Proceso de Auditora de la Seguridad de la Informacin en las Instituciones Supervisadas por la CNBS

Julio 2005

Proceso de Auditora de la Seguridad de la Informacin en las Instituciones Supervisadas por la CNBS

Introduccin Descripcin General de la Metodologa Utilizada Detalle de las tareas realizadas Principales vulnerabilidades de Seguridad en el Sistema Financiero Hondureo Actividades a Corto Plazo

Introduccin
Objetivos:

Brindar un servicio de consultora en seguridad informtica de los riesgos externos (Internet) e internos en que pueden verse involucrados los equipos de cmputo de las Instituciones Financieras supervisadas por la CNBS. Determinar si la informacin crtica de las Instituciones en trminos de disponibilidad, integridad y confidencialidad est expuesta y altamente en riesgo. Determinar si existen polticas de seguridad a nivel institucional que protejan el activo informacin. Determinar si existe segmentacin en las redes.

Introduccin
Objetivos:

Determinar si la navegacin en Internet por los usuarios de la red interna se realiza de manera segura. Determinar si existen Procesos de Traslado de Desarrollo a Produccin. Determinar si existen Procesos de Respaldo y Restauracin. Fomentar la conciencia de Seguridad a nivel nacional.

Introduccin
Metodologa:

El anlisis se desarrolla mediante la ejecucin de ataques y tcnicas de penetracin a sistemas informticos (Hacking tico). Lo que realmente hacemos es reproducir ataques informticos a los cuales pueden verse sometidas las instituciones supervisadas y si logramos penetrar los servidores de las instituciones podremos realizar las recomendaciones tcnicas oportunas.

Excepciones:

Previendo no afectar el funcionamiento de los equipos y servicios no se efectan ataques de denegacin de servicios.

Introduccin
Informacin Requerida:

Los ataques realizados desde la red interna se llevan a cabo sin ningn usuario autorizado, nicamente con una direccin IP vlida de la red. En cuanto a los ataques desde Internet, estos se realizan sin ningn conocimiento previo es decir a partir de cero.

Entregable:

Al final la auditora se le entrega un reporte a la institucin, el reporte presenta un resumen ejecutivo de las principales debilidades encontradas en materia de seguridad informtica.

El reporte tambin incluye los detalles de los puntos dbiles encontrados y las respectivas recomendaciones.

Descripcin General de la Metodologa

Es necesario conocer y tratar de pensar cmo actan los atacantes y piratas informticos para ser capaces recomendar soluciones acerca de la seguridad de la informacin.
Evaluar la configuracin de la red tanto privada como pblica, determinando la forma en como estas dos redes se interconectan, verificar si existe segmentacin. Identificar si existen dispositivos que garanticen la privacidad de la red Interna de la institucin ante la amenaza de ataques externos.

Determinar si existen Polticas de Seguridad a nivel institucional y evaluar si estn definidas y aplicadas en los equipos de seguridad (FIREWALLS, ROUTERS, SWITCHES, Servidores de Dominio, Filtros de Contenido, PROXY SERVERS etc.)

Descripcin General de la Metodologa

Verificar que los equipos de seguridad estn configurados de tal forma que no permitan transferencia de informacin que ponga en riesgo la red Interna, como ser transferencias de Zonas DNS, publicacin de Direcciones IP, retransmisin de paquetes a solicitud de ataques de HACKERS etc. Identificar si la institucin cuenta con un Sistema de Deteccin o Prevencin de Intrusos, Antivirus Corporativo, Filtros de contenido, Servidores de Actualizacin etc.

8vyaleh31&d ktu.dtrw8743$Fie*n3h3434234234234

Descripcin General de la Metodologa

Evaluar las polticas de acceso a informacin externa, y el nivel de monitoreo de las mismas, a fin de establecer el nivel de riesgo a que puede verse expuesta la red privada. Identificar y evaluar los mecanismos de alerta y notificacin de los aspectos que se consideran irregulares dentro de la administracin del sistema.

Descripcin General de la Metodologa

Evaluacin de los Dispositivos

Verificar que los Sistemas Operativos hayan sido instalados de acuerdo a las recomendaciones de hardware, configuraciones especiales y Parches necesarios que estn definidos para la plataforma que se ha instalado.
Verificar que todas las versiones de software instalado, se encuentren actualizadas a la ltima versin del mismo, o que contengan todas las actualizaciones que el fabricante haya puesto a disponibilidad de esa plataforma y versin. Verificar que la configuracin de los servidores se encuentre ajustada a las necesidades de la empresa, esto es que no mantenga activo servicios y protocolos que la empresa no pretenda usar.

Descripcin General de la Metodologa

Evaluacin de los dispositivos

Verificar que hayan sido deshabilitados todos aquellos usuarios que el sistema, base de datos u otro software aplicativo en uso, hayan definido por defecto, y que no sern de utilidad.
Verificar que exista un software antivirus corporativo actualizado, que garantice la integridad del software y datos crticos de la institucin. Verificar que exista un plan de respaldo y recuperacin tanto a nivel de poltica establecida as como a nivel del sistema.

Descripcin General de la Metodologa

Evaluacin de los dispositivos

Evaluar si se utilizan protocolos que transmiten los datos en claro, de ser as estos deben ser reemplazados por protocolos que encriptan la informacin.
Verificar si existen usuarios definidos en el sistema que no deberan existir, por ejemplo usuarios invitados o usuarios creados por intrusos, as como programas con cdigo malicioso como troyanos o puertas traseras (Informtica Forense). Verificar si est activa la auditora en los equipos principales, servidores o dispositivos de red.

Descripcin General de la Metodologa

Evaluacin de los dispositivos

Revisar los permisos que tienen cada uno de los usuarios tanto a nivel de Directorios y archivos como a nivel de comandos, servicios y protocolos. Verificar que existan polticas de seguridad de contraseas definidas en el sistema, esto es para minimizar el riesgo de penetracin, por ejemplo se debe establecer como poltica de seguridad el forzar a cambiar regularmente las contraseas y el establecer tiempos de caducidad de las mismas Verificar que las contraseas sean robustas y que se hayan modificado las contraseas que vienen por omisin tanto en los sistemas operativos como en los programas de administracin instalados Evaluar que el acceso fsico a los servidores est restringido

Descripcin General de la Metodologa

Estaciones de Trabajo

Verificar que estn aplicados los parches de seguridad mas recientes del sistema operativo y software instalados El Software antivirus debe estar actualizado

No deben existir carpetas compartidas

Verificar que no est instalado software que pueda poner el riesgo el funcionamiento de la red o la informacin misma

Detalle de las Tareas Realizadas

Proceso de Auditora de la Seguridad de la informacin desde la Red Interna
1. Seguridad de Protocolos TCP/IP

En esta fase se pretende obtener informacin sobre los servidores de la organizacin que sern atacados.

Una vez que sabemos cules son los servidores y sus sistemas operativos realizamos conexiones a los mismos utilizando usuarios y contraseas que vienen por omisin en cada sistema operativo, si alguno de ellos no ha sido modificado habremos penetrado sin ningn problema.

Detalle de las Tareas Realizadas

Proceso de Auditora de la Seguridad de la informacin desde la Red Interna

Se realiza un rastreo de puertos tanto de los servidores como de los dispositivos de comunicaciones, es a travs de estos puertos que se intenta realizar la penetracin. Herramienta utilizada: nmap Una vez determinados cules son los puertos abiertos en cada equipo, procedemos a explotar las vulnerabilidades conocidas de cada puerto y servicio tcp o udp.

Detalle de las Tareas Realizadas

Proceso de Auditora de la Seguridad de la informacin desde la Red Interna

Intentamos averiguar para cada servidor y equipo de comunicacin los siguientes datos:

las interfaces de red conectadas los recursos compartidos los servicios instalados cuentas de usuario redes conectadas direcciones Mac Rutas Conexiones Activas

Detalle de las Tareas Realizadas

Proceso de Auditora de la Seguridad de la informacin desde la Red Interna

Se determina si algn dispositivo tiene activo el protocolo SNMP y si est configurado con las contraseas de comunidad por omisin, si es as podremos tomar control total sobre el dispositivo. Herramienta utilizada: SolarWinds Una vez que sabemos los puertos y protocolos disponibles procedemos a realizar ataques de diccionario y ataques de fuerza bruta contra ciertos protocolos como Ftp, http, pop3 (Podemos averiguar la contrasea de correo de todos los usuarios), snmp, telnet etc.

Detalle de las Tareas Realizadas

Proceso de Auditora de la Seguridad de la informacin desde la Red Interna

Herramienta utilizada: Brutus

Un ataque de diccionario consiste en probar una combinacin de todos los usuarios y contraseas posibles basados en un diccionario. Un ataque de fuerza bruta consiste en probar una combinacin de todos los usuarios y contraseas posibles basados en todos los caracteres disponibles.

Detalle de las Tareas Realizadas

Proceso de Auditora de la Seguridad de la informacin desde la Red Interna
Ataques a Protocolos Utilizar un rastreador de redes, mediante estos aplicaciones podemos ver todo el trfico de informacin que circula a travs de la red, con el objetivo de capturar informacin valiosa como las contraseas de los administradores, tambin podemos capturar contraseas de protocolos como POP3, telnet, FTP, SNMP,Oracle SQL*Net etc.

Herramientas utilizadas: Ethereal + Ettercap, Cain, Iris Recomendaciones: No utilizar protocolos que transmiten la informacin en claro, utilizar por ejemplo el protocolo SSH en lugar de FTP yTelnet, El SSH transmite la informacin en forma cifrada.

Detalle de las Tareas Realizadas

Proceso de Auditora de la Seguridad de la informacin desde la Red Interna
2. Informacin del Objetivo

Dibujar un diagrama de la red, esto nos dar un amplio panorama de la estructura y situacin actual de la red. Herramientas utilizadas: Cheops, Networkview Si los sistemas operativos y los programas instalados en servidores y equipos de comunicacin no estn actualizados y parchados, es posible acceder al archivo de contraseas para luego descifrarlos localmente.

Detalle de las Tareas Realizadas

Proceso de Auditora de la Seguridad de la informacin desde la Red Interna

Existen muchos mtodos para obtener estos archivos dependiendo de la vulnerabilidad no parchada y del sistema operativo, tambin existen varias herramientas para descifrar las contraseas. Herramientas utilizadas: enum, pwdump, john the ripper. Existe una serie de ataques que pueden hacerse contra servidores y equipos no parchados, por ejemplo ataques de buffer Overflow.

Detalle de las Tareas Realizadas

Proceso de Auditora de la Seguridad de la informacin desde la Red Interna

Buffer Overflow (Programas que provocan un desbordamiento de la memoria y retornan un shell del Sistema Operativo)

Recomendaciones: Establecer polticas que permitan mantener actualizados y parchados los recursos informticos de la red.
Proteger los archivos importantes relacionados a la seguridad, tanto a nivel de sistemas operativos como de datos. Establecer polticas de creacin y cambio de contraseas con el fin de dificultar la averiguacin de las mismas.

Detalle de las Tareas Realizadas

Proceso de Auditora de la Seguridad de la informacin desde la Red Interna

Determinar todas las carpetas compartidas dentro de la red, estas representan un foco de infeccin de virus y de prdida de informacin, utilizamos programas que adems de listar las carpetas compartidas averigua las contraseas en segundos. Recomendacin: Establecer una poltica de seguridad que prohba la creacin de carpetas compartidas.

Detalle de las Tareas Realizadas

Proceso de Auditora de la Seguridad de la informacin desde la Red Interna
3. Ataques a Servidores

Verificar la existencia de servicios que estn mal configurados desde el punto de vista de la seguridad, as como la existencia de servicios innecesarios para la empresa, por ejemplo el IIS v5 instala programas ejemplo que permiten navegar ( y modificar) en el disco duro del Web Server de la compaa, o cualquier otro servidor que tenga instalado el IIS.

Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa, www.securityfocus.com, Netcat, Metaexploit.

Detalle de las Tareas Realizadas

Proceso de Auditora de la Seguridad de la informacin desde la Red Interna

Recomendacin: Hacer un inventario de todos los servicios instalados a fin de determinar cules son necesarios y cules no. Revisar la configuracin de los servicios existentes. Anlisis de los siguientes puntos:

Ataques va ODBC Revisin de existencia de Puertas Traseras Emuladores de terminales (Configuracin) Revisar los privilegios asignados a los usuarios Determinar si existen cuentas que pertenezcan a usuarios que ya no trabajan en la empresa. Verificar si es posible que los usuarios actuales tienen la posiblidad de Elevacin de Privilegios

Detalle de las Tareas Realizadas

Proceso de Auditora de la Seguridad de la informacin desde la Red Externa
4. Establecimiento del objetivo

En esta fase se busca obtener la mayor informacin general disponible de la vctima, informacin como direcciones IP externas, nombres de los responsables tcnicos de la institucin, sistemas operativos y sus versiones, etc.

Para realizar esta actividad realizamos bsquedas en Internet de informacin relacionada con la empresa, por ejemplo podemos determinar las pginas que tengan enlaces al sitio de la vctima o listar todas las pginas que componen el sitio Internet de la empresa.

Detalle de las Tareas Realizadas

Proceso de Auditora de la Seguridad de la informacin desde la Red Externa

Otra informacin que podemos obtener es la lista de servidores de la empresa, con esto podremos determinar cul es servidor de correo, el firewall, el DNS, el Web Server, etc. Herramienta utilizada: Nslookup Tambin obtenemos informacin como cul es el proveedor de Internet de la organizacin, el sistema operativo del Web server, el historial de cambios de direcciones IP o de proveedor de internet y datos acerca de un posible sitio seguro que utilice el protocolo https. Herramienta utilizada: www.netcraft.com

Detalle de las Tareas Realizadas

Proceso de Auditora de la Seguridad de la informacin desde la Red Externa

Intentamos averiguamos para cada servidor y equipos de comunicacin datos tales como los siguientes:

las interfaces de red conectadas los recursos compartidos los servicios instalados cuentas de usuario redes conectadas direcciones Mac Rutas Conexiones Activas

Tambin intentamos determinar si algn dispositivo tiene activo el protocolo SNMP y estn configuradas las contraseas por omisin, si es as podremos tomar control total sobre el dispositivo.

Detalle de las Tareas Realizadas

Proceso de Auditora de la Seguridad de la informacin desde la Red Externa

Una vez que sabemos los puertos y protocolos disponibles procedemos a realizar ataques de diccionario y ataques de fuerza bruta contra ciertos protocolos como Ftp, http, pop3, snmp, telnet, etc.
Tambin se determinan las vulnerabilidades existentes para los puertos y protocolos disponibles y se intenta penetrar a travs de las mismas. Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa, www.securityfocus.com, Netcat, Metaexploit.

Detalle de las Tareas Realizadas

Proceso de Auditora de la Seguridad de la informacin desde la Red Externa

Ataques a las aplicaciones de Internet

Verificar si las aplicaciones de Internet son susceptibles a ataques de: SQL Injection Cross-Site Scripting Secuestro de Sesiones vlidas Ataques de diccionario y/o Fuerza bruta

Algunas Recomendaciones:

Validar todos los campos de entrada Almacenar en bitcora todas las transacciones realizadas por los usuarios No escribir contraseas o claves para descifrar contraseas dentro del cdigo Las aplicaciones no deben efectuar sentencias directamente a la base de datos

Detalle de las Tareas Realizadas

Proceso de Auditora de la Seguridad de la informacin desde la Red Externa

Algunas Recomendaciones:

El proceso de encripcin de las contraseas debe incluir una llave de encripcin propia de la institucin mas datos particulares del usuario (Valor SALT), de tal forma que la contrasea almacenada no sea simplemente el resultado del algoritmo de encripcin y de esta forma protegerla contra ataques de diccionario o fuerza bruta.

La identificacin o administracin de la sesin debe ser llevada a cabo por la aplicacin y no por el Servidor de Internet
La base de datos debe estar en un servidor separado del Servidor de Internet o servidor de aplicaciones.

Las aplicaciones deben asegurar que ningn parmetro con informacin til para un posible atacante viaje a travs del navegador del cliente y as evitar que estos parmetros puedan ser manipulados, esto incluye las consultas a nivel de URL.

Principales debilidades de Seguridad encontradas en el Sistema Financiero Nacional

En general no existe conciencia de Seguridad Informtica a nivel nacional
No existe un rea de Seguridad dedicada a tiempo completo a proteger la disponibilidad, integridad y confidencialidad de la informacin

No existen polticas de seguridad a nivel institucional que protejan el activo informacin

No existe segmentacin en la arquitectura de la red, los servidores de produccin estn en el mismo segmento de red que las estaciones de trabajo. No existe control sobre las carpetas compartidas en la red

Principales debilidades de Seguridad encontradas en el Sistema Financiero Nacional

En algunas instituciones no existe un sistema automatizado que permita las actualizaciones de seguridad en los sistemas operativos La navegacin a Internet se realiza desde la red interna lo cual expone tanto la red interna como todas las redes a las cuales est conectado el usuario En algunas instituciones no estn instalados Sistemas de Prevencin o Deteccin de Intrusos a nivel de red. No existe una correcta separacin de los ambientes de desarrollo y produccin Configuraciones de servidores y equipos de comunicacin sin controles de seguridad En algunas instituciones es posible que un atacante ingrese a la red interna desde Internet

Principales debilidades de Seguridad encontradas en el Sistema Financiero Nacional

Lo anterior conlleva un sinnmero de riesgos entre los que se destacan la sustraccin, eliminacin o modificacin de la informacin sensitiva del banco, por ejemplo es posible obtener el archivo de contraseas de los usuarios de la aplicacin de banca electrnica, descifrarlas e ingresar al sistema con usuarios vlidos, habilitando al atacante a realizar transferencias bancarias o cualquier servicio disponible en el sitio de la institucin. Se utilizan protocolos a nivel de red que envan informacin en claro la cual puede ser interceptada por cualquier usuario y de esta forma obtener contraseas o cualquier tipo de informacin que ponga en peligro la seguridad de la informacin de la institucin

Actividades a Corto Plazo

Actualmente la CNBS est creando la primera Normativa para el Sistema Financiero en relacin a la Seguridad Informtica, la normativa pretende regular los aspectos mas relevantes de la seguridad informtica en las instituciones del sistema financiero nacional:

Crear un rea de Seguridad Informtica Regular la documentacin tecnolgica Generar registros de auditora Outsourcing de Tecnologas de Informacin Generacin de polticas de Seguridad

Actividades a Corto Plazo

Regular la confidencialidad de la informacin: (1) Identificacin y autentificacin, (2) Privacidad y confidencialidad, (3) Integridad y disponibilidad, y (4) No-repudio. Regular la Arquitectura de Red Regular la Banca Electrnica Respaldo y Recuperacin

Actividades a Corto Plazo

Actualmente la CNBS est creando el rea de Seguridad Informtica que se encargar entre otras funciones de:

Generar polticas de Seguridad a nivel de la CNBS: Uso de Internet Uso del Correo Electrnico Uso de las estaciones de Trabajo Proceso Antivirus Adquisicin de Hardware y Software Seguridad de Contraseas Seguridad de la Informacin Sensitiva Seguridad de Servidores Seguridad de equipos de comunicacin Seguridad en redes inalmbricas (Si existen) Seguridad en Redes con Terceros Acceso y Configuracin remotos.

Actividades a Corto Plazo

Entregar prototipos de Polticas de Seguridad a las instituciones del Sistema Financiero Nacional. Desarrollar Normativa hacia las Instituciones del Sistema Financiero Nacional referente a los controles de Seguridad mnimo en el proceso de Comercio Electrnico y arquitectura de Redes. Llevar a cabo pruebas de penetracin peridicas (Hacking tico) a las redes externas e internas de la CNBS y de las Instituciones para descubrir vulnerabilidades de Seguridad y realizar las recomendaciones respectivas.

Actividades a Corto Plazo

Involucrase en el diseo de los Sistemas de Informacin Internos de la CNBS para garantizar que el cdigo de los programas se desarrolle tomando en cuenta la Seguridad de la Informacin. Reaccin, en conjunto con la Divisin de Operaciones, ante incidentes de Seguridad dentro de las redes de la CNBS y las Instituciones del sistema Financiero Nacional. Crear un ambiente y una cultura de Seguridad a nivel del Sistema Financiero Nacional y la CNBS, para esto se deben llevar a cabo campaas de concientizacin a los usuarios en el tema de la importancia de la Seguridad de la Informacin.

Taller Demostrativo
Servidor de Agencia 20.0.0.3

HS1 HS2 OK1 OK2 PS

1 2 3 4 5 6 7 8 910 11 12 COLACTSTA-

CONSOLE

Switch de Agencia 20.0.0.2

20.0.0.1 ROUTER 10.0.0.1

HS1 HS2 OK1 OK2 PS 1 2 3 4 5 6 7 8 910 11 12 COLACTSTACONSOLE

Servidor de Base de Datos 10.0.0.3 Switch de Oficina Principal 10.0.0.5

Controlador de Dominio 10.0.0.2

PC del Administrador de la Red 10.0.0.4

Taller Demostrativo
Conexin TCP

Syn Syn tAck

PC A

Ack

PC B

Muchas Gracias por su Atencin!