1.

- DATOS DE LA ASIGNATURA
Nombre de la asignatura:

Carrera:

Clave de la asignatura:

TCA
1
:
Vulnerabilidades en las TICs

Ing. En Tecnologa de la Informacin y
Comunicacin
ASD-1305



2.- Presentacin

CARACTERIZACIN DE LA ASIGNATURA.
La presente asignatura aporta al perfil del Ingeniero en Tecnologa de la Informacin la
capacidad de desarrollar e implementar un anlisis y diagnsticos de vulnerabilidades de
infraestructura tecnolgica y/o software basadas en estndares de seguridad y normas
internacionales, administrar proyectos que involucren el uso de las tecnologas de la
informacin para la auditora que garanticen la integridad de la informacin y detecten
vulnerabilidades, as como utilizar tecnologas y herramientas actuales y emergentes
acordes a las necesidades del entorno.

INTENCIN DIDCTICA.
Se organiza el temario, en seis unidades, las cuales incluyen contenidos conceptuales y
aplicacin de los mismos a travs de ejercicios prcticos y reales.

Se aborda la introduccin a la seguridad informtica, en la primera unidad, con la finalidad
de que el estudiante se relacione con los conceptos bsico / clave de la seguridad.

En la segunda unidad se abordan temas como, la administracin y los riesgos de la
seguridad del software, que permite comprender los fallos que se tiene al hacer una mala
administracin del software.

En la tercera unidad se abordan los temas de la fragilidad del cdigo en ejecucin, que
aporta al estudiante los conocimientos de las diversas tcnicas que existen hasta el
momento conocidas-.

En la cuarta unidad se tratan temas relacionados, con la seguridad en el cdigo fuente,
para que el estudiante tenga la precaucin de no cometerlos.

En la quinta unidad, se abordan temas que permitir al estudiante generar una auditora
de software.

En la sexta unidad, se tratan temas que dan vulnerabilidad al software, tales como las
inyecciones sql en sitios web, hack-exs para el volcado de memoria de programas.



3.- Competencias a desarrollar

Competencias especficas:
Identificar la importancia de la
aplicacin de estndares de calidad y
productividad en el desarrollo de un
software.
Aplicar mtodos y herramientas de la
ingeniera del software en el desarrollo
de software.
Identificar las caractersticas de los
mtodos
Competencias genricas:

Competencias instrumentales
Capacidad de anlisis y sntesis.
Capacidad de organizar y planificar.
Conocimientos bsicos de la carrera.
Comunicacin oral y escrita.
Habilidades avanzadas de manejo de la
computadora.
Habilidad para buscar y analizar
informacin proveniente de fuentes
diversas.
Solucin de problemas.
Toma de decisiones.

Competencias interpersonales
Capacidad crtica y autocrtica.
Trabajo en equipo.
Habilidades interpersonales.

Competencias sistmicas
Capacidad de aplicar los conocimientos
en la prctica.
Habilidades de investigacin.
Capacidad de aprender.
Capacidad de generar nuevas ideas
(creatividad).
Habilidad para trabajar en forman
autnoma.
Bsqueda del logro.

4. HISTORIA DEL PROGRAMA.

Lugar y fecha de
elaboracin o revicin
Participantes Observaciones
(cambios y
justificaciones)
Instituto Tecnolgico
Superior de Centla
Academia de Sistemas,
informtica y TIC's


5. OBJETIVO(S) GENERAL(ES) DEL CURSO
El alumno comprender, analizar y aplicar los principios, tendencias y tcnicas para la
deteccin de vulnerabilidad en el desarrollo de software y de las TIC's


6. COMPETENCIAS PREVIAS
Comprender el funcionamiento general de las computadoras.
Elaborar algoritmos computacionales para la solucin de problemas de cmputo.
Comprender las caractersticas de la arquitectura bsica de una computadora.

7. TEMARIO

Unidad Temas Subtemas
1
Introduccin a la seguridad
del software

1.1 Concepto de Software
1.2 Casos reales de fallas en el software
1.3 Futuro del software
1.4 Fuentes para informacin de
vulnerabilidades
1.4.1 Buqtraq
1.4.2 CERT Advisores
1.4.3 RISK Digest
1.5 Tendencias tcnicas que afectan a la
Seguridad del Software
1.6 Breanking and patch (romper y actualizar)
1.7 Metas de la Seguridad enfocadas al
Software
1.7.1 Prevencin
1.7.2 Auditable y trazable
1.7.3 Monitoreo
1.7.4 Privacidad y Confidencialidad
1.7.5 Seguridad Multiniveles
1.7.6 Anonimato
1.7.7 Autenticacin
1.7.8 Integridad
1.8 Conocer al enemigo
1.9 Metas de proyecto de Software
2
Administracin y los riesgos
en la seguridad
2.1 Descripcin de la administracin de los
riesgos en la Seguridad del Software
2.2 Administracin de los riesgos en la
seguridad del Software en la prctica
2.2.1 Pruebas de Caja Negra
2.2.2 Equipo Rojo
2.3 Criterios Comunes
3
Fragilidad del cdigo en
ejecucin

3.1 Seguridad por Oscuridad
3.2 Ingeniera en Reversa
3.3 Cdigo Fuente Abierto
3.4 Falacias del cdigo abierto
3.5 Ofuscacin del cdigo fuente
3.6 Bombas lgicas
4
Seguridad en la fuente.

4.1 Reducir las lneas dbiles
4.2 Defensa por pasos o capas
4.3 Errores bsicos
4.4 Privilegios
4.5 Segmentando cdigo
4.6 La simplicidad es mejor
4.7 Privacidad
4.8 Transparentar el cdigo
5
Auditora de software

5.1 Definicin de Arquitectura de Seguridad
5.2 Principios de la Arquitectura de Seguridad
5.3 Anlisis de la Arquitectura de Seguridad
5.4 Implementacin del Anlisis de Seguridad
5.5 Uso de herramientas de escaneo.
6
Probando la seguridad

6.1 Definicin de Cdigo Seguro
6.2 Lenguaje Ensamblador
6.3 Lenguajes de Programacin
6.4 Tcnicas de Cdigo Seguro
6.4.1 Buffer Overflows
6.4.2 Heap Overflows
6.4.3 Formato de cadena
6.4.4 Exploits
6.4.5 Race conditions
6.4.6 SQL injection
6.4.7 Cross Site & Cross-Domain
Scripting
6.4.8 Fault Injection
6.4.9 volcado de memoria en
aplicaciones de escritorio.
6.4.10 uso de Bactrack
6.4.11 comparativas de software de
auditora

8. SUGERENCIAS DIDCTICAS
Exposicin oral
Lecturas obligatorias
Exposicin audiovisual
Trabajos de investigacin
Ejercicios dentro de clase
Ejercicios fuera del aula
Trabajar en grupos pequeos, para sintetizar y construir el conocimiento necesario
para resolver problemas relacionados con situaciones reales.
Propiciar que el estudiante experimente con diferentes programas encontrados en
revistas, Internet y libros de la especialidad, que lo lleven a descubrir nuevos
conocimientos.


9.- SUGERENCIAS DE EVALUACIN
La evaluacin de la asignatura se har con base en siguiente desempeo:
Ponderacin de tareas.
Participacin y desempeo en el aula y el laboratorio, a travs de dinmicas
grupales, trabajo individual o en equipo.
Dar seguimiento al desempeo en el desarrollo del programa (dominio de los
conceptos, capacidad de la aplicacin de los conocimientos en problemas
reales, transferencia del conocimiento).
Desarrollo de un proyecto que integre todas las unidades de aprendizaje.
Cumplimiento de los objetivos y desempeo en las prcticas.
10. UNIDADES DE APRENDIZAJE

Unidad 1: Introduccin a la seguridad del software

Objetivo
Educacional
Actividades de Aprendizaje
El alumno conocer y
comprender los
fundamentos tericos,
tendencias y metas de
la seguridad en el
software.
Buscar y seleccionar informacin sobre el concepto de
software seguro
Discutir en grupo el concepto de software seguro y su
importancia
Buscar informacin sobre las metas de la seguridad
enfocadas al software.
Discutir en que consiste cada una de las metas de la
seguridad enfocadas al software


Unidad 2: Administracin y los riesgos en la seguridad

Objetivo
Educacional
Actividades de Aprendizaje
El alumno conocer e
identificar los riesgos
que se tienen al poner
en prctica la
seguridad del
software, as como los
mecanismos para la
evaluacin del
desarrollo de sistemas
seguros.


Buscar y Seleccionar informacin sobre los riesgos en la
seguridad de software
Analizar en que consiste las pruebas de Caja Negra.
Buscar y Seleccionar informacin de Equipo Rojo


Unidad 3: Fragilidad del cdigo en ejecucin

Objetivo Educacional Actividades de Aprendizaje
El alumno conocer los
mecanismos que
emplea la industria del
software para proteger
sus cdigos, tanto de
los competidores como
de los crackers; as
como las ventajas y
desventajas del cdigo
abierto.


Buscar y Seleccionar informacin sobre cdigo abierto
y cdigo cerrado.
Analizar las ventajas y desventajas del cdigo abierto
Analizar las ventajas y desventajas del cdigo cerrado



Unidad 4: Seguridad en la fuente.

Objetivo
Educacional
Actividades de Aprendizaje
El alumno conocer e
identificar los
principios ms
importantes que
deben estar presentes
usando se disea o
construye un sistema
seguro, evitando los
problemas ms
comunes de
seguridad.



Buscar y Seleccionar informacin sobre los principios
del cdigo seguro
Analizar cada uno de los principios del cdigo seguro.


Unidad 5: Auditora de software

Objetivo
Educacional
Actividades de Aprendizaje
El alumno conocer e
identificar las etapas
que se requieren para
poder llevar a cabo la
auditoria de software
una vez que ste ha
sido terminado; as
como las herramientas
que permiten realizar
auditoria al cdigo
fuente.



Buscar y Seleccionar informacin sobre Arquitectura de
Seguridad
Buscar y Seleccionar informacin sobre los principios de
la Arquitectura de Seguridad
Discutir sobre el anlisis de la Arquitectura de Seguridad


Unidad 6: Probando la seguridad

Objetivo
Educacional
Actividades de Aprendizaje
El alumno conocer,
identificar y aplicar
diferentes lenguajes
de programacin que
le permitan analizar,
disear y desarrollar
las diferentes tcnicas
de cdigo de seguro.


Buscar y Seleccionar informacin sobre cdigo seguro
Analizar cada una de las Tcnicas de Cdigo Seguro


11. FUENTES DE INFORMACIN

1. GRAFF G., Mark, VIEGA, John Building Secure Software U.S.A. Addison-Wesley,
2001

2. GRAFF G., Mark, VAN WYK, Kenneth R. Secure Coding U.S.A. OReilly, 2003.

3. HOWARD, Michael, LEBLANC, David Writing Secure Code 2nd. Edition U.S.A.
Microsoft Press, 2003

4. CORTS AGUILAR, Claudia, GARCA MORALES, Mayra Tesis : Propuesta de
Reforma de Ley y Procedimientos para la Proteccin Jurdica de los Programas de
Cmputo en Mxico a travs de la Ley Federal del Derecho de Autor Mxico UNAM-
FI, 2005

5. GARFINKEL, Simson, SCHWARTZ, Gene, SPAFOORD, Gene Practical Unix &
Internet Security 3rd edition USA OReilly, 2003

6. MESSIER, Matt; VIEGA, John Secure Programming Cookbook for C and C++ USA
OReilly, 2003

12. PRCTICAS
Generar un testing de vulnerabilidades a conexiones inalmbricas.
Prcticas de vulnerabilidad en el software.
Pruebas de auditoria con bactrack
Diseo de pruebas de auditoras con software libre
Comparativas de herramientas de auditoria informtica