ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA EN SISTEMAS ANÁLISIS Y EVALUACIÓN DE RIESGOS Y VULNERABILIDADES DEL NUEVO PORTAL WEB DE LA ESCUELA POLITÉCNICA NACIONAL, UTILIZANDO METODOLOGÍAS DE HACKEO ÉTICO TRABAJO DE TITULACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS INFORMÁTICOS Y DE COMPUTACIÓN ONOFA CALVOPIÑA FRANKLIN ORLANDO [email protected] PILATUÑA CHICA INTI [email protected] Director: PhD. TORRES OLMEDO JENNY GABRIELA [email protected] QUITO, SEPTIEMBRE 2016 DECLARACIÓN Yo, Onofa Calvopiña Franklin Orlando, declaro bajo juramento que el trabajo aquí descrito es de mi autoría; que no ha sido previamente presentada para ningún grado o calificación profesional; y, que he consultado las referencias bibliográficas que se incluyen en este documento. La Escuela Politécnica Nacional puede hacer uso de los derechos correspondientes a este trabajo, según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la normatividad institucional vigente. Onofa Calvopiña Franklin Orlando DECLARACIÓN Yo, Pilatuña Chica Inti, declaro bajo juramento que el trabajo aquí descrito es de mi autoría; que no ha sido previamente presentada para ningún grado o calificación profesional; y, que he consultado las referencias bibliográficas que se incluyen en este documento. La Escuela Politécnica Nacional puede hacer uso de los derechos correspondientes a este trabajo, según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la normatividad institucional vigente. Pilatuña Chica Inti CERTIFICACIÓN Certifico que el presente trabajo fue desarrollado por Onofa Calvopiña Franklin Orlando y Pilatuña Chica Inti, bajo mi supervisión. PhD. Jenny Torres DIRECTOR AGRADECIMIENTOS Agradezco a mis padres Elena y Polivio quienes fueron mi inspiración a luchar por mis sueños y cumplir con mis metas propuestas. Agradezco a mis hermanos Verónica, Maritza y Polivio por haberme brindado su apoyo incondicional durante todo este tiempo. Agradezco a Robert, quien ha sido como un padre, gracias por tus consejos siempre impulsándome a ser mejor cada día. A mi sobrino Kevin, ya que es una de las razones para seguir adelante, y ser un buen ejemplo para él. A Inti mi mejor amigo, pana, parce, hermano, brou y colega, ya que sin su ayuda no hubiera podido culminar con mi meta, en verdad muchas gracias. A mis amigos Angy, Saku, Mayra, Ale, Pris, Omar, Tefa, la lista es larga pero saben que es para todos, quienes supieron apoyarme y acompañarme durante mi carrera. A nuestra directora de tesis Jenny, ya que gracias a su apoyo, colaboración y esfuerzo supo guiarnos durante este proceso. Gracias a todos de corazón, gracias su ayuda su apoyo y su compañía durante todo este camino recorrido para poder culminar y cumplir con una de mis metas. Frank AGRADECIMIENTOS Gracias a la vida, porque cada día me da un aliento y fuerza de vida para continuar alcanzando y cumpliendo todas las metas u objetivos personales y profesionales, que de esa manera he seguido creciendo en el aprendizaje diario de la universidad más linda y bella que es la “vida”. Doy unas inmensas gracias a mi mami y papi por todo el apoyo, amor, cariño, aliento, perseverancia, aguante, dedicación e inspiración que me brindan en mí día a día, ya que ellos son el eje fundamental, para seguir levantándome cada día y seguir luchando por cada uno de mis seres más amados. A mi familia chiquita, mis hermanas, mis sobrinos y sobrinas les doy las gracias, por darme su ejemplo, perseverancia, alegrías, cariño y apoyo para continuar la lucha diaria, no dejándonos vencer en el camino que nos hemos propuesto, el de siempre estar juntos y apoyándonos. A mi amigo, pana, parcero, colega, yunta, socio, maestro, hermano y otras más; te doy todas las gracias por el apoyo diario y constancia de seguir adelante sin desfallecer para acabar el presente proyecto y todas las demás metas que han venido y así poder cumplirlas junto a ti ya que sin tu ayuda no se hubieran logrado. A nuestra directora del proyecto, gracias por su ayuda, empeño y colaboración, por ella se ha culminado esta nueva meta profesional. A todos mis amigos y conocidos que de una u otra manera me han apoyado, les doy muchas gracias. A la Universidad y facultad, que me han acogido en sus aulas durante todo este tiempo. PAI!!! Inti DEDICATORIA Dedico este trabajo a mis padres, hermanos y sobrino. Frank. DEDICATORIA Dedico este proyecto a mi madre Martha, mi padre Jaime y a todos mis familiares y amigos. Inti. ÍNDICE DE CONTENIDO LISTA DE FIGURAS ........................................................................................................... I LISTA DE TABLAS ......................................................................................................... III LISTA DE ANEXOS ......................................................................................................... IV RESUMEN .......................................................................................................................... V ABSTRACT ....................................................................................................................... VI INTRODUCCIÓN ........................................................................................................... VII CAPÍTULO 1 ....................................................................................................................... 1 1 MARCO TEÓRICO .................................................................................................... 1 1.1 ASPECTOS GENERALES DE LA SEGURIDAD DE LA INFORMACIÓN .... 1 1.1.1 SEGURIDAD DE LA INFORMACIÓN .......................................................... 1 1.1.2 VULNERABILIDAD ........................................................................................ 3 1.1.3 AMENAZA ....................................................................................................... 3 1.1.4 ATAQUE ........................................................................................................... 5 1.1.5 RIESGO ............................................................................................................. 5 1.1.6 LÍNEAS DE ATAQUE ..................................................................................... 5 1.1.7 HACKER ........................................................................................................... 7 1.2 HACKEO ÉTICO .................................................................................................... 8 1.2.1 FASES DEL HACKEO ÉTICO ........................................................................ 9 CAPÍTULO 2 ..................................................................................................................... 11 2 SELECCIÓN DE LAS METODOLOGÍAS PARA ANÁLISIS DE VULNERABILIDADES Y ANÁLISIS DE RIESGOS .................................................. 11 2.1 SELECCIÓN DE LA METODOLOGÍA PARA ANÁLISIS DE VULNERABILIDADES ............................................................................................... 11 2.1.1 METODOLOGÍAS DE HACKEO ÉTICO ..................................................... 12 2.1.1.1 The Open Source Security Testing Methodology Manual (OSSTM) 12 2.1.1.2 Information Systems Security Assessment Framework (ISSAF) ..... 15 2.1.1.3 Open Web Application Security Project (OWASP) ........................... 18 2.1.1.4 Certified Ethical Hacker (CEH) ........................................................... 20 2.1.2 SELECCIÓN DE LA METODOLOGÍA ........................................................ 22 2.1.2.1 Criterios de evaluación .......................................................................... 22 2.2 SELECCIÓN DE LA METODOLOGÍA PARA ANÁLISIS DE RIESGOS .... 26 2.2.1 METODOLOGÍAS DE ANÁLISIS DE RIESGOS ........................................ 26 2.2.1.1 Metodología OCTAVE Allegro ............................................................ 26 2.2.1.2 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT) ..................................................................................... 30 2.2.1.3 NIST SP 800-30 ...................................................................................... 31 2.2.2 SELECCIÓN DE LA METODOLOGÍA ........................................................ 32 CAPÍTULO 3 ..................................................................................................................... 33 3 ANÁLISIS Y EVALUACIÓN DE RIESGOS ......................................................... 33 3.1 IDENTIFICACIÓN DEL ACTIVO CRÍTICO ................................................... 33 3.1.1 ACTIVOS DE INFORMACIÓN MÁS VALIOSOS PARA LA ORGANIZACIÓN ...................................................................................................... 33 3.1.2 ACTIVOS DE INFORMACIÓN RELACIONADOS .................................... 33 3.1.3 PÉRDIDA DEL ACTIVO DE INFORMACIÓN ........................................... 34 3.1.4 EVENTOS DE SEGURIDAD ........................................................................ 34 3.1.5 DESCRIPCIÓN DEL ACTIVO CRÍTICO ..................................................... 34 3.1.5.1 Arquitectura del portal web de la EPN ............................................... 34 3.1.5.2 Contenedores de información ............................................................... 38 3.1.5.3 Determinación de problemas y necesidades ........................................ 40 3.1.6 PERFIL DEL ACTIVO ................................................................................... 41 3.2 IDENTIFICACIÓN DE AMENAZAS ................................................................. 45 3.3 IDENTIFICACIÓN DE VULNERABILIDADES .............................................. 45 3.3.1 FASE DE PLANEACIÓN Y PREPARACIÓN .............................................. 45 3.3.2 FASE DE EVALUACIÓN .............................................................................. 45 3.3.2.1 Obtención de la información ................................................................ 47 3.3.2.1.1 Examinar DNS / Hallar información del registro de dominio ................. 47 3.3.2.1.2 Examinar DNS / Revisar nombre de servidores ...................................... 49 3.3.2.2 Mapeo de red .......................................................................................... 52 3.3.2.2.1 Escaneo de puertos TCP y UDP .............................................................. 53