Evaluación de efectividad de las pruebas de penetración internas contra el escalamiento de privilegios de usuario
Descripción del Articulo
Los sistemas de información representan una parte importante de las organizaciones actuales, y al mismo tiempo, representan objetivos de ataque para usuarios con intenciones maliciosas principalmente provenientes de la misma organización (usuarios legítimos), lo cual genera la necesidad de encontrar...
| Autor: | |
|---|---|
| Formato: | tesis de grado |
| Fecha de Publicación: | 2022 |
| Institución: | Universidad de Lima |
| Repositorio: | ULIMA-Institucional |
| Lenguaje: | español |
| OAI Identifier: | oai:repositorio.ulima.edu.pe:20.500.12724/17430 |
| Enlace del recurso: | https://hdl.handle.net/20.500.12724/17430 |
| Nivel de acceso: | acceso abierto |
| Materia: | Sistemas de información Redes de computadoras Seguridad informática Information system Computer security Computer networks https://purl.org/pe-repo/ocde/ford#2.02.04 |
| id |
RULI_bbfff201dbc57a225d35577c1e155bc9 |
|---|---|
| oai_identifier_str |
oai:repositorio.ulima.edu.pe:20.500.12724/17430 |
| network_acronym_str |
RULI |
| network_name_str |
ULIMA-Institucional |
| repository_id_str |
3883 |
| dc.title.es_PE.fl_str_mv |
Evaluación de efectividad de las pruebas de penetración internas contra el escalamiento de privilegios de usuario |
| title |
Evaluación de efectividad de las pruebas de penetración internas contra el escalamiento de privilegios de usuario |
| spellingShingle |
Evaluación de efectividad de las pruebas de penetración internas contra el escalamiento de privilegios de usuario Hualpa Ocas, Ronald Ruben Sistemas de información Redes de computadoras Seguridad informática Information system Computer security Computer networks https://purl.org/pe-repo/ocde/ford#2.02.04 |
| title_short |
Evaluación de efectividad de las pruebas de penetración internas contra el escalamiento de privilegios de usuario |
| title_full |
Evaluación de efectividad de las pruebas de penetración internas contra el escalamiento de privilegios de usuario |
| title_fullStr |
Evaluación de efectividad de las pruebas de penetración internas contra el escalamiento de privilegios de usuario |
| title_full_unstemmed |
Evaluación de efectividad de las pruebas de penetración internas contra el escalamiento de privilegios de usuario |
| title_sort |
Evaluación de efectividad de las pruebas de penetración internas contra el escalamiento de privilegios de usuario |
| author |
Hualpa Ocas, Ronald Ruben |
| author_facet |
Hualpa Ocas, Ronald Ruben |
| author_role |
author |
| dc.contributor.student.none.fl_str_mv |
3 |
| dc.contributor.advisor.fl_str_mv |
Díaz Parra, José Raúl |
| dc.contributor.author.fl_str_mv |
Hualpa Ocas, Ronald Ruben |
| dc.subject.es_PE.fl_str_mv |
Sistemas de información Redes de computadoras Seguridad informática Information system Computer security Computer networks |
| topic |
Sistemas de información Redes de computadoras Seguridad informática Information system Computer security Computer networks https://purl.org/pe-repo/ocde/ford#2.02.04 |
| dc.subject.ocde.none.fl_str_mv |
https://purl.org/pe-repo/ocde/ford#2.02.04 |
| description |
Los sistemas de información representan una parte importante de las organizaciones actuales, y al mismo tiempo, representan objetivos de ataque para usuarios con intenciones maliciosas principalmente provenientes de la misma organización (usuarios legítimos), lo cual genera la necesidad de encontrar las vulnerabilidades de estos sistemas. De todas las evaluaciones de vulnerabilidades existentes, las pruebas de penetración internas no son tomadas en cuenta por no conocer exactamente su utilidad y efectividad. Por lo que la presente investigación, utilizó pruebas de penetración internas, comparando la efectividad de estas en 3 variantes del ataque de escalamiento de privilegios de usuario. Se tuvo como objetivo realizar la comparación de efectividad de estos 3 ataques tomados con un conjunto de métricas compuestas por el tiempo de ejecución de las pruebas y el nivel de severidad encontrado con el uso del framework CVSS 3.1. Al realizar la replicación de ataques se observó que con las pruebas de penetración internas fue posible encontrar las vulnerabilidades de un sistema, otorgando información importante como los módulos afectados por los ataques, las vulnerabilidades encontradas y explotadas. Al analizar los resultados se comprobó que las pruebas de penetración permiten encontrar vulnerabilidades de una forma rápida teniendo como evidencia un promedio de 1 minuto y 30 segundos de tiempo de ejecución para todos los escenarios analizados. Además, con los resultados del framework CVSS 3.1 comprobamos que podemos conocer a detalle la severidad de las vulnerabilidades encontradas en estas pruebas, observando que los ataques van desde un 7.6 de nivel alto hasta un 9.0 considerado de nivel crítico. Todos estos datos mencionados sirvieron para demostrar que las pruebas de penetración internas son efectivas y útiles en cuanto a encontrar vulnerabilidades, por lo que deben ser consideradas como unos procedimientos de ciberseguridad importantes para mitigar el problema de los ataques que provienen de fuentes casi indetectables como de usuarios que tienen un acceso legítimo al sistema. |
| publishDate |
2022 |
| dc.date.accessioned.none.fl_str_mv |
2023-01-24T16:26:46Z |
| dc.date.available.none.fl_str_mv |
2023-01-24T16:26:46Z |
| dc.date.issued.fl_str_mv |
2022 |
| dc.type.none.fl_str_mv |
info:eu-repo/semantics/bachelorThesis |
| dc.type.other.none.fl_str_mv |
Tesis |
| format |
bachelorThesis |
| dc.identifier.citation.es_PE.fl_str_mv |
Hualpa Ocas, R. R. (2022). Evaluación de efectividad de las pruebas de penetración internas contra el escalamiento de privilegios de usuario [Tesis para optar el Título Profesional de Ingeniero de Sistemas, Universidad de Lima]. Repositorio institucional de la Universidad de Lima. https://hdl.handle.net/20.500.12724/17430 |
| dc.identifier.uri.none.fl_str_mv |
https://hdl.handle.net/20.500.12724/17430 |
| identifier_str_mv |
Hualpa Ocas, R. R. (2022). Evaluación de efectividad de las pruebas de penetración internas contra el escalamiento de privilegios de usuario [Tesis para optar el Título Profesional de Ingeniero de Sistemas, Universidad de Lima]. Repositorio institucional de la Universidad de Lima. https://hdl.handle.net/20.500.12724/17430 |
| url |
https://hdl.handle.net/20.500.12724/17430 |
| dc.language.iso.none.fl_str_mv |
spa |
| language |
spa |
| dc.relation.ispartof.fl_str_mv |
SUNEDU |
| dc.rights.*.fl_str_mv |
info:eu-repo/semantics/openAccess |
| dc.rights.uri.*.fl_str_mv |
https://creativecommons.org/licenses/by-nc-sa/4.0/ |
| eu_rights_str_mv |
openAccess |
| rights_invalid_str_mv |
https://creativecommons.org/licenses/by-nc-sa/4.0/ |
| dc.format.none.fl_str_mv |
application/pdf |
| dc.publisher.none.fl_str_mv |
Universidad de Lima |
| dc.publisher.country.none.fl_str_mv |
PE |
| publisher.none.fl_str_mv |
Universidad de Lima |
| dc.source.es_PE.fl_str_mv |
Repositorio Institucional - Ulima Universidad de Lima |
| dc.source.none.fl_str_mv |
reponame:ULIMA-Institucional instname:Universidad de Lima instacron:ULIMA |
| instname_str |
Universidad de Lima |
| instacron_str |
ULIMA |
| institution |
ULIMA |
| reponame_str |
ULIMA-Institucional |
| collection |
ULIMA-Institucional |
| bitstream.url.fl_str_mv |
https://repositorio.ulima.edu.pe/bitstream/20.500.12724/17430/2/license_rdf https://repositorio.ulima.edu.pe/bitstream/20.500.12724/17430/4/Hualpa-Ocas_Evaluacion-efectividad-pruebas-penetracion-internas-contra-escalamiento-privilegios-usuario.pdf.txt https://repositorio.ulima.edu.pe/bitstream/20.500.12724/17430/8/FA_72182164_SR.pdf.txt https://repositorio.ulima.edu.pe/bitstream/20.500.12724/17430/10/TURNITIN_DNI_72182164%20-%2020162130.pdf.txt https://repositorio.ulima.edu.pe/bitstream/20.500.12724/17430/1/Hualpa-Ocas_Evaluacion-efectividad-pruebas-penetracion-internas-contra-escalamiento-privilegios-usuario.pdf https://repositorio.ulima.edu.pe/bitstream/20.500.12724/17430/6/FA_72182164_SR.pdf https://repositorio.ulima.edu.pe/bitstream/20.500.12724/17430/7/TURNITIN_DNI_72182164%20-%2020162130.pdf https://repositorio.ulima.edu.pe/bitstream/20.500.12724/17430/3/license.txt https://repositorio.ulima.edu.pe/bitstream/20.500.12724/17430/5/Hualpa-Ocas_Evaluacion-efectividad-pruebas-penetracion-internas-contra-escalamiento-privilegios-usuario.pdf.jpg https://repositorio.ulima.edu.pe/bitstream/20.500.12724/17430/9/FA_72182164_SR.pdf.jpg https://repositorio.ulima.edu.pe/bitstream/20.500.12724/17430/11/TURNITIN_DNI_72182164%20-%2020162130.pdf.jpg |
| bitstream.checksum.fl_str_mv |
3655808e5dd46167956d6870b0f43800 e0c4c72111e36c0d4b60ba59f209a877 68b329da9893e34099c7d8ad5cb9c940 625d81e0e939984a9632d2b474feaab0 db257a608a0126dfcf6a986886cc3f42 1a40018562dbd1a1cd4f884b0fb19947 b5def7322834b7aed315f66cafe9c459 8a4605be74aa9ea9d79846c1fba20a33 ff02c37bd6f206cf56a36cc31c6b8a27 df17f29b36c94a542b7c4a46052660e4 b4610c232a0d34b24499722834fc7fd0 |
| bitstream.checksumAlgorithm.fl_str_mv |
MD5 MD5 MD5 MD5 MD5 MD5 MD5 MD5 MD5 MD5 MD5 |
| repository.name.fl_str_mv |
Repositorio Universidad de Lima |
| repository.mail.fl_str_mv |
repositorio@ulima.edu.pe |
| _version_ |
1840270669871316992 |
| spelling |
Díaz Parra, José RaúlHualpa Ocas, Ronald Ruben32023-01-24T16:26:46Z2023-01-24T16:26:46Z2022Hualpa Ocas, R. R. (2022). Evaluación de efectividad de las pruebas de penetración internas contra el escalamiento de privilegios de usuario [Tesis para optar el Título Profesional de Ingeniero de Sistemas, Universidad de Lima]. Repositorio institucional de la Universidad de Lima. https://hdl.handle.net/20.500.12724/17430https://hdl.handle.net/20.500.12724/17430Los sistemas de información representan una parte importante de las organizaciones actuales, y al mismo tiempo, representan objetivos de ataque para usuarios con intenciones maliciosas principalmente provenientes de la misma organización (usuarios legítimos), lo cual genera la necesidad de encontrar las vulnerabilidades de estos sistemas. De todas las evaluaciones de vulnerabilidades existentes, las pruebas de penetración internas no son tomadas en cuenta por no conocer exactamente su utilidad y efectividad. Por lo que la presente investigación, utilizó pruebas de penetración internas, comparando la efectividad de estas en 3 variantes del ataque de escalamiento de privilegios de usuario. Se tuvo como objetivo realizar la comparación de efectividad de estos 3 ataques tomados con un conjunto de métricas compuestas por el tiempo de ejecución de las pruebas y el nivel de severidad encontrado con el uso del framework CVSS 3.1. Al realizar la replicación de ataques se observó que con las pruebas de penetración internas fue posible encontrar las vulnerabilidades de un sistema, otorgando información importante como los módulos afectados por los ataques, las vulnerabilidades encontradas y explotadas. Al analizar los resultados se comprobó que las pruebas de penetración permiten encontrar vulnerabilidades de una forma rápida teniendo como evidencia un promedio de 1 minuto y 30 segundos de tiempo de ejecución para todos los escenarios analizados. Además, con los resultados del framework CVSS 3.1 comprobamos que podemos conocer a detalle la severidad de las vulnerabilidades encontradas en estas pruebas, observando que los ataques van desde un 7.6 de nivel alto hasta un 9.0 considerado de nivel crítico. Todos estos datos mencionados sirvieron para demostrar que las pruebas de penetración internas son efectivas y útiles en cuanto a encontrar vulnerabilidades, por lo que deben ser consideradas como unos procedimientos de ciberseguridad importantes para mitigar el problema de los ataques que provienen de fuentes casi indetectables como de usuarios que tienen un acceso legítimo al sistema.application/pdfspaUniversidad de LimaPEinfo:eu-repo/semantics/openAccesshttps://creativecommons.org/licenses/by-nc-sa/4.0/Repositorio Institucional - UlimaUniversidad de Limareponame:ULIMA-Institucionalinstname:Universidad de Limainstacron:ULIMASistemas de informaciónRedes de computadorasSeguridad informáticaInformation systemComputer securityComputer networkshttps://purl.org/pe-repo/ocde/ford#2.02.04Evaluación de efectividad de las pruebas de penetración internas contra el escalamiento de privilegios de usuarioinfo:eu-repo/semantics/bachelorThesisTesisSUNEDUTítulo ProfesionalIngeniería de sistemasUniversidad de Lima. Facultad de Ingeniería y ArquitecturaIngeniero de sistemashttps://orcid.org/0000-0003-3939-49944157586761207672182164https://purl.org/pe-repo/renati/level#tituloProfesionalRojas Jaén, Pablo AlbertoOrtiz Pachas, Christiam JavierRomero Velazco, George EdwinDíaz Parra, José Raúlhttps://purl.org/pe-repo/renati/type#tesisOICC-LICENSElicense_rdflicense_rdfapplication/rdf+xml; charset=utf-8811https://repositorio.ulima.edu.pe/bitstream/20.500.12724/17430/2/license_rdf3655808e5dd46167956d6870b0f43800MD52TEXTHualpa-Ocas_Evaluacion-efectividad-pruebas-penetracion-internas-contra-escalamiento-privilegios-usuario.pdf.txtHualpa-Ocas_Evaluacion-efectividad-pruebas-penetracion-internas-contra-escalamiento-privilegios-usuario.pdf.txtExtracted texttext/plain139889https://repositorio.ulima.edu.pe/bitstream/20.500.12724/17430/4/Hualpa-Ocas_Evaluacion-efectividad-pruebas-penetracion-internas-contra-escalamiento-privilegios-usuario.pdf.txte0c4c72111e36c0d4b60ba59f209a877MD54FA_72182164_SR.pdf.txtFA_72182164_SR.pdf.txtExtracted texttext/plain1https://repositorio.ulima.edu.pe/bitstream/20.500.12724/17430/8/FA_72182164_SR.pdf.txt68b329da9893e34099c7d8ad5cb9c940MD58TURNITIN_DNI_72182164 - 20162130.pdf.txtTURNITIN_DNI_72182164 - 20162130.pdf.txtExtracted texttext/plain3302https://repositorio.ulima.edu.pe/bitstream/20.500.12724/17430/10/TURNITIN_DNI_72182164%20-%2020162130.pdf.txt625d81e0e939984a9632d2b474feaab0MD510ORIGINALHualpa-Ocas_Evaluacion-efectividad-pruebas-penetracion-internas-contra-escalamiento-privilegios-usuario.pdfHualpa-Ocas_Evaluacion-efectividad-pruebas-penetracion-internas-contra-escalamiento-privilegios-usuario.pdfTesisapplication/pdf1256145https://repositorio.ulima.edu.pe/bitstream/20.500.12724/17430/1/Hualpa-Ocas_Evaluacion-efectividad-pruebas-penetracion-internas-contra-escalamiento-privilegios-usuario.pdfdb257a608a0126dfcf6a986886cc3f42MD51FA_72182164_SR.pdfFA_72182164_SR.pdfAutorizaciónapplication/pdf374568https://repositorio.ulima.edu.pe/bitstream/20.500.12724/17430/6/FA_72182164_SR.pdf1a40018562dbd1a1cd4f884b0fb19947MD56TURNITIN_DNI_72182164 - 20162130.pdfTURNITIN_DNI_72182164 - 20162130.pdfReporte de similitudapplication/pdf14908307https://repositorio.ulima.edu.pe/bitstream/20.500.12724/17430/7/TURNITIN_DNI_72182164%20-%2020162130.pdfb5def7322834b7aed315f66cafe9c459MD57LICENSElicense.txtlicense.txttext/plain; charset=utf-81748https://repositorio.ulima.edu.pe/bitstream/20.500.12724/17430/3/license.txt8a4605be74aa9ea9d79846c1fba20a33MD53THUMBNAILHualpa-Ocas_Evaluacion-efectividad-pruebas-penetracion-internas-contra-escalamiento-privilegios-usuario.pdf.jpgHualpa-Ocas_Evaluacion-efectividad-pruebas-penetracion-internas-contra-escalamiento-privilegios-usuario.pdf.jpgGenerated Thumbnailimage/jpeg11085https://repositorio.ulima.edu.pe/bitstream/20.500.12724/17430/5/Hualpa-Ocas_Evaluacion-efectividad-pruebas-penetracion-internas-contra-escalamiento-privilegios-usuario.pdf.jpgff02c37bd6f206cf56a36cc31c6b8a27MD55FA_72182164_SR.pdf.jpgFA_72182164_SR.pdf.jpgGenerated Thumbnailimage/jpeg16456https://repositorio.ulima.edu.pe/bitstream/20.500.12724/17430/9/FA_72182164_SR.pdf.jpgdf17f29b36c94a542b7c4a46052660e4MD59TURNITIN_DNI_72182164 - 20162130.pdf.jpgTURNITIN_DNI_72182164 - 20162130.pdf.jpgGenerated Thumbnailimage/jpeg6995https://repositorio.ulima.edu.pe/bitstream/20.500.12724/17430/11/TURNITIN_DNI_72182164%20-%2020162130.pdf.jpgb4610c232a0d34b24499722834fc7fd0MD51120.500.12724/17430oai:repositorio.ulima.edu.pe:20.500.12724/174302024-11-05 15:04:07.514Repositorio Universidad de Limarepositorio@ulima.edu.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 |
| score |
13.263243 |
Nota importante:
La información contenida en este registro es de entera responsabilidad de la institución que gestiona el repositorio institucional donde esta contenido este documento o set de datos. El CONCYTEC no se hace responsable por los contenidos (publicaciones y/o datos) accesibles a través del Repositorio Nacional Digital de Ciencia, Tecnología e Innovación de Acceso Abierto (ALICIA).
La información contenida en este registro es de entera responsabilidad de la institución que gestiona el repositorio institucional donde esta contenido este documento o set de datos. El CONCYTEC no se hace responsable por los contenidos (publicaciones y/o datos) accesibles a través del Repositorio Nacional Digital de Ciencia, Tecnología e Innovación de Acceso Abierto (ALICIA).
