Proceso de Auditoría de la Seguridad de la información en ... · Verificar si está activa la...

Proceso de Auditoría de la Seguridad de la

Información en las Instituciones

Supervisadas por la CNBS

Julio 2005

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por

la CNBS

Introducción Descripción General de la Metodología

Utilizada Detalle de las tareas realizadas Principales vulnerabilidades de Seguridad

en el Sistema Financiero Hondureño Actividades a Corto Plazo

IntroducciónObjetivos:

Brindar un servicio de consultoría en seguridad informática de los riesgos externos (Internet) e internos en que pueden verse involucrados los equipos de cómputo de las Instituciones Financieras supervisadas por la CNBS.

Determinar si la información crítica de las Instituciones en términos de disponibilidad, integridad y confidencialidad está expuesta y altamente en riesgo.

Determinar si existen políticas de seguridad a nivel institucional que protejan el activo “información”.

Determinar si existe segmentación en las redes.

IntroducciónObjetivos:

Determinar si la navegación en Internet por los usuarios de la red interna se realiza de manera segura.

Determinar si existen Procesos de Traslado de Desarrollo a Producción.

Determinar si existen Procesos de Respaldo y Restauración.

Fomentar la conciencia de Seguridad a nivel nacional.

IntroducciónMetodología:

El análisis se desarrolla mediante la ejecución de ataques y técnicas de penetración a sistemas informáticos (Hacking ético).

Lo que realmente hacemos es reproducir ataques informáticos a los cuales pueden verse sometidas las instituciones supervisadas y si logramos penetrar los servidores de las instituciones podremos realizar las recomendaciones técnicas oportunas.

Excepciones:

Previendo no afectar el funcionamiento de los equipos y servicios no se efectúan ataques de denegación de servicios.

IntroducciónInformación Requerida:

Los ataques realizados desde la red interna se llevan a cabo sin ningún usuario autorizado, únicamente con una dirección IP válida de la red.

En cuanto a los ataques desde Internet, estos se realizan sin ningún conocimiento previo es decir a partir de cero.

Entregable:

Al final la auditoría se le entrega un reporte a la institución, el reporte presenta un resumen ejecutivo de las principales debilidades encontradas en materia de seguridad informática.

El reporte también incluye los detalles de los puntos débiles encontrados y las respectivas recomendaciones.

Descripción General de la Metodología Es necesario conocer y tratar de pensar cómo

actúan los atacantes y piratas informáticos para ser capaces recomendar soluciones acerca de la seguridad de la información.

Evaluar la configuración de la red tanto privada como pública, determinando la forma en como estas dos redes se interconectan, verificar si existe segmentación.

Identificar si existen dispositivos que garanticen la privacidad de la red Interna de la institución ante la amenaza de ataques externos.

Determinar si existen Políticas de Seguridad a nivel institucional y evaluar si están definidas y aplicadas en los equipos de seguridad (FIREWALLS, ROUTERS, SWITCHES, Servidores de Dominio, Filtros de Contenido, PROXY SERVERS etc.)

Descripción General de la Metodología Verificar que los equipos de seguridad estén configurados de tal

forma que no permitan transferencia de información que ponga en riesgo la red Interna, como ser transferencias de Zonas DNS, publicación de Direcciones IP, retransmisión de paquetes a solicitud de ataques de HACKERS etc.

Identificar si la institución cuenta con un Sistema de Detección o Prevención de Intrusos, Antivirus Corporativo, Filtros de contenido, Servidores de Actualización etc.

8vyaleh31&d ktu.dtrw8743$Fie*n3h3434234234234

Descripción General de la Metodología

Evaluar las políticas de acceso a información externa, y el nivel de monitoreo de las mismas, a fin de establecer el nivel de riesgo a que puede verse expuesta la red privada.

Identificar y evaluar los mecanismos de alerta y notificación de los aspectos que se consideran irregulares dentro de la administración del sistema.


Evaluación de los Dispositivos

Verificar que los Sistemas Operativos hayan sido instalados de acuerdo a las recomendaciones de hardware, configuraciones especiales y Parches necesarios que estén definidos para la plataforma que se ha instalado.

Verificar que todas las versiones de software instalado, se encuentren actualizadas a la última versión del mismo, o que contengan todas las actualizaciones que el fabricante haya puesto a disponibilidad de esa plataforma y versión.

Verificar que la configuración de los servidores se encuentre ajustada a las necesidades de la empresa, esto es que no mantenga activo servicios y protocolos que la empresa no pretenda usar.


Evaluación de los dispositivos

Verificar que hayan sido deshabilitados todos aquellos usuarios que el sistema, base de datos u otro software aplicativo en uso, hayan definido por defecto, y que no serán de utilidad.

Verificar que exista un software antivirus corporativo actualizado, que garantice la integridad del software y datos críticos de la institución.

Verificar que exista un plan de respaldo y recuperación tanto a nivel de política establecida así como a nivel del sistema.



Evaluar si se utilizan protocolos que transmiten los datos en claro, de ser así estos deben ser reemplazados por protocolos que encriptan la información.

Verificar si existen usuarios definidos en el sistema que no deberían existir, por ejemplo usuarios invitados o usuarios creados por intrusos, así como programas con código malicioso como troyanos o puertas traseras (Informática Forense).

Verificar si está activa la auditoría en los equipos principales, servidores o dispositivos de red.



Revisar los permisos que tienen cada uno de los usuarios tanto a nivel de Directorios y archivos como a nivel de comandos, servicios y protocolos.

Verificar que existan políticas de seguridad de contraseñas definidas en el sistema, esto es para minimizar el riesgo de penetración, por ejemplo se debe establecer como política de seguridad el forzar a cambiar regularmente las contraseñas y el establecer tiempos de caducidad de las mismas

Verificar que las contraseñas sean robustas y que se hayan modificado las contraseñas que vienen por omisión tanto en los sistemas operativos como en los programas de administración instalados

Evaluar que el acceso físico a los servidores esté restringido


Estaciones de Trabajo

Verificar que estén aplicados los parches de seguridad mas recientes del sistema operativo y software instalados

El Software antivirus debe estar actualizado

No deben existir carpetas compartidas

Verificar que no esté instalado software que pueda poner el riesgo el funcionamiento de la red o la información misma

Detalle de las Tareas Realizadas

1. Seguridad de Protocolos TCP/IP

En esta fase se pretende obtener información sobre los servidores de la organización que serán atacados.

Una vez que sabemos cuáles son los servidores y sus sistemas operativos realizamos conexiones a los mismos utilizando usuarios y contraseñas que vienen por omisión en cada sistema operativo, si alguno de ellos no ha sido modificado habremos penetrado sin ningún problema.

Proceso de Auditoría de la Seguridad de la información desde la Red Interna


Se realiza un rastreo de puertos tanto de los servidores como de los dispositivos de comunicaciones, es a través de estos puertos que se intenta realizar la penetración.

Herramienta utilizada: nmap

Una vez determinados cuáles son los puertos abiertos en cada equipo, procedemos a explotar las vulnerabilidades conocidas de cada puerto y servicio tcp o udp.



Intentamos averiguar para cada servidor y equipo de comunicación los siguientes datos:

las interfaces de red conectadas los recursos compartidos los servicios instalados cuentas de usuario redes conectadas direcciones Mac Rutas Conexiones Activas



Se determina si algún dispositivo tiene activo el protocolo SNMP y si está configurado con las contraseñas de comunidad por omisión, si es así podremos tomar control total sobre el dispositivo.

Herramienta utilizada: SolarWinds

Una vez que sabemos los puertos y protocolos disponibles procedemos a realizar ataques de diccionario y ataques de fuerza bruta contra ciertos protocolos como Ftp, http, pop3 (Podemos averiguar la contraseña de correo de todos los usuarios), snmp, telnet etc.



Herramienta utilizada: Brutus

Un ataque de diccionario consiste en probar una combinación de todos los usuarios y contraseñas posibles basados en un diccionario.

Un ataque de fuerza bruta consiste en probar una combinación de todos los usuarios y contraseñas posibles basados en todos los caracteres disponibles.



Ataques a ProtocolosUtilizar un rastreador de redes, mediante estos aplicaciones podemos ver todo el tráfico de información que circula a través de la red, con el objetivo de capturar información valiosa como las contraseñas de los administradores, también podemos capturar contraseñas de protocolos como POP3, telnet, FTP, SNMP,Oracle SQL*Net etc.

Herramientas utilizadas: Ethereal + Ettercap, Cain, Iris

Recomendaciones: No utilizar protocolos que transmiten la información en claro, utilizar por ejemplo el protocolo SSH en lugar de FTP yTelnet, El SSH transmite la información en forma cifrada.



2. Información del Objetivo

Dibujar un diagrama de la red, esto nos dará un amplio panorama de la estructura y situación actual de la red.

Herramientas utilizadas: Cheops, Networkview

Si los sistemas operativos y los programas instalados en servidores y equipos de comunicación no están actualizados y parchados, es posible acceder al archivo de contraseñas para luego descifrarlos localmente.



Existen muchos métodos para obtener estos archivos dependiendo de la vulnerabilidad no parchada y del sistema operativo, también existen varias herramientas para descifrar las contraseñas.

Herramientas utilizadas: enum, pwdump, john the ripper.

Existe una serie de ataques que pueden hacerse contra servidores y equipos no parchados, por ejemplo ataques de buffer Overflow.



Buffer Overflow (Programas que provocan un desbordamiento de la memoria y retornan un shell del Sistema Operativo)

Recomendaciones: Establecer políticas que permitan mantener actualizados y parchados los recursos informáticos de la red.

Proteger los archivos importantes relacionados a la seguridad, tanto a nivel de sistemas operativos como de datos.

Establecer políticas de creación y cambio de contraseñas con el fin de dificultar la averiguación de las mismas.



Determinar todas las carpetas compartidas dentro de la red, estas representan un foco de infección de virus y de pérdida de información, utilizamos programas que además de listar las carpetas compartidas averigua las contraseñas en segundos.

Recomendación: Establecer una política de seguridad que prohíba la creación de carpetas compartidas.



3. Ataques a Servidores

Verificar la existencia de servicios que estén mal configurados desde el punto de vista de la seguridad, así como la existencia de servicios innecesarios para la empresa, por ejemplo el IIS v5 instala programas ejemplo que permiten navegar ( y modificar) en el disco duro del Web Server de la compañía, o cualquier otro servidor que tenga instalado el IIS.

Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa, www.securityfocus.com, Netcat, Metaexploit.


http://www.securityfocus.com/


Recomendación: Hacer un inventario de todos los servicios instalados a fin de determinar cuáles son necesarios y cuáles no.

Revisar la configuración de los servicios existentes.

Análisis de los siguientes puntos:• Ataques vía ODBC• Revisión de existencia de Puertas Traseras• Emuladores de terminales (Configuración)• Revisar los privilegios asignados a los usuarios• Determinar si existen cuentas que pertenezcan a usuarios

que ya no trabajan en la empresa.• Verificar si es posible que los usuarios actuales tienen la

posiblidad de Elevación de Privilegios


4. Establecimiento del objetivo

En esta fase se busca obtener la mayor información general disponible de la víctima, información como direcciones IP externas, nombres de los responsables técnicos de la institución, sistemas operativos y sus versiones, etc.

Para realizar esta actividad realizamos búsquedas en Internet de información relacionada con la empresa, por ejemplo podemos determinar las páginas que tengan enlaces al sitio de la víctima o listar todas las páginas que componen el sitio Internet de la empresa.

Proceso de Auditoría de la Seguridad de la información desde la Red Externa


Otra información que podemos obtener es la lista de servidores de la empresa, con esto podremos determinar cuál es servidor de correo, el firewall, el DNS, el Web Server, etc.

Herramienta utilizada: Nslookup

También obtenemos información como cuál es el proveedor de Internet de la organización, el sistema operativo del Web server, el historial de cambios de direcciones IP o de proveedor de internet y datos acerca de un posible sitio seguro que utilice el protocolo https.

Herramienta utilizada: www.netcraft.com



Intentamos averiguamos para cada servidor y equipos de comunicación datos tales como los siguientes:

• las interfaces de red conectadas• los recursos compartidos• los servicios instalados• cuentas de usuario• redes conectadas• direcciones Mac• Rutas• Conexiones Activas

También intentamos determinar si algún dispositivo tiene activo el protocolo SNMP y están configuradas las contraseñas por omisión, si es así podremos tomar control total sobre el dispositivo.



Una vez que sabemos los puertos y protocolos disponibles procedemos a realizar ataques de diccionario y ataques de fuerza bruta contra ciertos protocolos como Ftp, http, pop3, snmp, telnet, etc.

También se determinan las vulnerabilidades existentes para los puertos y protocolos disponibles y se intenta penetrar a través de las mismas.

Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa, www.securityfocus.com, Netcat, Metaexploit.



http://www.securityfocus.com/

Ataques a las aplicaciones de Internet• Verificar si las aplicaciones de Internet son susceptibles a ataques de:• SQL Injection• Cross-Site Scripting• Secuestro de Sesiones válidas• Ataques de diccionario y/o Fuerza bruta

Algunas Recomendaciones:• Validar todos los campos de entrada• Almacenar en bitácora todas las transacciones realizadas por los

usuarios• No escribir contraseñas o claves para descifrar contraseñas dentro del

código• Las aplicaciones no deben efectuar sentencias directamente a la base

de datos



Algunas Recomendaciones:• El proceso de encripción de las contraseñas debe incluir una llave de

encripción propia de la institución mas datos particulares del usuario (Valor SALT), de tal forma que la contraseña almacenada no sea simplemente el resultado del algoritmo de encripción y de esta forma protegerla contra ataques de diccionario o fuerza bruta.

• La identificación o administración de la sesión debe ser llevada a cabo por la aplicación y no por el Servidor de Internet

• La base de datos debe estar en un servidor separado del Servidor de Internet o servidor de aplicaciones.

• Las aplicaciones deben asegurar que ningún parámetro con información útil para un posible atacante viaje a través del navegador del cliente y así evitar que estos parámetros puedan ser manipulados, esto incluye las consultas a nivel de URL.



• En general no existe conciencia de Seguridad Informática a nivel nacional

• No existe un Área de Seguridad dedicada a tiempo completo a proteger la disponibilidad, integridad y confidencialidad de la información

• No existen políticas de seguridad a nivel institucional que protejan el activo “información”

• No existe segmentación en la arquitectura de la red, los servidores de producción están en el mismo segmento de red que las estaciones de trabajo.

• No existe control sobre las carpetas compartidas en la red

Principales debilidades de Seguridad encontradas en elSistema Financiero Nacional

• En algunas instituciones no existe un sistema automatizado que permita las actualizaciones de seguridad en los sistemas operativos

• La navegación a Internet se realiza desde la red interna lo cual expone tanto la red interna como todas las redes a las cuales esté conectado el usuario

• En algunas instituciones no están instalados Sistemas de Prevención o Detección de Intrusos a nivel de red.

• No existe una correcta separación de los ambientes de desarrollo y producción

• Configuraciones de servidores y equipos de comunicación sin controles de seguridad

• En algunas instituciones es posible que un atacante ingrese a la red interna desde Internet


• Lo anterior conlleva un sinnúmero de riesgos entre los que se destacan la sustracción, eliminación o modificación de la información sensitiva del banco, por ejemplo es posible obtener el archivo de contraseñas de los usuarios de la aplicación de banca electrónica, descifrarlas e ingresar al sistema con usuarios válidos, habilitando al atacante a realizar transferencias bancarias o cualquier servicio disponible en el sitio de la institución.

• Se utilizan protocolos a nivel de red que envían información en claro la cual puede ser interceptada por cualquier usuario y de esta forma obtener contraseñas o cualquier tipo de información que ponga en peligro la seguridad de la información de la institución


Actividades a Corto Plazo

• Actualmente la CNBS está creando la primera Normativa para el Sistema Financiero en relación a la Seguridad Informática, la normativa pretende regular los aspectos mas relevantes de la seguridad informática en las instituciones del sistema financiero nacional:

Crear un Área de Seguridad Informática Regular la documentación tecnológica Generar registros de auditoría Outsourcing de Tecnologías de Información Generación de políticas de Seguridad


Regular la confidencialidad de la información:• (1) Identificación y autentificación,• (2) Privacidad y confidencialidad,• (3) Integridad y disponibilidad, y• (4) No-repudio.

Regular la Arquitectura de Red Regular la Banca Electrónica Respaldo y Recuperación


• Actualmente la CNBS está creando el Área de Seguridad Informática que se encargará entre otras funciones de:

Generar políticas de Seguridad a nivel de la CNBS:• Uso de Internet• Uso del Correo Electrónico• Uso de las estaciones de Trabajo• Proceso Antivirus• Adquisición de Hardware y Software• Seguridad de Contraseñas• Seguridad de la Información Sensitiva• Seguridad de Servidores• Seguridad de equipos de comunicación• Seguridad en redes inalámbricas (Si existen)• Seguridad en Redes con Terceros• Acceso y Configuración remotos.


Entregar prototipos de Políticas de Seguridad a las instituciones del Sistema Financiero Nacional.

Desarrollar Normativa hacia las Instituciones del Sistema Financiero Nacional referente a los controles de Seguridad mínimo en el proceso de Comercio Electrónico y arquitectura de Redes.

Llevar a cabo pruebas de penetración periódicas (Hacking ético) a las redes externas e internas de la CNBS y de las Instituciones para descubrir vulnerabilidades de Seguridad y realizar las recomendaciones respectivas.


Involucrase en el diseño de los Sistemas de Información Internos de la CNBS para garantizar que el código de los programas se desarrolle tomando en cuenta la Seguridad de la Información.

Reacción, en conjunto con la División de Operaciones, ante incidentes de Seguridad dentro de las redes de la CNBS y las Instituciones del sistema Financiero Nacional.

Crear un ambiente y una cultura de Seguridad a nivel del Sistema Financiero Nacional y la CNBS, para esto se deben llevar a cabo campañas de concientización a los usuarios en el tema de la importancia de la Seguridad de la Información.

Taller Demostrativo

Servidor de Agencia20.0.0.3

Switch de Agencia20.0.0.2

Switch de Oficina Principal10.0.0.5

20.0.0.1

10.0.0.1

ROUTER

Controlador de Dominio10.0.0.2

PC del Administrador de la Red10.0.0.4

Servidor de Base de Datos10.0.0.3

Taller Demostrativo

PC A

Conexión TCP

PC B

Syn

Syn tAck

Ack

Muchas Gracias por su Atención!

Proceso de Auditoría de la Seguridad de la información en ... · Verificar si está activa la...

Documents

Transcript of Proceso de Auditoría de la Seguridad de la información en ... · Verificar si está activa la...