desaf

Señalar la respuesta correcta. Indique de las siguientes respuestas, cual no es una causa de aparición de vulnerabilidades en el software. A. No realización de pruebas seguridad basadas en riesgo. B. Cambios de requisitos del proyecto durante la etapa de especificación. C. Mezcla de código proveniente de varios orígenes. D. Tamaño excesivo y complejidad de las aplicaciones.

Señalar la respuesta incorrecta. ¿Cuál de los siguientes parámetros se utiliza para identificar una vulnerabilidad?. A. Vector. B. Donde. C. Fecha. D. Producto.

Señalar la respuesta incorrecta. El cálculo de código CVSS se realiza en base a tres tipos de métricas: A. Métricas base. B. Métricas estadísticas. C. Métricas temporales. D. Métricas ambientales.

Señalar la respuesta incorrecta. Los elementos clave de un proceso de S-SDLC son: A. Gestión de configuración versiones. B. Pruebas de seguridad. C. Despliegue y distribución. D. Hitos de control en las fases del SDLC.

Indicar la respuesta correcta. ¿A qué principio de diseño le corresponde la siguiente afirmación: “Estrategia de protección consistente en introducir múltiples capas de seguridad, que permiten reducir la probabilidad de compromiso en caso de que una de las capas falle y en el peor de los casos minimizar el impacto”. A. Seguridad por defecto. B. Separación de privilegios. C. Separación de dominios. D. Defensa en profundidad.

Señalar la práctica de seguridad a la que corresponde la siguiente afirmación: “Constituyen otra forma de representar la mentalidad del atacante en su descripción comportamiento del sistema bajo un ataque”. A. Test de Penetración. B. Revisión de código. C. Casos de abuso. D. Principios de diseño.

Señalar la respuesta incorrecta. La información utilizada durante un proceso de modelado de amenazas de una aplicación incluye: A. Patrones de ataque. B. El tipo de vulnerabilidades que se tienen. C. Resultados de pruebas. D. La naturaleza de las amenazas al software.

Señalar la práctica de seguridad a la que corresponde la siguiente afirmación: “Son soluciones generales repetibles a un problema de ingeniería de software recurrente, destinadas a obtener un software menos vulnerable y un diseño más resistente y tolerante a los ataques, normalmente se limitan a funciones y controles de seguridad a nivel del sistema, comunicaciones e información”. A. Test de Penetración. B. Revisión de código. C. Casos de abuso. D. Patrones de diseño.

Indicar la respuesta incorrecta. ¿Cuál son las principales causas de la aparición de vulnerabilidades en el Software?. A. Integración de los componentes del software defectuosa, estableciendo relaciones de confianza inadecuadas entre ellos, etc. B. Mezcla de código proveniente de varios orígenes. C. Tamaño excesivo y complejidad de las aplicaciones. D. Cambios de requisitos del proyecto durante la etapa de requisitos.

Señale la respuesta correcta. ¿Cuál de las siguientes fases del ciclo de vida de una vulnerabilidad no lo es?. A. Verificación inicial de la vulnerabilidad. B. Descubrimiento. C. Validación final por el usuario. D. Solución: los programadores del producto buscan solución en entornos controlados.

Señalar la respuesta incorrecta. Las fuentes de las vulnerabilidades se deben a: A. Fallos provenientes de la codificación de los diseños del software realizados. B. Fallos provenientes de la cadena de distribución del software. C. Los sistemas hardware o software contienen frecuentemente fallos de diseño que pueden ser utilizados para realizar un ataque. D. La instalación software por defecto implica por lo general la instalación de servicios que no se usan, pero que pueden presentar debilidades que comprometan la máquina.

Señalar la respuesta correcta. ¿Cuál de las siguientes afirmaciones sobre la seguridad del software es correcta?. A. Arreglar errores y debilidades del software después de ponerlo en producción es más dificultoso y económicamente caro. B. Los desarrolladores en su mayoría tienen conocimientos profundos de seguridad del software. C. Incluir prácticas de seguridad como “Análisis del riesgo Arquitectónico” puede resultar en la comisión de errores en el diseño que resulten en futuras debilidades en el software. D. Todas las anteriores.

Señalar la respuesta correcta. ¿Qué es un caso de abuso?. A. Un escenario que ilustra de manera gráfica y textual potenciales fallos de seguridad ante específicas circunstancias. B. Una base de datos del MITRE. C. Un escenario que ilustra de manera gráfica y textual funcionalidades de seguridad del software ante específicas circunstancias. D. Un patrón de diseño para un desarrollador.

Señalar la respuesta correcta. El objetivo del principio de seguridad de menor privilegio es: A. Reducir el número de vulnerabilidades en el código fuente de una aplicación. B. Limitar el impacto que podría suponer el compromiso de un sistema de información por parte de un atacante. C. Ayudar, durante el diseño de una aplicación, a seleccionar la mejor tecnología para la autenticación. D. Ninguna de las anteriores.

Señalar la respuesta correcta. El objetivo del principio de seguridad por defecto es: A. Ofrecer al usuario una aplicación segura después de una compleja aplicación. B. Aplicaciones pre-configuradas con contraseñas por defecto. C. Ofrecer al usuario una aplicación segura desde un primer momento, sin pasar por una previa y compleja configuración. D. Ninguna de las anteriores.

Señalar la respuesta incorrecta. Entre las razones principales para añadir prácticas de seguridad en el SDLC tenemos: A. Mayor probabilidad de capturar adecuadamente los requisitos. B. Mayor probabilidad de tomar decisiones de diseño correctas y no cometer errores involuntarios de codificación. C. Dificultad de los agentes maliciosos para explotar vulnerabilidades y debilidades del software. D. Mayor probabilidad de que el software funcione correctamente.

Señalar la respuesta correcta. Un método sistemático para caracterizar la seguridad de un sistema, basado en la combinación y dependencias de las vulnerabilidades del mismo, que un atacante puede aprovechar para comprometerlo. A. Método de ataque. B. Patrones de ataque. C. Árboles de ataque. D. Modelo de ataque.

Señalar la respuesta correcta. Indicar diferencias entre los casos de uso de seguridad y los casos de abuso. A. El caso de abuso analiza y especifica las amenazas a la seguridad, mientras que el caso de uso de seguridad analiza y especifica los requisitos de seguridad. B. El criterio de éxito de un caso de abuso y un caso de uso de seguridad es el éxito del atacante. C. El caso de uso de seguridad es conducido por el análisis de vulnerabilidades de activos y amenazas y el caso de abuso de seguridad. D. El caso de abuso y el caso de uso de seguridad es usado por el equipo de seguridad.

Señalar la respuesta correcta. Las pruebas de seguridad necesariamente deben implicar algún tipo de las aproximaciones siguientes: A. Pruebas de seguridad del diseño. B. Pruebas de seguridad perspectiva defensor. C. Pruebas funcionales. D. Pruebas de seguridad física.

Señalar la respuesta incorrecta. Los objetivos de las pruebas de seguridad basadas en el riesgo: A. Verificar la operación del software bajo en su entorno de producción. B. Verificar la capacidad de supervisión del software ante la aparición de anomalías, errores y su manejo de las mismas mediante excepciones que minimicen el alcance e impacto de los daños que pueden resultar de los ataques. C. Verificar la falta de defectos y debilidades explotables. D. Verificar la fiabilidad del software, en términos de comportamiento seguro y cambios de estado confiables.

Señalar la respuesta incorrecta. Los factores principales prácticos que determinan la utilidad de una herramienta de análisis estático son: A. La capacidad de la herramienta para comprender el programa que se analiza. B. El equilibrio que la herramienta hace entre la precisión, la profundidad y la velocidad. C. Porcentaje de falsos positivos de la herramienta. D. El interfaz gráfico de la herramienta.

Señalar la respuesta correcta. La principal misión de las pruebas de penetración es: A. Revisar estáticamente el código del sistema. B. Comprobar las vulnerabilidades del software. C. Verificar cómo el software se comporta y resiste ante diferentes tipos de ataques. D. Probar la seguridad de la arquitectura del software.

Señalar la respuesta incorrecta. Recomendaciones sobre las pruebas de penetración: A. Realizar las pruebas más de una vez. B. Realimentación del resultado de las pruebas de penetración anteriormente realizadas. C. Utilización de pruebas de penetración para evaluar aplicaciones COTS. D. Ninguna de las anteriores.

Señalar la respuesta correcta. El principal problema de las herramientas de análisis estático es: A. Falsos negativos que produce. B. Gran cantidad de defectos que encuentra. C. Reglas de la herramienta. D. Falsos positivos que produce.

Señalar la respuesta correcta. Características de una buena implementación, prácticas y defectos a evitar, indicar la respuesta que no es una buena: A. Insistir en el proceso de revisión de código. B. Formación continua. C. Invocar programas en los que no se confía desde otros en los que se confía. D. Manejo de los datos con precaución.

Señalar la respuesta correcta. Indicar cuál de las siguientes respuestas no es una categoría de errores de programación de seguridad: A. Manejo de la entrada de datos. B. Error de diseño de la arquitectura del software. C. Errores y excepciones. D. Desbordamiento de buffer.

Señalar la respuesta incorrecta. ¿Qué validar en las entradas de una aplicación?. A. Validar toda la entrada. B. Validar las estructuras de datos del programa. C. Validar la entrada de todas las fuentes. D. Establecer fronteras de confianza.

Señalar la respuesta incorrecta. Métodos para prevenir integers overflows: A. Usar tipos sin signo. B. Verificar el tamaño de los búfer. C. Restringir la entrada numérica del usuario. D. Entender las reglas de conversión entre enteros.