1

Informe de pruebas de vulnerabilidad

Julián Esteban Cifuentes Botero – Grupo 011

María Lucia Solano Meneses – Grupo 011
Johan David Cardenas Tarache – Grupo 011

Fundación Universitaria Del Área Andina

Facultad De Ingeniería Y Ciencias Básicas - Ingeniería De Sistemas

Informática Forense

Camilo Augusto Cardona Patiño

Junio 2022
 2

Introducción

Para realizar una investigación forense se requiere que se tengan que cumplir los

protocolos y normas para la recolección ya análisis de información ya que un mal manejo que

se le dé a la evidencia esta pierda validez

En este trabajo se desarrollará la actividad propuesta en el Eje 4 la cual se implementará un

sistema de información (BD) de una inmobiliaria la cual se realizará un pentesting a la red

para ver que puertos tiene abiertos la cuales pueden ser vulnerables y que puedan tener algún

ataque que pueda afectar a la empresa. Se realizará recolección de información así mismo

cadena de custodia, análisis e informe de vulnerabilidades con las que se encontraron en la

herramienta de NMAP.
 3

Desarrollo de Actividad:

1. Implemente el sistema de información de una agencia inmobiliaria tiene oficinas en

varias ciudades de Colombia desarrollado en módulos anteriores

o Nuestro sistema de bases de datos esta implementado en servidor local por

servidor apache, MySQL en plataforma phpMyAdmin

IP del Servidor local: 127.0.0.1

Acá podemos ver la base de datos de la inmobiliaria con información del cliente, de la

propiedad y de la información de las ventas de cada propiedad relacionada con los clientes

registrados
 4

2. A través de la herramienta NMAP, realice una prueba de penetración, escaneando los

servicios que se están ejecutando.

o Se realiza un Escaneo Intenso

 5

o Se identifica que puertos de servicios se están ejecutando o abiertos

 6

o Escaneo intenso en todos los puertos TCP

 7

o Escaneo intenso plus UDP

Se identifica que hay muchos puertos abiertos que los protocolos que estos manejan,

adicional en estos puertos abiertos son filtrados.

Podemos ver que en este escaneo se encontró 7 puertos filtrados, 14 abiertos y 1986 cerrados
 8

Podemos observar en las siguientes imágenes que los dos primeros escaneos de los primeros

1000 puertos se evidenciaron 992 puertos cerrados y 8 abiertos. Mientras en el scan general

de los puertos se evidenciaron 27 abiertos 1 filtrado y 65507 cerrados

3. Identifique cuales son los servicios asociados al sistema de información de la agencia

inmobiliaria.

o http/https – ssl: es la conexión que se realizó con el servidor de apache por el puerto

80/443

o MSRPC: es un protocolo que utiliza el modelo cliente-servidor que permite que un

programa solicite un servicio de un programa en otra computadora, sin tener que

comprender los detalles de esa computadora. Por el puerto 135

o Mysql: es la conexión que se establece dentro del servidor apache por phpMyAdmin

para la administración de la base de datos por el puerto 3306

o Wsdapi: es una API de Microsoft para permitir conexiones de programación a

dispositivos habilitados para servicios web por el puerto 5357

 9

4. De acuerdo con las fases del proceso de investigación forense, registre la adquisición,

custodia, control, transferencia, análisis y cambios de las vulnerabilidades

identificadas.

Adquisición: El investigador forense debe de usar herramientas que le ayuden en la

automatización del proceso de creación de la línea de tiempo

o Ordenar archivos por MAC del equipo ya que la mayoría de los archivos tendrán la

fecha de instalación del sistema mientras los recientes algo distinto

o Indagar dentro en el sistema archivos recientemente creados, modificados o

eliminados. Instalación de programas raros en rutas poco conocidas

o Detectar archivos del sistema después de la instalación. Analizar el espacio detrás de

cada archivo (espacio que el sistema operativo no reconoce) ya que el

almacenamiento se realiza por bloques dentro del disco por lo cual se pueden detectar

en restos de los logs

o Analizar los archivos eliminados que seas sospechosos y relacionarlos con las marcas

temporales con la actividad de otros archivos, conjuntamente analizar los logs del

sistema

En la adquisición de las muestras se debe respetar una regla que va con la volatilidad que

se deberá de recolectar la evidencia más volátil o rápida a la más lenta por ejemplo ir por el

estado de la memoria, cache por último la información de los archivos que esta disponible en

el almacenamiento.
 10

Cadena de Custodia: Esta se puede decir que es la agrupación de las etapas que se lleva a

cabo para custodiar la evidencia obtenida convirtiéndola de evidencia digital a proceso legal.

Y esta se conforma de los siguientes pasos:

o Conservar y prevenir la manipulación de varios actores que puedan afectar la

evidencia y esta pierda validez ante el juez

o Que la evidencia sea transportada de manera segura por una empresa de seguridad de

envío de estas evidencias

o Mantener la evidencia intacta a la hora de realizar el análisis de esta

o Proteger la información por medio de hashes para que la información no sea

adulterada

Control: por medio de la cadena de custodia los investigadores se deben platear las

siguientes preguntas:

o ¿Quién manejo la evidencia?

o ¿Que se usó para recolectar?

o ¿Por qué se realizó de esa manera?

o ¿Cuándo fue encontrada la evidencia?

o ¿En dónde se encontró?

o ¿Como se documentó?

Análisis: la finalidad que tiene esta investigación es con el fin de realizar el análisis o los

pasos a realizar que un investigador forense informático necesita seguir dentro del proceso de

recolección de la información, búsqueda detallada y muy minuciosa para reconstruir el

acontecimiento que tuvo lugar algún ataque que pudo comprometer el sistema y así mismo

poder contribuir a dar solución a un proceso legal.

 11

Una vez obtenida la información necesaria y preservada, da al paso de una fase más técnica

donde se utilizan Hardware como softwares rústicamente diseñados para el análisis. Bien hay

metodologías donde ayudan a estructurar el trabajo que se está realizando aunque también

conlleva la capacidad y experiencia que tiene el analista, saber que es lo que se esta

buscando, ya que dará un enfoque mas preciso al momento de encontrar las evidencias y

poder crear una línea de tiempo. Los logs que quedan registrados en los equipos son muy

útiles al momento del peritaje. Es importante evaluar la criticidad del incidente encontrado y

los actores que fueron involucrados

5. Finalmente, elabore un informe de pruebas de vulnerabilidad documentado la

totalidad del proceso realizado

Las vulnerabilidades sola aquellas que pueden dar entrada a riesgos que puede tener un

sistema y puedan ser afectados. Actualmente la herramienta maneja scripts para comprobar

vulnerabilidades más conocidas:

o Auth: ejecuta todos sus scripts disponibles para autenticación

o Default: ejecuta los scripts básicos por defecto de la herramienta

o Discovery: recupera información del target o víctima

o External: script para utilizar recursos externos

o Intrusive: utiliza scripts que son considerados intrusivos para la víctima o target

o Malware: revisa si hay conexiones abiertas por códigos maliciosos o backdoors

(puertas traseras)

o Safe: ejecuta scripts que no son intrusivos

o Vuln: descubre las vulnerabilidades más conocidas

o All: ejecuta absolutamente todos los scripts con extensión NSE disponibles
 12

Se debe tener en cuenta la clasificación de la vulnerabilidad si es crítica, alta, media o baja y

esta esta determinada por el consultor y esta percepción esta definida por los siguientes

aspectos:

o La explotabilidad de la vulnerabilidad

o El vector necesario para una ejecución de un exploit efectivo

o El nivel de autenticación requerido parta un ataque exitoso

o El alcance a detalles públicos sobre la explotación de la vulnerabilidad

Para el seguimiento de esta fase se puede guiar de la ayuda que da el aplicativo

 13

Podemos evidenciar que el servidor dice que no es vulnerable por el script de vuln pero aun

así tiene puertos abiertos la cuales hay un exploit disponible con cual atacar por ejemplo con

la del servidor de Apache referente a la versión. Así con este estudio se propone

procedimientos que permitan la mitigación del riesgo que conlleva contar con estas

vulnerabilidades
 14

Conclusión

La informática forense hoy en la actualidad a tomado gran importancia ya que permite

encontrar las evidencias necesarias y suficientes en un siniestro, evidencia que puede ayudar

y ser muy útil a la hora de resolver el caso, las metodologías que se manejan, técnicas y

herramientas que son aplicadas dentro de la practica ayudan en conjunto a dar una

explicación de lo ocurrido. Lo importante que a la final de la investigación se puede ayudar a

plantear recomendaciones ya que permitan establecer unos controles mas rigurosos de

seguridad que se deban implementar en la empresa

Bibliografía

MSRPC protocol - definition & how it works - ExtraHop. (n.d.-a). Extrahop.Com. Retrieved June 5,

2022, from https://www.extrahop.com/resources/protocols/msrpc/

5 fases fundamentales del análisis forense digital. (2015, April 15). WeLiveSecurity.

https://www.welivesecurity.com/la-es/2015/04/15/5-fases-analisis-forense-digital/

Sanchis, E. (2020, April 18). La cadena de custodia. Peritos Informaticos. https://peritos-

informaticos.com/la-cadena-de-custodia

Auditando con Nmap y sus scripts para escanear vulnerabilidades. (2015, February 12).

WeLiveSecurity. https://www.welivesecurity.com/la-es/2015/02/12/auditando-nmap-scripts-

escanear-vulnerabilidades/

Download the Free Nmap Security Scanner for Linux/mac/windows. (n.d.). Nmap.Org. Retrieved June

5, 2022, from https://nmap.org/download

CNA. (n.d.). INCIBE-CERT. Retrieved June 5, 2022, from https://www.incibe-cert.es/alerta-

temprana/vulnerabilidades/avisos-cna