DSSA Test 25-A

Señalar la respuesta incorrecta. Unas pruebas de seguridad son consideradas “Open Source Security Testing Methodology Manual (OSSTMM)” si es: Válido más allá del período de tiempo «actual». Basado en el mérito del testador y analista, y no en marcas comerciales. Exhaustivo. Concordante con leyes internacionales.

Señalar la respuesta incorrecta. Entre los tipos de auditorías técnicas de seguridad tenemos: Auditorías de seguridad internas. Auditorías de redes WIFI. Auditorías de aplicaciones Web. Ninguna de las anteriores.

Señalar la respuesta correcta. Una distinción que puede hacerse entre prueba de cumplimiento y prueba sustantiva es que la prueba de cumplimiento prueba: Detalla, mientras que la prueba sustantiva prueba los procedimientos. Controla, mientras que la prueba sustantiva prueba los detalles. Planea, mientras que la prueba sustantiva prueba procedimientos. Para los requerimientos regulatorios, mientras que la prueba sustantiva prueba las validaciones.

Señalar la respuesta correcta. Un auditor de SI está realizando una auditoria a un servidor de copias de respaldo administrado desde una ubicación remota. El auditor de SI revisa los logs de un día y descubre un caso en el cual el inicio de sesión en un servidor falló con el resultado de que no se puedo confirmar los reinicios de la copia de respaldo. ¿Qué debería hacer el auditor?. Emitir un hallazgo de auditoría. Solicitar una explicación de la gerencia de SI. Revisar las clasificaciones de datos guardados en el servidor. Ampliar la muestra de logs revisados.

Señalar la respuesta correcta. Según Ron Weber, la auditoría de sistemas de información es: Es la revisión independiente de los test de intrusión. Ron Weber estableció las bases del control interno informático. No definió nunca la auditoría informática o de sistemas de información. La auditoría de Sistemas de Información es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informático salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los fines de la organización y utiliza eficientemente los recursos. Todas las anteriores.

Señalar la respuesta correcta. En materia de Planes de Contingencia, y la auditoría de controles de seguridad en esta área, pueden considerarse como controles adecuados: La existencia de un Plan de Copias. La realización periódica de pruebas de contingencia. La documentación de un procedimiento de actuación ante crisis. Todas las anteriores afirmaciones son ciertas.

Señalar la respuesta correcta. El desarrollo de software seguro y confiable requiere la adopción de un proceso sistemático o disciplina que aborde la seguridad en cada una de las fases de su ciclo de vida. Se debe integrar en el mismo dos tipos de actividades: Seguimiento de unos principios de calidad. Una serie de buenas prácticas de diseño. Seguimiento de unos principios de diseño seguro y una serie de buenas prácticas de seguridad. Ninguna de las anteriores.

Señalar la respuesta correcta. Cuando el software es capaz de resistir los ataques de los agentes maliciosos recuperándose hasta un mínimo nivel de servicio preestablecido y no viola la política de seguridad, se dice que exhibe: Fiabilidad. Resiliencia. Recuperación. Robustez.

Señalar la respuesta incorrecta. Ejemplo de errores comunes a la hora de aplicar el principio de “Mínimo Privilegio”: Aplicación de derechos de administrador. Usuarios con derechos de administrador. Instalación de aplicaciones y servicios con el usuario de administrador. Servicios y procesos con privilegios por tiempo definido.

Señalar la respuesta correcta. ¿Cuándo se da lugar, de forma general, un ataque de desbordamiento de búfer?. Cuando copia un búfer de la pila al heap. Cuando se escribe en la memoria apuntada por un puntero que no ha sido liberada. Cuando el programa detecta que el búfer no está lleno. Cuando un puntero es usado para acceder a memoria no apuntada por él.

Dado el siguiente diagrama de casos de uso, desarrollar: a) Un caso de abuso. b) Un caso de uso de seguridad. c) Extraer al menos 3 requisitos de seguridad.

Desarrolle el análisis de caja gris, en el marco de la práctica de seguridad “Pruebas basadas en riesgo”.

Explicar qué tipo de vulnerabilidad se comete y cómo se remedia en este fragmento de código: Código 1: char *FixFilename(char *filename, int cd, int *ret) { ... char fn[128], user[128], *s; ... s = strrchr(filename, '/'); if (s) { strcpy(fn, s + 1); } }.

Explicar qué tipo de vulnerabilidad se comete y cómo se remedia en este fragmento de código: Código 2: int *ab = (int *)malloc(SIZE); ... if (c == 'EOF') { free(ab); } ... free(ab);.