Security number 1

En la lista Full Disclosure se revelan todo tipo de detalles sobre un problema de seguridad en cuanto este es conocido. Verdadero. Falso.

Los componentes principales de MetaSploit se pueden resumir en msfconsole, módulos y herramientas. Verdadero. Falso.

Para que una vulnerabilidad recién descubierta sea incorporada al listado CVE, debe seguir un proceso que consta de 3 etapas: Etapa de presentación inicial y tratamiento, etapa de candidatura y etapa de publicación. Verdadero. Falso.

Llamamos pentesting al conjunto de ataques simulados dirigidos a un sistema informático para detectar posibles vulnerabilidades con el fin de que sean corregidas y no puedan ser explotadas. Verdadero. Falso.

Existe un mercado negro en el cual se realiza tanto la compra como la venta de vulnerabilidades de sistemas popularmente conocidos. Falso. Verdadero.

El NVD es el repositorio del gobierno de EEUU de datos de gestión de vulnerabilidades basados en estándares representados mediante el protocolo de automatización de contenido de seguridad (SCAP). Falso. Verdadero.

Bugtraq así como BackTrack y Katrina son distribuciones de pentesting y análisis forense. Verdadero. Falso.

CVE es una lista de información registrada sobre vulnerabilidades de seguridad conocidas. Esta lista no incluye las vulnerabilidades 0days. Falso. Verdadero.

Una vulnerabilidad 0day es un tipo de vulnerabilidad que acaba de ser descubierta y que aún no tiene un parche que la solucione. Verdadero. Falso.

CVE-YYYY-NNNN es el formato que siguen todas las vulnerabilidades candidatas a entrar en el CVE. Falso. Verdadero.

En cuanto a los pentesting de caja blanca, al realizar el test no se cuenta con información alguna sobre la aplicación, sistema o arquitectura. Falso. Verdadero.

El correo electrónico es uno de los vectores de amenazas que menos preocupa a los responsables de seguridad. Verdadero. Falso.

Los pentesting se clasifican en función de la información conocida por el pentester antes de elaborar el test. Podemos encontrar 3 tipos: Caja blanca, Caja gris, y caja negra. Verdadero. Falso.

El proceso para realizar el pentesting se conforma de 5 fases: Recopilación de información, análisis de vulnerabilidades, explotación, post-explotación y reporte de informes. Verdadero. Falso.

El NVD no incluye bases de datos de referencias de listas de verificación de seguridad, fallas de software relacionadas con la seguridad, configuraciones incorrectas, nombres de productos y métricas de impacto. Falso. Verdadero.

Puede llegar un caso en que varias vulnerabilidades tengan asociadas un mismo CVE-ID. Verdadero. Falso.

La lista Seclist.org Full Disclosure Mailing List publica información detallada de vulnerabilidades y técnicas de explotación de sistemas. Verdadero. Falso.

Un exploit es un fragmento de código que se aprovecha de las debilidades de seguridad (vulnerabilidades) de un sistema con el fin de provocar un comportamiento no intencionado o para obtener acceso no autorizado a datos confidenciales. Verdadero. Falso.

Aunque los autores de un sistema detecten vulnerabilidad y desarrollen el parche de seguridad correspondiente. El exploit puede seguir explotando dicha vulnerabilidad. Verdadero. Falso.

Si un exploit es una vulnerabilidad, el contenido que causa el daño en el sistema utilizando dicha vulnerabilidad se denomina payload. Verdadero. Falso.

El administrador de un sistema basado en tecnologías de la información debe conocer sus posibles vulnerabilidades, así como los medios adecuados para reducir los riesgos asociados a las mismas. Verdadero. Falso.

Un ataque Zero day tiene como objetivo la ejecución de código malicioso gracias al conocimiento de vulnerabilidades que son desconocidas para los usuarios y para el fabricante del producto, es decir que todavía no han sido arregladas. Falso. Verdadero.