Your SlideShare is downloading. ×
0
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Cnbs auditoria
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Cnbs auditoria

125

Published on

INTEGRACION DE LAS TICS

INTEGRACION DE LAS TICS

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
125
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Proceso de Auditoría de laProceso de Auditoría de laSeguridad de laSeguridad de laInformación en lasInformación en lasInstitucionesInstitucionesSupervisadas por la CNBSSupervisadas por la CNBSJulio 2005Julio 2005
  • 2. Proceso de Auditoría de la Seguridad de laProceso de Auditoría de la Seguridad de laInformación en las Instituciones Supervisadas porInformación en las Instituciones Supervisadas porla CNBSla CNBS IntroducciónIntroducción Descripción General de la MetodologíaDescripción General de la MetodologíaUtilizadaUtilizada Detalle de las tareas realizadasDetalle de las tareas realizadas Principales vulnerabilidades de Seguridad enPrincipales vulnerabilidades de Seguridad enel Sistema Financiero Hondureñoel Sistema Financiero Hondureño Actividades a Corto PlazoActividades a Corto Plazo
  • 3. IntroducciónIntroducciónObjetivos:Objetivos: Brindar un servicio de consultoría en seguridad informáticaBrindar un servicio de consultoría en seguridad informáticade los riesgos externos (Internet) e internos en que puedende los riesgos externos (Internet) e internos en que puedenverse involucrados los equipos de cómputo de lasverse involucrados los equipos de cómputo de lasInstituciones Financieras supervisadas por la CNBS.Instituciones Financieras supervisadas por la CNBS. Determinar si la información crítica de las Instituciones enDeterminar si la información crítica de las Instituciones entérminos de disponibilidad, integridad y confidencialidadtérminos de disponibilidad, integridad y confidencialidadestá expuesta y altamente en riesgo.está expuesta y altamente en riesgo. Determinar si existen políticas de seguridad a nivelDeterminar si existen políticas de seguridad a nivelinstitucional que protejan el activo “información”.institucional que protejan el activo “información”. Determinar si existe segmentación en las redes.Determinar si existe segmentación en las redes.
  • 4. IntroducciónIntroducciónObjetivos:Objetivos: Determinar si la navegación en Internet por los usuarios deDeterminar si la navegación en Internet por los usuarios dela red interna se realiza de manera segura.la red interna se realiza de manera segura. Determinar si existen Procesos de Traslado de Desarrollo aDeterminar si existen Procesos de Traslado de Desarrollo aProducción.Producción. Determinar si existen Procesos de Respaldo yDeterminar si existen Procesos de Respaldo yRestauración.Restauración. Fomentar la conciencia de Seguridad a nivel nacional.Fomentar la conciencia de Seguridad a nivel nacional.
  • 5. IntroducciónIntroducciónMetodología:Metodología: El análisis se desarrolla mediante la ejecución de ataques yEl análisis se desarrolla mediante la ejecución de ataques ytécnicas de penetración a sistemas informáticos (Hackingtécnicas de penetración a sistemas informáticos (Hackingético).ético). Lo que realmente hacemos es reproducir ataquesLo que realmente hacemos es reproducir ataquesinformáticos a los cuales pueden verse sometidas lasinformáticos a los cuales pueden verse sometidas lasinstituciones supervisadas y si logramos penetrar losinstituciones supervisadas y si logramos penetrar losservidores de las instituciones podremos realizar lasservidores de las instituciones podremos realizar lasrecomendaciones técnicas oportunas.recomendaciones técnicas oportunas.Excepciones:Excepciones: Previendo no afectar el funcionamiento de los equipos yPreviendo no afectar el funcionamiento de los equipos yservicios no se efectúan ataques de denegación deservicios no se efectúan ataques de denegación deservicios.servicios.
  • 6. IntroducciónIntroducciónInformación Requerida:Información Requerida: Los ataques realizados desde la red interna se llevan a caboLos ataques realizados desde la red interna se llevan a cabosin ningún usuario autorizado, únicamente con unasin ningún usuario autorizado, únicamente con unadirección IP válida de la red.dirección IP válida de la red. En cuanto a los ataques desde Internet, estos se realizanEn cuanto a los ataques desde Internet, estos se realizansin ningún conocimiento previo es decir a partir de cero.sin ningún conocimiento previo es decir a partir de cero.Entregable:Entregable: Al final la auditoría se le entrega un reporte a la institución,Al final la auditoría se le entrega un reporte a la institución,el reporte presenta un resumen ejecutivo de las principalesel reporte presenta un resumen ejecutivo de las principalesdebilidades encontradas en materia de seguridaddebilidades encontradas en materia de seguridadinformática.informática. El reporte también incluye los detalles de los puntos débilesEl reporte también incluye los detalles de los puntos débilesencontrados y las respectivas recomendaciones.encontrados y las respectivas recomendaciones.
  • 7. Descripción General de la MetodologíaDescripción General de la Metodología Es necesario conocer y tratar de pensar cómoEs necesario conocer y tratar de pensar cómoactúan los atacantes y piratas informáticosactúan los atacantes y piratas informáticospara ser capaces recomendar solucionespara ser capaces recomendar solucionesacerca de la seguridad de la información.acerca de la seguridad de la información. Evaluar la configuración de la red tantoEvaluar la configuración de la red tantoprivada como pública, determinando la formaprivada como pública, determinando la formaen como estas dos redes se interconectan,en como estas dos redes se interconectan,verificar si existe segmentación.verificar si existe segmentación. Identificar si existen dispositivos que garanticen laIdentificar si existen dispositivos que garanticen laprivacidad de la red Interna de la institución ante laprivacidad de la red Interna de la institución ante laamenaza de ataques externos.amenaza de ataques externos. Determinar si existen Políticas de Seguridad a nivelDeterminar si existen Políticas de Seguridad a nivelinstitucional y evaluar si están definidas y aplicadas en losinstitucional y evaluar si están definidas y aplicadas en losequipos de seguridad (FIREWALLS, ROUTERS, SWITCHES,equipos de seguridad (FIREWALLS, ROUTERS, SWITCHES,Servidores de Dominio, Filtros de Contenido, PROXYServidores de Dominio, Filtros de Contenido, PROXYSERVERS etc.)SERVERS etc.)
  • 8. Descripción General de la MetodologíaDescripción General de la Metodología Verificar que los equipos de seguridad estén configurados de talVerificar que los equipos de seguridad estén configurados de talforma que no permitan transferencia de información que ponga enforma que no permitan transferencia de información que ponga enriesgo la red Interna, como ser transferencias de Zonas DNS,riesgo la red Interna, como ser transferencias de Zonas DNS,publicación de Direcciones IP, retransmisión de paquetes apublicación de Direcciones IP, retransmisión de paquetes asolicitud de ataques de HACKERS etc.solicitud de ataques de HACKERS etc. Identificar si la institución cuenta con un Sistema de Detección oIdentificar si la institución cuenta con un Sistema de Detección oPrevención de Intrusos, Antivirus Corporativo, Filtros dePrevención de Intrusos, Antivirus Corporativo, Filtros decontenido, Servidores de Actualización etc.contenido, Servidores de Actualización etc.8vyaleh31&d ktu.dtrw8743$Fie*n3h3434234234234
  • 9. Descripción General de la MetodologíaDescripción General de la Metodología Evaluar las políticas deEvaluar las políticas deacceso a informaciónacceso a informaciónexterna, y el nivel deexterna, y el nivel demonitoreo de las mismas, amonitoreo de las mismas, afin de establecer el nivel defin de establecer el nivel deriesgo a que puede verseriesgo a que puede verseexpuesta la red privada.expuesta la red privada. Identificar y evaluar losIdentificar y evaluar losmecanismos de alerta ymecanismos de alerta ynotificación de los aspectosnotificación de los aspectosque se consideranque se consideranirregulares dentro de lairregulares dentro de laadministración del sistema.administración del sistema.
  • 10. Descripción General de la MetodologíaDescripción General de la MetodologíaEvaluación de los DispositivosEvaluación de los Dispositivos Verificar que los Sistemas OperativosVerificar que los Sistemas Operativoshayan sido instalados de acuerdo ahayan sido instalados de acuerdo alas recomendaciones de hardware,las recomendaciones de hardware,configuraciones especiales y Parchesconfiguraciones especiales y Parchesnecesarios que estén definidos paranecesarios que estén definidos parala plataforma que se ha instalado.la plataforma que se ha instalado. Verificar que todas las versiones de software instalado, se encuentrenVerificar que todas las versiones de software instalado, se encuentrenactualizadas a la última versión del mismo, o que contengan todas lasactualizadas a la última versión del mismo, o que contengan todas lasactualizaciones que el fabricante haya puesto a disponibilidad de esaactualizaciones que el fabricante haya puesto a disponibilidad de esaplataforma y versión.plataforma y versión. Verificar que la configuración de los servidores se encuentre ajustada aVerificar que la configuración de los servidores se encuentre ajustada alas necesidades de la empresa, esto es que no mantenga activo servicioslas necesidades de la empresa, esto es que no mantenga activo serviciosy protocolos que la empresa no pretenda usar.y protocolos que la empresa no pretenda usar.
  • 11. Descripción General de la MetodologíaDescripción General de la MetodologíaEvaluación de los dispositivosEvaluación de los dispositivos Verificar que hayan sido deshabilitados todosVerificar que hayan sido deshabilitados todosaquellos usuarios que el sistema, base de datos uaquellos usuarios que el sistema, base de datos uotro software aplicativo en uso, hayan definidootro software aplicativo en uso, hayan definidopor defecto, y que no serán de utilidad.por defecto, y que no serán de utilidad. Verificar que exista un software antivirusVerificar que exista un software antiviruscorporativo actualizado, que garantice lacorporativo actualizado, que garantice laintegridad del software y datos críticos de laintegridad del software y datos críticos de lainstitución.institución. Verificar que exista un plan de respaldo yVerificar que exista un plan de respaldo yrecuperación tanto a nivel de política establecidarecuperación tanto a nivel de política establecidaasí como a nivel del sistema.así como a nivel del sistema.
  • 12. Descripción General de la MetodologíaDescripción General de la MetodologíaEvaluación de los dispositivosEvaluación de los dispositivos Evaluar si se utilizan protocolos que transmiten losEvaluar si se utilizan protocolos que transmiten losdatos en claro, de ser así estos deben serdatos en claro, de ser así estos deben serreemplazados por protocolos que encriptan lareemplazados por protocolos que encriptan lainformación.información. Verificar si existen usuarios definidos en el sistemaVerificar si existen usuarios definidos en el sistemaque no deberían existir, por ejemplo usuariosque no deberían existir, por ejemplo usuariosinvitados o usuarios creados por intrusos, así comoinvitados o usuarios creados por intrusos, así comoprogramas con código malicioso como troyanos oprogramas con código malicioso como troyanos opuertas traseras (Informática Forense).puertas traseras (Informática Forense). Verificar si está activa la auditoría en los equiposVerificar si está activa la auditoría en los equiposprincipales, servidores o dispositivos de red.principales, servidores o dispositivos de red.
  • 13. Descripción General de la MetodologíaDescripción General de la MetodologíaEvaluación de los dispositivosEvaluación de los dispositivos Revisar los permisos que tienen cada uno de losRevisar los permisos que tienen cada uno de losusuarios tanto a nivel de Directorios y archivos como ausuarios tanto a nivel de Directorios y archivos como anivel de comandos, servicios y protocolos.nivel de comandos, servicios y protocolos. Verificar que existan políticas de seguridad deVerificar que existan políticas de seguridad decontraseñas definidas en el sistema, esto es paracontraseñas definidas en el sistema, esto es paraminimizar el riesgo de penetración, por ejemplo seminimizar el riesgo de penetración, por ejemplo sedebe establecer como política de seguridad el forzar adebe establecer como política de seguridad el forzar acambiar regularmente las contraseñas y el establecercambiar regularmente las contraseñas y el establecertiempos de caducidad de las mismastiempos de caducidad de las mismas Verificar que las contraseñas sean robustas y que seVerificar que las contraseñas sean robustas y que sehayan modificado las contraseñas que vienen porhayan modificado las contraseñas que vienen poromisión tanto en los sistemas operativos como en losomisión tanto en los sistemas operativos como en losprogramas de administración instaladosprogramas de administración instalados Evaluar que el acceso físico a los servidores estéEvaluar que el acceso físico a los servidores estérestringidorestringido
  • 14. Descripción General de la MetodologíaDescripción General de la MetodologíaEstaciones de TrabajoEstaciones de Trabajo Verificar que estén aplicados los parches de seguridad masVerificar que estén aplicados los parches de seguridad masrecientes del sistema operativo y software instaladosrecientes del sistema operativo y software instalados El Software antivirus debe estar actualizadoEl Software antivirus debe estar actualizado No deben existir carpetas compartidasNo deben existir carpetas compartidas Verificar que no esté instalado software que pueda poner elVerificar que no esté instalado software que pueda poner elriesgo el funcionamiento de la red o la información mismariesgo el funcionamiento de la red o la información misma
  • 15. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas1.1. Seguridad de Protocolos TCP/IPSeguridad de Protocolos TCP/IP En esta fase se pretende obtener información sobre losEn esta fase se pretende obtener información sobre losservidores de la organización que serán atacados.servidores de la organización que serán atacados. Una vez que sabemos cuáles son los servidores y susUna vez que sabemos cuáles son los servidores y sussistemas operativos realizamos conexiones a los mismossistemas operativos realizamos conexiones a los mismosutilizando usuarios y contraseñas que vienen por omisiónutilizando usuarios y contraseñas que vienen por omisiónen cada sistema operativo, si alguno de ellos no ha sidoen cada sistema operativo, si alguno de ellos no ha sidomodificado habremos penetrado sin ningún problema.modificado habremos penetrado sin ningún problema.Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la informacióndesde la Red Internadesde la Red Interna
  • 16. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas Se realiza un rastreo de puertos tanto de los servidoresSe realiza un rastreo de puertos tanto de los servidorescomo de los dispositivos de comunicaciones, es a través decomo de los dispositivos de comunicaciones, es a través deestos puertos que se intenta realizar la penetración.estos puertos que se intenta realizar la penetración. Herramienta utilizada: nmapHerramienta utilizada: nmap Una vez determinados cuáles son los puertos abiertos enUna vez determinados cuáles son los puertos abiertos encada equipo, procedemos a explotar las vulnerabilidadescada equipo, procedemos a explotar las vulnerabilidadesconocidas de cada puerto y servicio tcp o udp.conocidas de cada puerto y servicio tcp o udp.Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la informacióndesde la Red Internadesde la Red Interna
  • 17. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas Intentamos averiguar para cada servidor y equipo deIntentamos averiguar para cada servidor y equipo decomunicación los siguientes datos:comunicación los siguientes datos: las interfaces de red conectadaslas interfaces de red conectadas los recursos compartidoslos recursos compartidos los servicios instaladoslos servicios instalados cuentas de usuariocuentas de usuario redes conectadasredes conectadas direcciones Macdirecciones Mac RutasRutas Conexiones ActivasConexiones ActivasProceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la informacióndesde la Red Internadesde la Red Interna
  • 18. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas Se determina si algún dispositivo tiene activo el protocoloSe determina si algún dispositivo tiene activo el protocoloSNMP y si está configurado con las contraseñas deSNMP y si está configurado con las contraseñas decomunidad por omisión, si es así podremos tomar controlcomunidad por omisión, si es así podremos tomar controltotal sobre el dispositivo.total sobre el dispositivo. Herramienta utilizada: SolarWindsHerramienta utilizada: SolarWinds Una vez que sabemos los puertos y protocolos disponiblesUna vez que sabemos los puertos y protocolos disponiblesprocedemos a realizar ataques de diccionario y ataques deprocedemos a realizar ataques de diccionario y ataques defuerza bruta contra ciertos protocolos como Ftp, http, pop3fuerza bruta contra ciertos protocolos como Ftp, http, pop3(Podemos averiguar la contraseña de correo de todos los(Podemos averiguar la contraseña de correo de todos losusuarios), snmp, telnet etc.usuarios), snmp, telnet etc.Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la informacióndesde la Red Internadesde la Red Interna
  • 19. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas Herramienta utilizada: BrutusHerramienta utilizada: Brutus Un ataque de diccionario consiste en probar unaUn ataque de diccionario consiste en probar unacombinación de todos los usuarios y contraseñascombinación de todos los usuarios y contraseñasposibles basados en un diccionario.posibles basados en un diccionario. Un ataque de fuerza bruta consiste en probar unaUn ataque de fuerza bruta consiste en probar unacombinación de todos los usuarios y contraseñascombinación de todos los usuarios y contraseñasposibles basados en todos los caracteresposibles basados en todos los caracteresdisponibles.disponibles.Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la informacióndesde la Red Internadesde la Red Interna
  • 20. Detalle de las Tareas RealizadasDetalle de las Tareas RealizadasAtaques a ProtocolosAtaques a ProtocolosUtilizar un rastreador de redes, mediante estos aplicacionesUtilizar un rastreador de redes, mediante estos aplicacionespodemos ver todo el tráfico de información que circula apodemos ver todo el tráfico de información que circula através de la red, con el objetivo de capturar informacióntravés de la red, con el objetivo de capturar informaciónvaliosa como las contraseñas de los administradores,valiosa como las contraseñas de los administradores,también podemos capturar contraseñas de protocolos comotambién podemos capturar contraseñas de protocolos comoPOP3, telnet, FTP, SNMP,Oracle SQL*Net etc.POP3, telnet, FTP, SNMP,Oracle SQL*Net etc. Herramientas utilizadas: Ethereal + Ettercap, Cain, IrisHerramientas utilizadas: Ethereal + Ettercap, Cain, Iris Recomendaciones: No utilizar protocolos que transmiten laRecomendaciones: No utilizar protocolos que transmiten lainformación en claro, utilizar por ejemplo el protocolo SSHinformación en claro, utilizar por ejemplo el protocolo SSHen lugar de FTP yTelnet, El SSH transmite la información enen lugar de FTP yTelnet, El SSH transmite la información enforma cifrada.forma cifrada.Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la informacióndesde la Red Internadesde la Red Interna
  • 21. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas2.2. Información del ObjetivoInformación del Objetivo Dibujar un diagrama de la red, esto nos dará un amplioDibujar un diagrama de la red, esto nos dará un ampliopanorama de la estructura y situación actual de la red.panorama de la estructura y situación actual de la red. Herramientas utilizadas: Cheops, NetworkviewHerramientas utilizadas: Cheops, Networkview Si los sistemas operativos y los programas instalados enSi los sistemas operativos y los programas instalados enservidores y equipos de comunicación no están actualizadosservidores y equipos de comunicación no están actualizadosy parchados, es posible acceder al archivo de contraseñasy parchados, es posible acceder al archivo de contraseñaspara luego descifrarlos localmente.para luego descifrarlos localmente.Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la informacióndesde la Red Internadesde la Red Interna
  • 22. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas Existen muchos métodos para obtener estos archivosExisten muchos métodos para obtener estos archivosdependiendo de la vulnerabilidad no parchada y del sistemadependiendo de la vulnerabilidad no parchada y del sistemaoperativo, también existen varias herramientas paraoperativo, también existen varias herramientas paradescifrar las contraseñas.descifrar las contraseñas. Herramientas utilizadas: enum, pwdump, john the ripper.Herramientas utilizadas: enum, pwdump, john the ripper. Existe una serie de ataques que pueden hacerse contraExiste una serie de ataques que pueden hacerse contraservidores y equipos no parchados, por ejemplo ataques deservidores y equipos no parchados, por ejemplo ataques debuffer Overflow.buffer Overflow.Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la informacióndesde la Red Internadesde la Red Interna
  • 23. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas Buffer Overflow (Programas que provocan unBuffer Overflow (Programas que provocan undesbordamiento de la memoria y retornan un shell deldesbordamiento de la memoria y retornan un shell delSistema Operativo)Sistema Operativo) Recomendaciones: Establecer políticas que permitanRecomendaciones: Establecer políticas que permitanmantener actualizados y parchados los recursosmantener actualizados y parchados los recursosinformáticos de la red.informáticos de la red. Proteger los archivos importantes relacionados a laProteger los archivos importantes relacionados a laseguridad, tanto a nivel de sistemas operativos como deseguridad, tanto a nivel de sistemas operativos como dedatos.datos. Establecer políticas de creación y cambio de contraseñasEstablecer políticas de creación y cambio de contraseñascon el fin de dificultar la averiguación de las mismas.con el fin de dificultar la averiguación de las mismas.Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la informacióndesde la Red Internadesde la Red Interna
  • 24. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas Determinar todas las carpetas compartidas dentro de laDeterminar todas las carpetas compartidas dentro de lared, estas representan un foco de infección de virus y dered, estas representan un foco de infección de virus y depérdida de información, utilizamos programas que ademáspérdida de información, utilizamos programas que ademásde listar las carpetas compartidas averigua las contraseñasde listar las carpetas compartidas averigua las contraseñasen segundos.en segundos. Recomendación: Establecer una política de seguridad queRecomendación: Establecer una política de seguridad queprohíba la creación de carpetas compartidas.prohíba la creación de carpetas compartidas.Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la informacióndesde la Red Internadesde la Red Interna
  • 25. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas3.3. Ataques a ServidoresAtaques a Servidores Verificar la existencia de servicios que estén malVerificar la existencia de servicios que estén malconfigurados desde el punto de vista de la seguridad, asíconfigurados desde el punto de vista de la seguridad, asícomo la existencia de servicios innecesarios para lacomo la existencia de servicios innecesarios para laempresa, por ejemplo el IIS v5 instala programas ejemploempresa, por ejemplo el IIS v5 instala programas ejemploque permiten navegar ( y modificar) en el disco duro delque permiten navegar ( y modificar) en el disco duro delWeb Server de la compañía, o cualquier otro servidor queWeb Server de la compañía, o cualquier otro servidor quetenga instalado el IIS.tenga instalado el IIS. Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa,Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa,www.securityfocus.comwww.securityfocus.com, Netcat, Metaexploit., Netcat, Metaexploit.Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la informacióndesde la Red Internadesde la Red Interna
  • 26. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas Recomendación: Hacer un inventario de todos los serviciosRecomendación: Hacer un inventario de todos los serviciosinstalados a fin de determinar cuáles son necesarios y cuáles no.instalados a fin de determinar cuáles son necesarios y cuáles no. Revisar la configuración de los servicios existentes.Revisar la configuración de los servicios existentes. Análisis de los siguientes puntos:Análisis de los siguientes puntos:• Ataques vía ODBCAtaques vía ODBC• Revisión de existencia de Puertas TraserasRevisión de existencia de Puertas Traseras• Emuladores de terminales (Configuración)Emuladores de terminales (Configuración)• Revisar los privilegios asignados a los usuariosRevisar los privilegios asignados a los usuarios• Determinar si existen cuentas que pertenezcan a usuariosDeterminar si existen cuentas que pertenezcan a usuariosque ya no trabajan en la empresa.que ya no trabajan en la empresa.• Verificar si es posible que los usuarios actuales tienen laVerificar si es posible que los usuarios actuales tienen laposiblidad de Elevación de Privilegiosposiblidad de Elevación de PrivilegiosProceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la informacióndesde la Red Internadesde la Red Interna
  • 27. 4.4. Establecimiento del objetivoEstablecimiento del objetivo En esta fase se busca obtener la mayor información generalEn esta fase se busca obtener la mayor información generaldisponible de la víctima, información como direcciones IPdisponible de la víctima, información como direcciones IPexternas, nombres de los responsables técnicos de laexternas, nombres de los responsables técnicos de lainstitución, sistemas operativos y sus versiones, etc.institución, sistemas operativos y sus versiones, etc. Para realizar esta actividad realizamos búsquedas enPara realizar esta actividad realizamos búsquedas enInternet de información relacionada con la empresa, porInternet de información relacionada con la empresa, porejemplo podemos determinar las páginas que tenganejemplo podemos determinar las páginas que tenganenlaces al sitio de la víctima o listar todas las páginas queenlaces al sitio de la víctima o listar todas las páginas quecomponen el sitio Internet de la empresa.componen el sitio Internet de la empresa.Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la informacióndesde la Red Externadesde la Red ExternaDetalle de las Tareas RealizadasDetalle de las Tareas Realizadas
  • 28.  Otra información que podemos obtener es la lista deOtra información que podemos obtener es la lista deservidores de la empresa, con esto podremos determinarservidores de la empresa, con esto podremos determinarcuál es servidor de correo, el firewall, el DNS, el Webcuál es servidor de correo, el firewall, el DNS, el WebServer, etc.Server, etc. Herramienta utilizada: NslookupHerramienta utilizada: Nslookup También obtenemos información como cuál es el proveedorTambién obtenemos información como cuál es el proveedorde Internet de la organización, el sistema operativo delde Internet de la organización, el sistema operativo delWeb server, el historial de cambios de direcciones IP o deWeb server, el historial de cambios de direcciones IP o deproveedor de internet y datos acerca de un posible sitioproveedor de internet y datos acerca de un posible sitioseguro que utilice el protocolo https.seguro que utilice el protocolo https. Herramienta utilizada: www.netcraft.comHerramienta utilizada: www.netcraft.comProceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la informacióndesde la Red Externadesde la Red ExternaDetalle de las Tareas RealizadasDetalle de las Tareas Realizadas
  • 29.  Intentamos averiguamos para cada servidor y equipos deIntentamos averiguamos para cada servidor y equipos decomunicación datos tales como los siguientes:comunicación datos tales como los siguientes:• las interfaces de red conectadaslas interfaces de red conectadas• los recursos compartidoslos recursos compartidos• los servicios instaladoslos servicios instalados• cuentas de usuariocuentas de usuario• redes conectadasredes conectadas• direcciones Macdirecciones Mac• RutasRutas• Conexiones ActivasConexiones Activas También intentamos determinar si algún dispositivo tiene activo elTambién intentamos determinar si algún dispositivo tiene activo elprotocolo SNMP y están configuradas las contraseñas por omisión,protocolo SNMP y están configuradas las contraseñas por omisión,si es así podremos tomar control total sobre el dispositivo.si es así podremos tomar control total sobre el dispositivo.Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la informacióndesde la Red Externadesde la Red ExternaDetalle de las Tareas RealizadasDetalle de las Tareas Realizadas
  • 30.  Una vez que sabemos los puertos y protocolos disponiblesUna vez que sabemos los puertos y protocolos disponiblesprocedemos a realizar ataques de diccionario y ataques deprocedemos a realizar ataques de diccionario y ataques defuerza bruta contra ciertos protocolos como Ftp, http, pop3,fuerza bruta contra ciertos protocolos como Ftp, http, pop3,snmp, telnet, etc.snmp, telnet, etc. También se determinan las vulnerabilidades existentes paraTambién se determinan las vulnerabilidades existentes paralos puertos y protocolos disponibles y se intenta penetrar alos puertos y protocolos disponibles y se intenta penetrar através de las mismas.través de las mismas. Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa,Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa,www.securityfocus.comwww.securityfocus.com, Netcat, Metaexploit., Netcat, Metaexploit.Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la informacióndesde la Red Externadesde la Red ExternaDetalle de las Tareas RealizadasDetalle de las Tareas Realizadas
  • 31.  Ataques a las aplicaciones de InternetAtaques a las aplicaciones de Internet• Verificar si las aplicaciones de Internet son susceptibles a ataques de:Verificar si las aplicaciones de Internet son susceptibles a ataques de:• SQL InjectionSQL Injection• Cross-Site ScriptingCross-Site Scripting• Secuestro de Sesiones válidasSecuestro de Sesiones válidas• Ataques de diccionario y/o Fuerza brutaAtaques de diccionario y/o Fuerza bruta Algunas Recomendaciones:Algunas Recomendaciones:• Validar todos los campos de entradaValidar todos los campos de entrada• Almacenar en bitácora todas las transacciones realizadas por losAlmacenar en bitácora todas las transacciones realizadas por losusuariosusuarios• No escribir contraseñas o claves para descifrar contraseñas dentro delNo escribir contraseñas o claves para descifrar contraseñas dentro delcódigocódigo• Las aplicaciones no deben efectuar sentencias directamente a la baseLas aplicaciones no deben efectuar sentencias directamente a la basede datosde datosProceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la informacióndesde la Red Externadesde la Red ExternaDetalle de las Tareas RealizadasDetalle de las Tareas Realizadas
  • 32.  Algunas Recomendaciones:Algunas Recomendaciones:• El proceso de encripción de las contraseñas debe incluir una llave deEl proceso de encripción de las contraseñas debe incluir una llave deencripción propia de la institución mas datos particulares del usuarioencripción propia de la institución mas datos particulares del usuario(Valor SALT), de tal forma que la contraseña almacenada no sea(Valor SALT), de tal forma que la contraseña almacenada no seasimplemente el resultado del algoritmo de encripción y de esta formasimplemente el resultado del algoritmo de encripción y de esta formaprotegerla contra ataques de diccionario o fuerza bruta.protegerla contra ataques de diccionario o fuerza bruta.• La identificación o administración de la sesión debe ser llevada a caboLa identificación o administración de la sesión debe ser llevada a cabopor la aplicación y no por el Servidor de Internetpor la aplicación y no por el Servidor de Internet• La base de datos debe estar en un servidor separado del Servidor deLa base de datos debe estar en un servidor separado del Servidor deInternet o servidor de aplicaciones.Internet o servidor de aplicaciones.• Las aplicaciones deben asegurar que ningún parámetro conLas aplicaciones deben asegurar que ningún parámetro coninformación útil para un posible atacante viaje a través del navegadorinformación útil para un posible atacante viaje a través del navegadordel cliente y así evitar que estos parámetros puedan ser manipulados,del cliente y así evitar que estos parámetros puedan ser manipulados,esto incluye las consultas a nivel de URL.esto incluye las consultas a nivel de URL.Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la informacióndesde la Red Externadesde la Red ExternaDetalle de las Tareas RealizadasDetalle de las Tareas Realizadas
  • 33. • En general no existe conciencia de Seguridad Informática a nivelEn general no existe conciencia de Seguridad Informática a nivelnacionalnacional• No existe un Área de Seguridad dedicada a tiempo completo aNo existe un Área de Seguridad dedicada a tiempo completo aproteger la disponibilidad, integridad y confidencialidad de laproteger la disponibilidad, integridad y confidencialidad de lainformacióninformación• No existen políticas de seguridad a nivel institucional que protejan elNo existen políticas de seguridad a nivel institucional que protejan elactivo “información”activo “información”• No existe segmentación en la arquitectura de la red, los servidores deNo existe segmentación en la arquitectura de la red, los servidores deproducción están en el mismo segmento de red que las estaciones deproducción están en el mismo segmento de red que las estaciones detrabajo.trabajo.• No existe control sobre las carpetas compartidas en la redNo existe control sobre las carpetas compartidas en la redPrincipales debilidades de Seguridad encontradas enPrincipales debilidades de Seguridad encontradas enelelSistema Financiero NacionalSistema Financiero Nacional
  • 34. • En algunas instituciones no existe un sistema automatizado que permita lasEn algunas instituciones no existe un sistema automatizado que permita lasactualizaciones de seguridad en los sistemas operativosactualizaciones de seguridad en los sistemas operativos• La navegación a Internet se realiza desde la red interna lo cual exponeLa navegación a Internet se realiza desde la red interna lo cual exponetanto la red interna como todas las redes a las cuales esté conectado eltanto la red interna como todas las redes a las cuales esté conectado elusuariousuario• En algunas instituciones no están instalados Sistemas de Prevención oEn algunas instituciones no están instalados Sistemas de Prevención oDetección de Intrusos a nivel de red.Detección de Intrusos a nivel de red.• No existe una correcta separación de los ambientes de desarrollo yNo existe una correcta separación de los ambientes de desarrollo yproducciónproducción• Configuraciones de servidores y equipos de comunicación sin controles deConfiguraciones de servidores y equipos de comunicación sin controles deseguridadseguridad• En algunas instituciones es posible que un atacante ingrese a la red internaEn algunas instituciones es posible que un atacante ingrese a la red internadesde Internetdesde InternetPrincipales debilidades de Seguridad encontradas en elPrincipales debilidades de Seguridad encontradas en elSistema Financiero NacionalSistema Financiero Nacional
  • 35. • Lo anterior conlleva un sinnúmero de riesgos entre los que seLo anterior conlleva un sinnúmero de riesgos entre los que sedestacan la sustracción, eliminación o modificación de ladestacan la sustracción, eliminación o modificación de lainformación sensitiva del banco, por ejemplo es posibleinformación sensitiva del banco, por ejemplo es posibleobtener el archivo de contraseñas de los usuarios de laobtener el archivo de contraseñas de los usuarios de laaplicación de banca electrónica, descifrarlas e ingresar alaplicación de banca electrónica, descifrarlas e ingresar alsistema con usuarios válidos, habilitando al atacante a realizarsistema con usuarios válidos, habilitando al atacante a realizartransferencias bancarias o cualquier servicio disponible en eltransferencias bancarias o cualquier servicio disponible en elsitio de la institución.sitio de la institución.• Se utilizan protocolos a nivel de red que envían información enSe utilizan protocolos a nivel de red que envían información enclaro la cual puede ser interceptada por cualquier usuario y declaro la cual puede ser interceptada por cualquier usuario y deesta forma obtener contraseñas o cualquier tipo deesta forma obtener contraseñas o cualquier tipo deinformación que ponga en peligro la seguridad de lainformación que ponga en peligro la seguridad de lainformación de la institucióninformación de la instituciónPrincipales debilidades de Seguridad encontradas en elPrincipales debilidades de Seguridad encontradas en elSistema Financiero NacionalSistema Financiero Nacional
  • 36.  Actividades a Corto PlazoActividades a Corto Plazo• Actualmente la CNBS está creando la primera Normativa para el SistemaActualmente la CNBS está creando la primera Normativa para el SistemaFinanciero en relación a la Seguridad Informática, la normativa pretende regularFinanciero en relación a la Seguridad Informática, la normativa pretende regularlos aspectos mas relevantes de la seguridad informática en las instituciones dellos aspectos mas relevantes de la seguridad informática en las instituciones delsistema financiero nacional:sistema financiero nacional: Crear un Área de Seguridad InformáticaCrear un Área de Seguridad Informática Regular la documentación tecnológicaRegular la documentación tecnológica Generar registros de auditoríaGenerar registros de auditoría Outsourcing de Tecnologías de InformaciónOutsourcing de Tecnologías de Información Generación de políticas de SeguridadGeneración de políticas de Seguridad
  • 37.  Actividades a Corto PlazoActividades a Corto Plazo Regular la confidencialidad de la información:Regular la confidencialidad de la información:• (1)(1) Identificación y autentificación,Identificación y autentificación,• (2)(2) Privacidad y confidencialidad,Privacidad y confidencialidad,• (3)(3) Integridad y disponibilidad, yIntegridad y disponibilidad, y• (4)(4) No-repudio.No-repudio. Regular la Arquitectura de RedRegular la Arquitectura de Red Regular la Banca ElectrónicaRegular la Banca Electrónica Respaldo y RecuperaciónRespaldo y Recuperación
  • 38.  Actividades a Corto PlazoActividades a Corto Plazo• Actualmente la CNBS está creando el Área de Seguridad InformáticaActualmente la CNBS está creando el Área de Seguridad Informáticaque se encargará entre otras funciones de:que se encargará entre otras funciones de: Generar políticas de Seguridad a nivel de la CNBS:Generar políticas de Seguridad a nivel de la CNBS:• Uso de InternetUso de Internet• Uso del Correo ElectrónicoUso del Correo Electrónico• Uso de las estaciones de TrabajoUso de las estaciones de Trabajo• Proceso AntivirusProceso Antivirus• Adquisición de Hardware y SoftwareAdquisición de Hardware y Software• Seguridad de ContraseñasSeguridad de Contraseñas• Seguridad de la Información SensitivaSeguridad de la Información Sensitiva• Seguridad de ServidoresSeguridad de Servidores• Seguridad de equipos de comunicaciónSeguridad de equipos de comunicación• Seguridad en redes inalámbricas (Si existen)Seguridad en redes inalámbricas (Si existen)• Seguridad en Redes con TercerosSeguridad en Redes con Terceros• Acceso y Configuración remotos.Acceso y Configuración remotos.
  • 39.  Actividades a Corto PlazoActividades a Corto Plazo Entregar prototipos de Políticas de Seguridad a lasEntregar prototipos de Políticas de Seguridad a lasinstituciones del Sistema Financiero Nacional.instituciones del Sistema Financiero Nacional. Desarrollar Normativa hacia las Instituciones del SistemaDesarrollar Normativa hacia las Instituciones del SistemaFinanciero Nacional referente a los controles de SeguridadFinanciero Nacional referente a los controles de Seguridadmínimo en el proceso de Comercio Electrónico ymínimo en el proceso de Comercio Electrónico yarquitectura de Redes.arquitectura de Redes. Llevar a cabo pruebas de penetración periódicas (HackingLlevar a cabo pruebas de penetración periódicas (Hackingético) a las redes externas e internas de la CNBS y de lasético) a las redes externas e internas de la CNBS y de lasInstituciones para descubrir vulnerabilidades de SeguridadInstituciones para descubrir vulnerabilidades de Seguridady realizar las recomendaciones respectivas.y realizar las recomendaciones respectivas.
  • 40.  Actividades a Corto PlazoActividades a Corto Plazo Involucrase en el diseño de los Sistemas de InformaciónInternos de la CNBS para garantizar que el código de losprogramas se desarrolle tomando en cuenta la Seguridadde la Información. Reacción, en conjunto con la División de Operaciones, anteincidentes de Seguridad dentro de las redes de la CNBS ylas Instituciones del sistema Financiero Nacional. Crear un ambiente y una cultura de Seguridad a nivel delSistema Financiero Nacional y la CNBS, para esto se debenllevar a cabo campañas de concientización a los usuariosen el tema de la importancia de la Seguridad de laInformación.
  • 41. Taller DemostrativoTaller DemostrativoC O L -A C T -S T A -1 2 3H S 1 H S 2 O K 1 O K 2 P SC O L -A C T -S T A -1 2 3H S 1 H S 2 O K 1 O K 2 P SServidor de Agencia20.0.0.3Switch de Agencia20.0.0.2Switch de Oficina Principal10.0.0.520.0.0.110.0.0.1ROUTERControlador de Dominio10.0.0.2PC del Administrador de la Red10.0.0.4Servidor de Base de Datos10.0.0.3
  • 42. Taller DemostrativoTaller DemostrativoPC APC AConexión TCPPC BPC BSynSyn tAckAck
  • 43. Muchas GraciasMuchas Graciaspor su Atención!por su Atención!

×