Por favor, use este identificador para citar o enlazar este ítem:
http://repositorio.utmachala.edu.ec/handle/48000/19931
Título : | Identificación de vulnerabilidades en un sistema de videovigilancia y propuesta de solución |
Autor : | Chérrez Jaén, Anderson Johnny |
Director(es): | Morocho Román, Rodrigo Fernando |
Palabras clave : | SISTEMA DE VIDEOVIGILANCIA;ETHICAL HACKING;PENTESTING;VULNERABILIDAD |
Fecha de publicación : | 2022 |
Editorial : | Machala: Universidad Técnica de Machala |
Citación : | Chérrez Jaén, Anderson Johnny (2022) Identificación de vulnerabilidades en un sistema de videovigilancia y propuesta de solución (trabajo de titulación). UTMACH, Facultad de Ingeniería Civil, Machala, Ecuador |
Descripción : | Los sistemas de videovigilancia conectados por medio de internet están expuestos a varios inconvenientes, debido a vulnerabilidades de seguridad que pueden sufrir al permitir que terceros tengan acceso a la información almacenada o proyectada en tiempo real por las videocámaras, considerando que un ciberdelincuente podría manipular parcial o totalmente el sistema, dándole un giro al rol del dueño de la empresa bananera pasando de vigilante a ser vigilado, por tal motivo, es importante identificar de raíz las debilidades del sistema y proponer estrategias de prevención para reducir los efectos negativos de posibles ataques. Este trabajo presenta una visión amplia a lo que actualmente está expuesto un sistema de videovigilancia, ya que incluye un estudio y recopilación de información, así como el desarrollo de la parte práctica donde se llevan a cabo las pruebas para identificar las falencias usando herramientas que puedan simular el ataque y permita a la empresa crear barreras robustas de seguridad. Existen varios artículos científicos, tesis y trabajos que se han dedicado a la investigación y pruebas de penetración a redes, dispositivos móviles y servidores, sin embargo, se nota la falta de información sobre los riesgos que se exponen los sistemas de grabación de video. Por ello, se implementaron dos escenarios reales para poner a prueba las barreras de seguridad, siendo el primero un ataque de forma externa donde el hacker ético no tiene información de la empresa y el segundo uno de forma interna, en este caso ya tiene conocimientos básicos de la red LAN. Después de implementar ambos entornos de trabajo se escogieron las herramientas para ejecutar las pruebas de penetración, como software de virtualización se utilizó VMware Workstation y como sistema operativo Kali Linux con un conjunto completo de herramientas destacables como Metasploit que sirvió para elaborar el payload y mediante ingeniería social se introdujo el malware que permitió realizar el pentesting, recopilación de información, busca de vulnerabilidades, escalamiento de privilegios y explotación en la víctima. La metodología aplicada de Ethical Hacking (CEH) consta de cinco fases, empezando por el reconocimiento de la víctima hasta la limpieza de rastros para eliminar la evidencia del hackeo. Se elaboró una propuesta de solución compuesta por las medidas correctivas que se recomiendan aplicar, luego se creó un plan para evaluar nuevamente las vulnerabilidades, esta vez con las correcciones realizadas. Los controles fueron seleccionados tomando en cuenta que los mismos no estén en contra de las leyes, regulaciones y normativas, que sea costo beneficioso, que no interrumpan las operaciones del negocio, que sean seguros y finalmente que sean efectivos. Después de aplicar las recomendaciones para fortalecer la seguridad los resultados fueron favorables, en el escenario externo el malware creado por metasploit no tuvo efecto en la central de monitoreo, por otro lado, en las pruebas de penetración desde el interior tampoco se detectaron vulnerabilidades. De todas formas, las organizaciones deben tener en cuenta que al estar conectados sus equipos a la WAN siempre estarán expuestos a nuevas amenazas por tanto se recomienda un análisis de riesgos por año. |
Resumen : | Video surveillance systems connected via the Internet are exposed to various drawbacks, due to security vulnerabilities that may suffer by allowing third parties to have access to the information stored or projected in real time by the video cameras, considering that a cybercriminal could partially or partially manipulate completely the system, turning the role of the owner of the banana company from being a watchman to being watched, for this reason, it is important to identify the root weaknesses of the system and propose prevention strategies to reduce the negative effects of possible attacks. This work presents a broad vision to what a video surveillance system is currently exposed to, since it includes a study and collection of information, as well as the development of the practical part where the tests are carried out to identify the shortcomings using tools that can simulate the attack and allow the company to create robust security barriers. There are several scientific articles, theses and works that have been dedicated to research and penetration tests on networks, mobile devices and servers, however, there is a lack of information on the risks that video recording systems expose. For this reason, two real scenarios were implemented to test the security barriers, the first being an external attack where the ethical hacker does not have company information and the second one internal, in this case he already has basic knowledge of the LAN network. After implementing both work environments, the tools were chosen to run the penetration tests. VMware Workstation was used as virtualization software and Kali Linux was used as the operating system with a complete set of outstanding tools such as Metasploit, which was used to prepare the payload and through engineering. social malware was introduced that allowed pentesting, information gathering, search for vulnerabilities, escalation of privileges and exploitation of the victim. The applied methodology of Ethical Hacking (CEH) consists of five phases, starting with the recognition of the victim until the cleaning of traces to eliminate evidence of hacking. A solution proposal composed of the corrective measures that are recommended to be applied was elaborated, then a plan was created to evaluate the vulnerabilities again, this time with the corrections made. The controls were selected taking into account that they are not against laws, regulations and standards, that they are cost-effective, that they do not interrupt business operations, that they are safe and finally that they are effective. After applying the recommendations to strengthen security, the results were favorable. In the external scenario, the malware created by metasploit had no effect on the monitoring center. On the other hand, in the internal penetration tests, no vulnerabilities were detected either. In any case, organizations must take into account that as their equipment is connected to the WAN, they will always be exposed to new threats, therefore a risk analysis per year is recommended. |
URI : | http://repositorio.utmachala.edu.ec/handle/48000/19931 |
Aparece en las colecciones: | Trabajo de Titulación Ingeniería de sistemas |
Ficheros en este ítem:
Fichero | Descripción | Tamaño | Formato | |
---|---|---|---|---|
TTFIC-2022-IS-DE00057.pdf | TRABAJO DE TITULACION | 2,35 MB | Adobe PDF | Visualizar/Abrir |
Este ítem está sujeto a una licencia Creative Commons Licencia Creative Commons