Actividad de libro Ethical Hacking - Mauricio axel 20 (8)

Vista previa del material en texto

SEGURIDAD EN TIC’S Lopez Anselmo Mauricio Axel 
Actividad del libro Ethical Hacking Fecha de entrega: 23-09-21 
 
 
 
 
TECNOLÓGICO NACIONAL DE MÉXICO. 
INSTITUTO TECNOLÓGICO DE ACAPULCO. 
 
Ingeniería en sistemas computacionales. 
Materia: Seguridad en TIC’S. 
Actividad del libro Ethical Hacking 
Profesor: Dr. Eduardo De La Cruz Gámez 
Alumno: López Anselmo Mauricio Axel 
 
 
No. de control: 18320904 
 
Horario: 13:00pm – 14:00pm 
 
Ciclo escolar: Agosto – Diciembre 2021 
 
 
 
 
 
 
 
 
 
SEGURIDAD EN TIC’S Lopez Anselmo Mauricio Axel 
Actividad del libro Ethical Hacking Fecha de entrega: 23-09-21 
 
 
Actividad 
TEST DE AUTOEVALUACIÓN 
1 .-¿Cuál es el objetivo de los códigos de ética profesional? 
código de comportamiento o de ética, que se crea con el objeto de ofrecer mayores garantías de 
solvencia moral y establecer normas de actuación profesional. Cuando una persona adhiere al 
código de ética de cierta organización o profesión, se está comprometiendo a obrar de modo tal 
de cumplir con los parámetros definidos por ella. Por lo general, el rompimiento de alguno de los 
principios de un código de ética es penalizado con la expulsión de la persona de la entidad en 
cuestión, muchas veces, con la prohibición del ejercicio de la profesión y, cuando no, con el 
sometimiento a las implicancias legales que esto podría tener. 
 
¿Qué plantea la ética hacker? 
 
la ética hacker es una nueva moral, fundada diligentemente, con la aceptación de la rutina, el valor 
del dinero y la preocupación por los resultados, esto quiere decir que la ética del hacker se funda 
en el valor de la creatividad y consiste en combinar pasión con libertad. El dinero deja de ser 
valioso , y el beneficio está en las metas como el valor social, la libertad de la información y la 
transparencia. 
 
2 .-¿Cuál es la diferencia entre un White Hat Hacker y un Black Hat Hacker? 
Los White Hat Hackers son personas con grandes conocimientos de hacking, que utilizan con fines 
defensivos, por el contrario, están los Black Hat Hackers quienes están del lado opuesto a la ley y 
la moral. Son personas con un conocimiento extraordinario que realizan actividades maliciosas o 
destructivas. 
 ¿Y el Grey Hat? 
Los Grey Hat Hackers son personas que trabajan, por momentos, de manera ofensiva, y en otros, 
defensiva, dependiendo de la circunstancia. para luego encontrar asiento en alguno de los lados 
puros. 
3 ¿Cuál es el objetivo principal de una evaluación de seguridad? 
Medir la eficacia de los controles implementados de las organizaciones 
 
4.- Explique cuáles son las dos principales diferencias entre un Vulnerability 
Assessment y un Penetration Test. 
Vulnerability Assessment (VA) o evaluación de vulnerabilidades es utilizado en un sinfín de 
disciplinas y se refiere a la búsqueda de debilidades en distintos tipos de sistemas. Por otro lado 
un pentration test a diferencia de los análisis de vulnerabilidades, estas pruebas no solo identifican 
las vulnerabilidades potenciales, sino que también tratan de explotarlas y, así, confirmar su 
existencia y el impacto real que podrían tener en la organización. 
 
5.- ¿Un test de intrusión realizado con herramientas automatizadas es de menor 
calidad que uno hecho en forma manual? 
No, ya que con las herramientas automatizadas, con una mínima configuración, se realizan los 
analisis de manera rápida y con un buen porcentaje de efectividad, además que al encontrar una 
vulnerabilidad, pueden llegar a explotarla,por otro lado uno manual , en algunos casos depende de 
la conducta, mas allá de ser poco profesional y ética, refleja la falta de criterios profesionales. 
 
 
SEGURIDAD EN TIC’S Lopez Anselmo Mauricio Axel 
Actividad del libro Ethical Hacking Fecha de entrega: 23-09-21 
 
 
6.- ¿Cuál es la diferencia principal entre una evaluación del tipo caja negra versus 
una del tipo caja blanca? 
En el análisis de black box o blind quien hace el análisis no recibe ningún tipo de información, con 
lo cual este examen simula de manera más realista el comportamiento que tendría un atacante 
real, y se lleva a cabo hasta donde las habilidades del especialista lo permitan, a diferencia del 
White box o definido quien solicita el análisis provee a quien lo realiza la información relativa a la 
organización; por ejemplo, bloques de direcciones IP, credenciales de acceso, estructura de 
servidores, etcétera. Por otro lado, también se pacta el alcance de la evaluación, es decir, hasta 
qué punto se está permitido ingresar en los sistemas de la organización y profundizar en su 
estructura tecnológica. 
 
7 .-¿Por qué se recomienda confeccionar dos tipos de informes, uno técnico y otro 
ejecutivo? 
Para permitirle a la organización planificar la remediación de los hallazgos identificados en función 
del riesgo que tengan para su negocio, así como también cada uno presenta sus características y 
está dirigido a diferentes tipos de público. ejecutivo, orientado a la dirección o alta gerencia de la 
Organización. Técnico, orientado al personal de tecnología de esta. 
 
8 .-¿Cuál es el objetivo de la presentación de resultados? 
Su objetivo es en vivo cuáles son lasvulnerabilidades detectadas y las consecuencias para la 
organización si son explotadas. 
 
9.- Enumere las principales organizaciones de seguridad existentes. 
1.- CSI (Center of Internet Security). 
2.- Open Vulnerability and Assessment Language. 
3.- Computer Security Division del NIST. 
 
 
10.- Mencione las principales certificaciones de seguridad que existen en el mercado. 
GIAC Certified Penetration 
Tester (GPEN): www.giac.org/certifications/security/gpen.php 
 OSSTMM Professional Security 
Tester (OPST): www.isecom.org/certification/opst.shtml.