1.4.3); y todo ello por medio de una interfaz sencilla e intuitiva que
permite desglosar por capas cada uno de los paquetes capturados.
Gracias a que Wireshark entiende la estructura de los protocolos,
podemos visualizar los campos de cada una de las cabeceras y capas
que componen los paquetes monitorizados, proporcionando un gran
abanico de posibilidades al administrador de redes a la hora de
abordar ciertas tareas en el anlisis de trfico.

III.3. ANALISIS DE VULNERABILIDAD

7

El escner de vulnerabilidades Nessus tiene una alta velocidad de

descubrimientos, auditoria de configuracin, perfilado de activos,
descubrimiento de informacin sensible y anlisis de vulnerabilidades
del punto de vista de la seguridad de la organizacin. Ahora ofrece
esa misma tecnologa como un modelo alojado on-line en la nube
para un despliegue ms sencillo y rpido y provee auditorias de
terceros de las infraestructuras conectadas a Internet.

IV. HALLAZGOS
5.1. INJECCTION SQL.
De acuerdo a las pruebas desarrollas sobre el Sistema Virtual de
Autoevaluacin, no presenta vulnerabilidad al ataque de Injeccion
SQL, esto debido a algunas razones como:
El sistema est desarrollado bajo Hibernate, el que este desarrollado
haciendo uso de ese framewok automticamente los ataques de
Injection son impedidos de afectar al SVA.
5.2. ANALISIS DE VULNERABILIDAD CON NESSUS.

POSTGRESQL Y GLASSFISH

Certificado SSL no se puede confiar

Descripcin
Certificado X.509 del servidor no tiene una firma de una autoridad de
certificacin pblica conocida. Esta situacin puede ocurrir de tres maneras
9

diferentes, cada una de las cuales da lugar a una ruptura de la cadena por
debajo del cual los certificados no se pueden confiar.
Primero, la parte superior de la cadena de certificado enviado por el servidor
podra no ser descendiente de una entidad de certificacin pblica conocida.
Segundo, la cadena de certificados puede contener un certificado que no es
vlido en el momento de la exploracin.
Tercero, la cadena de certificados puede contener una firma que, o bien no
coincide con la informacin del certificado, o podra no puede ser verificada.
Las firmas que no pudieron ser verificados son el resultado del emisor del
certificado utilizando un algoritmo de firma que Nessus no es compatible o no
reconoce. Si el host remoto es un sistema pblico en la produccin, que se
corte la cadena hace que sea ms difcil para los usuarios para verificar la
autenticidad y la identidad del servidor web.
Solucin
Comprar o generar un certificado adecuado para este servicio.
Certificado SSL con el nombre de host incorrecto
Descripcin
El commonName (CN) del certificado SSL presentado en este servicio es de
una mquina diferente.
Solucin
Comprar o generar un certificado adecuado para este servicio.
SSL certificado autofirmado
Descripcin
La cadena de certificados X.509 para este servicio no est firmado por una
autoridad de certificacin reconocida. Si la mquina remota es un anfitrin
pblico en la produccin, esto anula el uso de SSL como cualquiera podra
establecer un ataque man-in-the-middle contra el host remoto.
Solucin
Comprar o generar un certificado adecuado para este servicio.
SSL Certificate Chain Contiene Claves RSA menos de 2048
bits
Descripcin
Al menos uno de los certificados X.509 enviado por el host remoto tiene una
clave que es ms corto que 2048 bits. De acuerdo con estndares de la
industria establecidos por la Autoridad de Certificacin / Browser (CA / B)
Forum, los certificados expedidos despus del 1 de enero 2014 deben ser de al
menos 2048 bits. Algunas implementaciones de navegador SSL pueden
rechazar teclas menos de 2048 bits despus del 1 de enero de 2014. Adems,
algunos proveedores de certificados SSL pueden revocar certificados de menos
de 2048 bits antes del 1 de enero de 2014.

10

Solucin
Vuelva a colocar el certificado de la cadena con la clave RSA de menos de
2048 bits de longitud con una clave ms larga, y vuelva a emitir los
certificados firmados por el antiguo certificado.
Salida
Los siguientes certificados eran parte de la cadena de certificados enviados
por el host remoto, pero contener claves RSA que se consideran siendo dbil.

Servidor web utiliza formularios de autenticacin de texto

sin formato
Descripcin
El servidor web remoto contiene varios campos de formulario HTML que
contienen una entrada del tipo 'password', que transmiten su informacin a un
servidor web remoto en texto plano. Un atacante espiando el trfico entre el
navegador y el servidor puede obtener nombres de usuario y las contraseas
de los usuarios vlidos.
Solucin
Asegrese de que todas las formas sensibles transmite el contenido a travs
de HTTPS.

Escner SYN Nessus

Descripcin
Este plugin es un escner de puertos SYN 'entreabierta'. Ser bastante rpido
incluso en contra de un blanco con cortafuegos. Tenga en cuenta que las
exploraciones SYN son menos intrusivos que TCP (completos de conexin)
scans contra los servicios rotas, pero pueden causar problemas a los firewalls
menos robustos y dejar las conexiones no cerradas en el destino remoto, si el
de red se carga.
Solucin
Proteja su objetivo con un filtro de IP.
Salida
Puerto 135/TCP result ser abierta
Puerto
135 / tcp / epmap

Hosts
192.168.1.188

Puerto 1028/tcp result ser abierta

Puerto
1028 / tcp / dce-rpc
Puerto 1575/tcp result ser abierta
Puerto
1575 / tcp

Hosts
192.168.1.188
Hosts
192.168.1.188
11

Puerto 1579/tcp result ser abierta

Puerto
1579 / tcp
Puerto 1580/tcp result ser abierta

Hosts
192.168.1.188

Puerto
1580 / tcp
Puerto 1581/tcp result ser abierta

Hosts
192.168.1.188

Puerto
1581 / tcp
Puerto 2869/tcp result ser abierta

Hosts
192.168.1.188

Puerto
2869 / tcp / www
Puerto 3700/tcp result ser abierta

Hosts
192.168.1.188

Puerto
3700 / tcp / GIOP
Puerto 3820/tcp result ser abierta

Hosts
192.168.1.188

Puerto
3820 / tcp / GIOP
Puerto 3920/tcp result ser abierta

Hosts
192.168.1.188

Puerto
3920 / tcp
Puerto 4848/tcp result ser abierta

Hosts
192.168.1.188

Puerto
4848 / tcp / www
Puerto 5357/tcp result ser abierta

Hosts
192.168.1.188

Puerto
5357 / tcp / www
Puerto 7776/tcp result ser abierta

Hosts
192.168.1.188

Puerto
7776 / tcp
Puerto 8080/tcp result ser abierta

Hosts
192.168.1.188

Puerto
8080 / tcp / www
Puerto 8181/tcp result ser abierta

Hosts
192.168.1.188

Puerto
8181 / tcp
Puerto 8686/tcp result ser abierta

Hosts
192.168.1.188

Puerto
8686 / tcp

Hosts
192.168.1.188

DCE Servicios Enumeracin

Descripcin

12

Mediante el envo de una solicitud de bsqueda para el mapeador de puertos

haca posible enumerar Distributed Computing Environment (DCE) los servicios
que se ejecutan en el puerto remoto.
Salida
Los siguientes servicios estn disponibles localmente DCERPC:
UUID del objeto: 765294ba-60BC-48b8-92e9-89fd77769d91
UUID:-d95afe70 a6d5-4259-822e-2c84da1ddb0d, versin 1.0
Descripcin: servicio RPC Desconocido
Tipo: servicio RPC Local
Tubera designada: WindowsShutdown

Detencin
Descripcin
Fue posible identificar el servicio remoto por su bandera o mirando el mensaje
de error que enva cuando se recibe una peticin HTTP.
Salida
Un servicio habilitado para GIOP se est ejecutando en este puerto.
Puerto
Hosts
3700 / tcp / GIOP
192.168.1.188
Un servicio habilitado para GIOP est ejecutando en este puerto a travs
TLSv1.
Puerto
3820 / tcp / GIOP

Hosts
192.168.1.188

Tipo HTTP del servidor y versin

Descripcin
Este plugin intenta determinar el tipo y la versin del servidor web remoto.
Salida
El tipo de servidor web remoto es:
GlassFish Server Abra Source Edition 3.1.2.2
Puerto
4848 / tcp / www
8080 / tcp / www

Protocolo

de

transferencia

Hosts
192.168.1.188
192.168.1.188

de

hipertexto

(HTTP)

Informacin
Descripcin
13

Esta prueba da una cierta informacin sobre el protocolo HTTP remoto la

versin utilizada. Esta prueba es slo informativo y no indica ningn problema
de seguridad.
Oracle GlassFish HTTP Server Versin
Descripcin
El host remoto se est ejecutando el Oracle GlassFish HTTP Server, que es un
servidor de aplicaciones Java EE. Es posible leer el nmero de versin de las
cabeceras de respuesta HTTP.
Salida
Oracle GlassFish versin 3.1.2.2 se est ejecutando en el puerto 4848.
Puerto
Hosts
4848 / tcp / www
192.168.1.188
Oracle GlassFish versin 3.1.2.2 se est ejecutando en el puerto 8080.
Versiones de SSL / TLS compatibles
Descripcin
Este script detecta que las versiones de SSL y TLS son compatibles con el
servicio remoto para el cifrado de las comunicaciones.
Salida
Este puerto admite SSLv3/TLSv1.0/TLSv1.1/TLSv1.2.

Servidor Web Permite contrasea Auto-Realizacin

Descripcin
El servidor web remoto contiene campo de formulario al menos HTML que
contiene una entrada del tipo 'password'. Aunque esto no representa un riesgo
para este servidor web en s, s significa que los usuarios que utilizar las
formas

afectadas

navegadores,

lo

pueden
que

tener

podra

sus
su

credenciales

vez

conducir

guardadas
a

una

en

prdida

sus
de

confidencialidad si alguno de ellos utilizar un servidor compartido o su

mquina se ve comprometida en algn momento.
Solucin
Agregue el atributo 'autocomplete = off' a estos campos para evitar que los
navegadores de almacenamiento en cach de credenciales.
Ventanas NetBIOS / SMB Informacin del host remoto
Divulgacin
14

Descripcin
El host remoto escucha en el puerto UDP 137 o el puerto TCP 445 y las
respuestas a las solicitudes de NetBIOS nbtscan o SMB.
Salida
Los siguientes 4 nombres NetBIOS se han reunido:
FRANCKP-PC = Nombre del equipo
GRUPO DE TRABAJO = nombre de grupo de trabajo / dominio
FRANCKP-PC = Servicio de servidor de archivos
Workgroup = Elecciones Servicio Browser
El host remoto tiene la direccin MAC de su adaptador siguiente:
a0: 48:1 c: 24:07:50
Puerto
137 / UDP / netbios-ns

Hosts
192.168.1.188

5.3. ANALISIS DEL TRAFICO DE RED.

Mediante el uso del analizador de red Wireshark, se procedi a
capturar trfico de red al instante en que un usuario ingresa a la
aplicacin haciendo uso de sus credenciales como son Usuario y
Clave.

15