proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
Cnbs auditoria
1. Proceso de Auditoría de laProceso de Auditoría de la
Seguridad de laSeguridad de la
Información en lasInformación en las
InstitucionesInstituciones
Supervisadas por la CNBSSupervisadas por la CNBS
Julio 2005Julio 2005
2. Proceso de Auditoría de la Seguridad de laProceso de Auditoría de la Seguridad de la
Información en las Instituciones Supervisadas porInformación en las Instituciones Supervisadas por
la CNBSla CNBS
IntroducciónIntroducción
Descripción General de la MetodologíaDescripción General de la Metodología
UtilizadaUtilizada
Detalle de las tareas realizadasDetalle de las tareas realizadas
Principales vulnerabilidades de Seguridad enPrincipales vulnerabilidades de Seguridad en
el Sistema Financiero Hondureñoel Sistema Financiero Hondureño
Actividades a Corto PlazoActividades a Corto Plazo
3. IntroducciónIntroducción
Objetivos:Objetivos:
Brindar un servicio de consultoría en seguridad informáticaBrindar un servicio de consultoría en seguridad informática
de los riesgos externos (Internet) e internos en que puedende los riesgos externos (Internet) e internos en que pueden
verse involucrados los equipos de cómputo de lasverse involucrados los equipos de cómputo de las
Instituciones Financieras supervisadas por la CNBS.Instituciones Financieras supervisadas por la CNBS.
Determinar si la información crítica de las Instituciones enDeterminar si la información crítica de las Instituciones en
términos de disponibilidad, integridad y confidencialidadtérminos de disponibilidad, integridad y confidencialidad
está expuesta y altamente en riesgo.está expuesta y altamente en riesgo.
Determinar si existen políticas de seguridad a nivelDeterminar si existen políticas de seguridad a nivel
institucional que protejan el activo “información”.institucional que protejan el activo “información”.
Determinar si existe segmentación en las redes.Determinar si existe segmentación en las redes.
4. IntroducciónIntroducción
Objetivos:Objetivos:
Determinar si la navegación en Internet por los usuarios deDeterminar si la navegación en Internet por los usuarios de
la red interna se realiza de manera segura.la red interna se realiza de manera segura.
Determinar si existen Procesos de Traslado de Desarrollo aDeterminar si existen Procesos de Traslado de Desarrollo a
Producción.Producción.
Determinar si existen Procesos de Respaldo yDeterminar si existen Procesos de Respaldo y
Restauración.Restauración.
Fomentar la conciencia de Seguridad a nivel nacional.Fomentar la conciencia de Seguridad a nivel nacional.
5. IntroducciónIntroducción
Metodología:Metodología:
El análisis se desarrolla mediante la ejecución de ataques yEl análisis se desarrolla mediante la ejecución de ataques y
técnicas de penetración a sistemas informáticos (Hackingtécnicas de penetración a sistemas informáticos (Hacking
ético).ético).
Lo que realmente hacemos es reproducir ataquesLo que realmente hacemos es reproducir ataques
informáticos a los cuales pueden verse sometidas lasinformáticos a los cuales pueden verse sometidas las
instituciones supervisadas y si logramos penetrar losinstituciones supervisadas y si logramos penetrar los
servidores de las instituciones podremos realizar lasservidores de las instituciones podremos realizar las
recomendaciones técnicas oportunas.recomendaciones técnicas oportunas.
Excepciones:Excepciones:
Previendo no afectar el funcionamiento de los equipos yPreviendo no afectar el funcionamiento de los equipos y
servicios no se efectúan ataques de denegación deservicios no se efectúan ataques de denegación de
servicios.servicios.
6. IntroducciónIntroducción
Información Requerida:Información Requerida:
Los ataques realizados desde la red interna se llevan a caboLos ataques realizados desde la red interna se llevan a cabo
sin ningún usuario autorizado, únicamente con unasin ningún usuario autorizado, únicamente con una
dirección IP válida de la red.dirección IP válida de la red.
En cuanto a los ataques desde Internet, estos se realizanEn cuanto a los ataques desde Internet, estos se realizan
sin ningún conocimiento previo es decir a partir de cero.sin ningún conocimiento previo es decir a partir de cero.
Entregable:Entregable:
Al final la auditoría se le entrega un reporte a la institución,Al final la auditoría se le entrega un reporte a la institución,
el reporte presenta un resumen ejecutivo de las principalesel reporte presenta un resumen ejecutivo de las principales
debilidades encontradas en materia de seguridaddebilidades encontradas en materia de seguridad
informática.informática.
El reporte también incluye los detalles de los puntos débilesEl reporte también incluye los detalles de los puntos débiles
encontrados y las respectivas recomendaciones.encontrados y las respectivas recomendaciones.
7. Descripción General de la MetodologíaDescripción General de la Metodología
Es necesario conocer y tratar de pensar cómoEs necesario conocer y tratar de pensar cómo
actúan los atacantes y piratas informáticosactúan los atacantes y piratas informáticos
para ser capaces recomendar solucionespara ser capaces recomendar soluciones
acerca de la seguridad de la información.acerca de la seguridad de la información.
Evaluar la configuración de la red tantoEvaluar la configuración de la red tanto
privada como pública, determinando la formaprivada como pública, determinando la forma
en como estas dos redes se interconectan,en como estas dos redes se interconectan,
verificar si existe segmentación.verificar si existe segmentación.
Identificar si existen dispositivos que garanticen laIdentificar si existen dispositivos que garanticen la
privacidad de la red Interna de la institución ante laprivacidad de la red Interna de la institución ante la
amenaza de ataques externos.amenaza de ataques externos.
Determinar si existen Políticas de Seguridad a nivelDeterminar si existen Políticas de Seguridad a nivel
institucional y evaluar si están definidas y aplicadas en losinstitucional y evaluar si están definidas y aplicadas en los
equipos de seguridad (FIREWALLS, ROUTERS, SWITCHES,equipos de seguridad (FIREWALLS, ROUTERS, SWITCHES,
Servidores de Dominio, Filtros de Contenido, PROXYServidores de Dominio, Filtros de Contenido, PROXY
SERVERS etc.)SERVERS etc.)
8. Descripción General de la MetodologíaDescripción General de la Metodología
Verificar que los equipos de seguridad estén configurados de talVerificar que los equipos de seguridad estén configurados de tal
forma que no permitan transferencia de información que ponga enforma que no permitan transferencia de información que ponga en
riesgo la red Interna, como ser transferencias de Zonas DNS,riesgo la red Interna, como ser transferencias de Zonas DNS,
publicación de Direcciones IP, retransmisión de paquetes apublicación de Direcciones IP, retransmisión de paquetes a
solicitud de ataques de HACKERS etc.solicitud de ataques de HACKERS etc.
Identificar si la institución cuenta con un Sistema de Detección oIdentificar si la institución cuenta con un Sistema de Detección o
Prevención de Intrusos, Antivirus Corporativo, Filtros dePrevención de Intrusos, Antivirus Corporativo, Filtros de
contenido, Servidores de Actualización etc.contenido, Servidores de Actualización etc.
8vyaleh31&d ktu.dtrw8743$Fie*n3h3434234234234
9. Descripción General de la MetodologíaDescripción General de la Metodología
Evaluar las políticas deEvaluar las políticas de
acceso a informaciónacceso a información
externa, y el nivel deexterna, y el nivel de
monitoreo de las mismas, amonitoreo de las mismas, a
fin de establecer el nivel defin de establecer el nivel de
riesgo a que puede verseriesgo a que puede verse
expuesta la red privada.expuesta la red privada.
Identificar y evaluar losIdentificar y evaluar los
mecanismos de alerta ymecanismos de alerta y
notificación de los aspectosnotificación de los aspectos
que se consideranque se consideran
irregulares dentro de lairregulares dentro de la
administración del sistema.administración del sistema.
10. Descripción General de la MetodologíaDescripción General de la Metodología
Evaluación de los DispositivosEvaluación de los Dispositivos
Verificar que los Sistemas OperativosVerificar que los Sistemas Operativos
hayan sido instalados de acuerdo ahayan sido instalados de acuerdo a
las recomendaciones de hardware,las recomendaciones de hardware,
configuraciones especiales y Parchesconfiguraciones especiales y Parches
necesarios que estén definidos paranecesarios que estén definidos para
la plataforma que se ha instalado.la plataforma que se ha instalado.
Verificar que todas las versiones de software instalado, se encuentrenVerificar que todas las versiones de software instalado, se encuentren
actualizadas a la última versión del mismo, o que contengan todas lasactualizadas a la última versión del mismo, o que contengan todas las
actualizaciones que el fabricante haya puesto a disponibilidad de esaactualizaciones que el fabricante haya puesto a disponibilidad de esa
plataforma y versión.plataforma y versión.
Verificar que la configuración de los servidores se encuentre ajustada aVerificar que la configuración de los servidores se encuentre ajustada a
las necesidades de la empresa, esto es que no mantenga activo servicioslas necesidades de la empresa, esto es que no mantenga activo servicios
y protocolos que la empresa no pretenda usar.y protocolos que la empresa no pretenda usar.
11. Descripción General de la MetodologíaDescripción General de la Metodología
Evaluación de los dispositivosEvaluación de los dispositivos
Verificar que hayan sido deshabilitados todosVerificar que hayan sido deshabilitados todos
aquellos usuarios que el sistema, base de datos uaquellos usuarios que el sistema, base de datos u
otro software aplicativo en uso, hayan definidootro software aplicativo en uso, hayan definido
por defecto, y que no serán de utilidad.por defecto, y que no serán de utilidad.
Verificar que exista un software antivirusVerificar que exista un software antivirus
corporativo actualizado, que garantice lacorporativo actualizado, que garantice la
integridad del software y datos críticos de laintegridad del software y datos críticos de la
institución.institución.
Verificar que exista un plan de respaldo yVerificar que exista un plan de respaldo y
recuperación tanto a nivel de política establecidarecuperación tanto a nivel de política establecida
así como a nivel del sistema.así como a nivel del sistema.
12. Descripción General de la MetodologíaDescripción General de la Metodología
Evaluación de los dispositivosEvaluación de los dispositivos
Evaluar si se utilizan protocolos que transmiten losEvaluar si se utilizan protocolos que transmiten los
datos en claro, de ser así estos deben serdatos en claro, de ser así estos deben ser
reemplazados por protocolos que encriptan lareemplazados por protocolos que encriptan la
información.información.
Verificar si existen usuarios definidos en el sistemaVerificar si existen usuarios definidos en el sistema
que no deberían existir, por ejemplo usuariosque no deberían existir, por ejemplo usuarios
invitados o usuarios creados por intrusos, así comoinvitados o usuarios creados por intrusos, así como
programas con código malicioso como troyanos oprogramas con código malicioso como troyanos o
puertas traseras (Informática Forense).puertas traseras (Informática Forense).
Verificar si está activa la auditoría en los equiposVerificar si está activa la auditoría en los equipos
principales, servidores o dispositivos de red.principales, servidores o dispositivos de red.
13. Descripción General de la MetodologíaDescripción General de la Metodología
Evaluación de los dispositivosEvaluación de los dispositivos
Revisar los permisos que tienen cada uno de losRevisar los permisos que tienen cada uno de los
usuarios tanto a nivel de Directorios y archivos como ausuarios tanto a nivel de Directorios y archivos como a
nivel de comandos, servicios y protocolos.nivel de comandos, servicios y protocolos.
Verificar que existan políticas de seguridad deVerificar que existan políticas de seguridad de
contraseñas definidas en el sistema, esto es paracontraseñas definidas en el sistema, esto es para
minimizar el riesgo de penetración, por ejemplo seminimizar el riesgo de penetración, por ejemplo se
debe establecer como política de seguridad el forzar adebe establecer como política de seguridad el forzar a
cambiar regularmente las contraseñas y el establecercambiar regularmente las contraseñas y el establecer
tiempos de caducidad de las mismastiempos de caducidad de las mismas
Verificar que las contraseñas sean robustas y que seVerificar que las contraseñas sean robustas y que se
hayan modificado las contraseñas que vienen porhayan modificado las contraseñas que vienen por
omisión tanto en los sistemas operativos como en losomisión tanto en los sistemas operativos como en los
programas de administración instaladosprogramas de administración instalados
Evaluar que el acceso físico a los servidores estéEvaluar que el acceso físico a los servidores esté
restringidorestringido
14. Descripción General de la MetodologíaDescripción General de la Metodología
Estaciones de TrabajoEstaciones de Trabajo
Verificar que estén aplicados los parches de seguridad masVerificar que estén aplicados los parches de seguridad mas
recientes del sistema operativo y software instaladosrecientes del sistema operativo y software instalados
El Software antivirus debe estar actualizadoEl Software antivirus debe estar actualizado
No deben existir carpetas compartidasNo deben existir carpetas compartidas
Verificar que no esté instalado software que pueda poner elVerificar que no esté instalado software que pueda poner el
riesgo el funcionamiento de la red o la información mismariesgo el funcionamiento de la red o la información misma
15. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas
1.1. Seguridad de Protocolos TCP/IPSeguridad de Protocolos TCP/IP
En esta fase se pretende obtener información sobre losEn esta fase se pretende obtener información sobre los
servidores de la organización que serán atacados.servidores de la organización que serán atacados.
Una vez que sabemos cuáles son los servidores y susUna vez que sabemos cuáles son los servidores y sus
sistemas operativos realizamos conexiones a los mismossistemas operativos realizamos conexiones a los mismos
utilizando usuarios y contraseñas que vienen por omisiónutilizando usuarios y contraseñas que vienen por omisión
en cada sistema operativo, si alguno de ellos no ha sidoen cada sistema operativo, si alguno de ellos no ha sido
modificado habremos penetrado sin ningún problema.modificado habremos penetrado sin ningún problema.
Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la información
desde la Red Internadesde la Red Interna
16. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas
Se realiza un rastreo de puertos tanto de los servidoresSe realiza un rastreo de puertos tanto de los servidores
como de los dispositivos de comunicaciones, es a través decomo de los dispositivos de comunicaciones, es a través de
estos puertos que se intenta realizar la penetración.estos puertos que se intenta realizar la penetración.
Herramienta utilizada: nmapHerramienta utilizada: nmap
Una vez determinados cuáles son los puertos abiertos enUna vez determinados cuáles son los puertos abiertos en
cada equipo, procedemos a explotar las vulnerabilidadescada equipo, procedemos a explotar las vulnerabilidades
conocidas de cada puerto y servicio tcp o udp.conocidas de cada puerto y servicio tcp o udp.
Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la información
desde la Red Internadesde la Red Interna
17. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas
Intentamos averiguar para cada servidor y equipo deIntentamos averiguar para cada servidor y equipo de
comunicación los siguientes datos:comunicación los siguientes datos:
las interfaces de red conectadaslas interfaces de red conectadas
los recursos compartidoslos recursos compartidos
los servicios instaladoslos servicios instalados
cuentas de usuariocuentas de usuario
redes conectadasredes conectadas
direcciones Macdirecciones Mac
RutasRutas
Conexiones ActivasConexiones Activas
Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la información
desde la Red Internadesde la Red Interna
18. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas
Se determina si algún dispositivo tiene activo el protocoloSe determina si algún dispositivo tiene activo el protocolo
SNMP y si está configurado con las contraseñas deSNMP y si está configurado con las contraseñas de
comunidad por omisión, si es así podremos tomar controlcomunidad por omisión, si es así podremos tomar control
total sobre el dispositivo.total sobre el dispositivo.
Herramienta utilizada: SolarWindsHerramienta utilizada: SolarWinds
Una vez que sabemos los puertos y protocolos disponiblesUna vez que sabemos los puertos y protocolos disponibles
procedemos a realizar ataques de diccionario y ataques deprocedemos a realizar ataques de diccionario y ataques de
fuerza bruta contra ciertos protocolos como Ftp, http, pop3fuerza bruta contra ciertos protocolos como Ftp, http, pop3
(Podemos averiguar la contraseña de correo de todos los(Podemos averiguar la contraseña de correo de todos los
usuarios), snmp, telnet etc.usuarios), snmp, telnet etc.
Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la información
desde la Red Internadesde la Red Interna
19. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas
Herramienta utilizada: BrutusHerramienta utilizada: Brutus
Un ataque de diccionario consiste en probar unaUn ataque de diccionario consiste en probar una
combinación de todos los usuarios y contraseñascombinación de todos los usuarios y contraseñas
posibles basados en un diccionario.posibles basados en un diccionario.
Un ataque de fuerza bruta consiste en probar unaUn ataque de fuerza bruta consiste en probar una
combinación de todos los usuarios y contraseñascombinación de todos los usuarios y contraseñas
posibles basados en todos los caracteresposibles basados en todos los caracteres
disponibles.disponibles.
Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la información
desde la Red Internadesde la Red Interna
20. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas
Ataques a ProtocolosAtaques a Protocolos
Utilizar un rastreador de redes, mediante estos aplicacionesUtilizar un rastreador de redes, mediante estos aplicaciones
podemos ver todo el tráfico de información que circula apodemos ver todo el tráfico de información que circula a
través de la red, con el objetivo de capturar informacióntravés de la red, con el objetivo de capturar información
valiosa como las contraseñas de los administradores,valiosa como las contraseñas de los administradores,
también podemos capturar contraseñas de protocolos comotambién podemos capturar contraseñas de protocolos como
POP3, telnet, FTP, SNMP,Oracle SQL*Net etc.POP3, telnet, FTP, SNMP,Oracle SQL*Net etc.
Herramientas utilizadas: Ethereal + Ettercap, Cain, IrisHerramientas utilizadas: Ethereal + Ettercap, Cain, Iris
Recomendaciones: No utilizar protocolos que transmiten laRecomendaciones: No utilizar protocolos que transmiten la
información en claro, utilizar por ejemplo el protocolo SSHinformación en claro, utilizar por ejemplo el protocolo SSH
en lugar de FTP yTelnet, El SSH transmite la información enen lugar de FTP yTelnet, El SSH transmite la información en
forma cifrada.forma cifrada.
Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la información
desde la Red Internadesde la Red Interna
21. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas
2.2. Información del ObjetivoInformación del Objetivo
Dibujar un diagrama de la red, esto nos dará un amplioDibujar un diagrama de la red, esto nos dará un amplio
panorama de la estructura y situación actual de la red.panorama de la estructura y situación actual de la red.
Herramientas utilizadas: Cheops, NetworkviewHerramientas utilizadas: Cheops, Networkview
Si los sistemas operativos y los programas instalados enSi los sistemas operativos y los programas instalados en
servidores y equipos de comunicación no están actualizadosservidores y equipos de comunicación no están actualizados
y parchados, es posible acceder al archivo de contraseñasy parchados, es posible acceder al archivo de contraseñas
para luego descifrarlos localmente.para luego descifrarlos localmente.
Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la información
desde la Red Internadesde la Red Interna
22. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas
Existen muchos métodos para obtener estos archivosExisten muchos métodos para obtener estos archivos
dependiendo de la vulnerabilidad no parchada y del sistemadependiendo de la vulnerabilidad no parchada y del sistema
operativo, también existen varias herramientas paraoperativo, también existen varias herramientas para
descifrar las contraseñas.descifrar las contraseñas.
Herramientas utilizadas: enum, pwdump, john the ripper.Herramientas utilizadas: enum, pwdump, john the ripper.
Existe una serie de ataques que pueden hacerse contraExiste una serie de ataques que pueden hacerse contra
servidores y equipos no parchados, por ejemplo ataques deservidores y equipos no parchados, por ejemplo ataques de
buffer Overflow.buffer Overflow.
Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la información
desde la Red Internadesde la Red Interna
23. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas
Buffer Overflow (Programas que provocan unBuffer Overflow (Programas que provocan un
desbordamiento de la memoria y retornan un shell deldesbordamiento de la memoria y retornan un shell del
Sistema Operativo)Sistema Operativo)
Recomendaciones: Establecer políticas que permitanRecomendaciones: Establecer políticas que permitan
mantener actualizados y parchados los recursosmantener actualizados y parchados los recursos
informáticos de la red.informáticos de la red.
Proteger los archivos importantes relacionados a laProteger los archivos importantes relacionados a la
seguridad, tanto a nivel de sistemas operativos como deseguridad, tanto a nivel de sistemas operativos como de
datos.datos.
Establecer políticas de creación y cambio de contraseñasEstablecer políticas de creación y cambio de contraseñas
con el fin de dificultar la averiguación de las mismas.con el fin de dificultar la averiguación de las mismas.
Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la información
desde la Red Internadesde la Red Interna
24. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas
Determinar todas las carpetas compartidas dentro de laDeterminar todas las carpetas compartidas dentro de la
red, estas representan un foco de infección de virus y dered, estas representan un foco de infección de virus y de
pérdida de información, utilizamos programas que ademáspérdida de información, utilizamos programas que además
de listar las carpetas compartidas averigua las contraseñasde listar las carpetas compartidas averigua las contraseñas
en segundos.en segundos.
Recomendación: Establecer una política de seguridad queRecomendación: Establecer una política de seguridad que
prohíba la creación de carpetas compartidas.prohíba la creación de carpetas compartidas.
Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la información
desde la Red Internadesde la Red Interna
25. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas
3.3. Ataques a ServidoresAtaques a Servidores
Verificar la existencia de servicios que estén malVerificar la existencia de servicios que estén mal
configurados desde el punto de vista de la seguridad, asíconfigurados desde el punto de vista de la seguridad, así
como la existencia de servicios innecesarios para lacomo la existencia de servicios innecesarios para la
empresa, por ejemplo el IIS v5 instala programas ejemploempresa, por ejemplo el IIS v5 instala programas ejemplo
que permiten navegar ( y modificar) en el disco duro delque permiten navegar ( y modificar) en el disco duro del
Web Server de la compañía, o cualquier otro servidor queWeb Server de la compañía, o cualquier otro servidor que
tenga instalado el IIS.tenga instalado el IIS.
Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa,Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa,
www.securityfocus.comwww.securityfocus.com, Netcat, Metaexploit., Netcat, Metaexploit.
Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la información
desde la Red Internadesde la Red Interna
26. Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas
Recomendación: Hacer un inventario de todos los serviciosRecomendación: Hacer un inventario de todos los servicios
instalados a fin de determinar cuáles son necesarios y cuáles no.instalados a fin de determinar cuáles son necesarios y cuáles no.
Revisar la configuración de los servicios existentes.Revisar la configuración de los servicios existentes.
Análisis de los siguientes puntos:Análisis de los siguientes puntos:
• Ataques vía ODBCAtaques vía ODBC
• Revisión de existencia de Puertas TraserasRevisión de existencia de Puertas Traseras
• Emuladores de terminales (Configuración)Emuladores de terminales (Configuración)
• Revisar los privilegios asignados a los usuariosRevisar los privilegios asignados a los usuarios
• Determinar si existen cuentas que pertenezcan a usuariosDeterminar si existen cuentas que pertenezcan a usuarios
que ya no trabajan en la empresa.que ya no trabajan en la empresa.
• Verificar si es posible que los usuarios actuales tienen laVerificar si es posible que los usuarios actuales tienen la
posiblidad de Elevación de Privilegiosposiblidad de Elevación de Privilegios
Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la información
desde la Red Internadesde la Red Interna
27. 4.4. Establecimiento del objetivoEstablecimiento del objetivo
En esta fase se busca obtener la mayor información generalEn esta fase se busca obtener la mayor información general
disponible de la víctima, información como direcciones IPdisponible de la víctima, información como direcciones IP
externas, nombres de los responsables técnicos de laexternas, nombres de los responsables técnicos de la
institución, sistemas operativos y sus versiones, etc.institución, sistemas operativos y sus versiones, etc.
Para realizar esta actividad realizamos búsquedas enPara realizar esta actividad realizamos búsquedas en
Internet de información relacionada con la empresa, porInternet de información relacionada con la empresa, por
ejemplo podemos determinar las páginas que tenganejemplo podemos determinar las páginas que tengan
enlaces al sitio de la víctima o listar todas las páginas queenlaces al sitio de la víctima o listar todas las páginas que
componen el sitio Internet de la empresa.componen el sitio Internet de la empresa.
Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la información
desde la Red Externadesde la Red Externa
Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas
28. Otra información que podemos obtener es la lista deOtra información que podemos obtener es la lista de
servidores de la empresa, con esto podremos determinarservidores de la empresa, con esto podremos determinar
cuál es servidor de correo, el firewall, el DNS, el Webcuál es servidor de correo, el firewall, el DNS, el Web
Server, etc.Server, etc.
Herramienta utilizada: NslookupHerramienta utilizada: Nslookup
También obtenemos información como cuál es el proveedorTambién obtenemos información como cuál es el proveedor
de Internet de la organización, el sistema operativo delde Internet de la organización, el sistema operativo del
Web server, el historial de cambios de direcciones IP o deWeb server, el historial de cambios de direcciones IP o de
proveedor de internet y datos acerca de un posible sitioproveedor de internet y datos acerca de un posible sitio
seguro que utilice el protocolo https.seguro que utilice el protocolo https.
Herramienta utilizada: www.netcraft.comHerramienta utilizada: www.netcraft.com
Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la información
desde la Red Externadesde la Red Externa
Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas
29. Intentamos averiguamos para cada servidor y equipos deIntentamos averiguamos para cada servidor y equipos de
comunicación datos tales como los siguientes:comunicación datos tales como los siguientes:
• las interfaces de red conectadaslas interfaces de red conectadas
• los recursos compartidoslos recursos compartidos
• los servicios instaladoslos servicios instalados
• cuentas de usuariocuentas de usuario
• redes conectadasredes conectadas
• direcciones Macdirecciones Mac
• RutasRutas
• Conexiones ActivasConexiones Activas
También intentamos determinar si algún dispositivo tiene activo elTambién intentamos determinar si algún dispositivo tiene activo el
protocolo SNMP y están configuradas las contraseñas por omisión,protocolo SNMP y están configuradas las contraseñas por omisión,
si es así podremos tomar control total sobre el dispositivo.si es así podremos tomar control total sobre el dispositivo.
Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la información
desde la Red Externadesde la Red Externa
Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas
30. Una vez que sabemos los puertos y protocolos disponiblesUna vez que sabemos los puertos y protocolos disponibles
procedemos a realizar ataques de diccionario y ataques deprocedemos a realizar ataques de diccionario y ataques de
fuerza bruta contra ciertos protocolos como Ftp, http, pop3,fuerza bruta contra ciertos protocolos como Ftp, http, pop3,
snmp, telnet, etc.snmp, telnet, etc.
También se determinan las vulnerabilidades existentes paraTambién se determinan las vulnerabilidades existentes para
los puertos y protocolos disponibles y se intenta penetrar alos puertos y protocolos disponibles y se intenta penetrar a
través de las mismas.través de las mismas.
Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa,Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa,
www.securityfocus.comwww.securityfocus.com, Netcat, Metaexploit., Netcat, Metaexploit.
Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la información
desde la Red Externadesde la Red Externa
Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas
31. Ataques a las aplicaciones de InternetAtaques a las aplicaciones de Internet
• Verificar si las aplicaciones de Internet son susceptibles a ataques de:Verificar si las aplicaciones de Internet son susceptibles a ataques de:
• SQL InjectionSQL Injection
• Cross-Site ScriptingCross-Site Scripting
• Secuestro de Sesiones válidasSecuestro de Sesiones válidas
• Ataques de diccionario y/o Fuerza brutaAtaques de diccionario y/o Fuerza bruta
Algunas Recomendaciones:Algunas Recomendaciones:
• Validar todos los campos de entradaValidar todos los campos de entrada
• Almacenar en bitácora todas las transacciones realizadas por losAlmacenar en bitácora todas las transacciones realizadas por los
usuariosusuarios
• No escribir contraseñas o claves para descifrar contraseñas dentro delNo escribir contraseñas o claves para descifrar contraseñas dentro del
códigocódigo
• Las aplicaciones no deben efectuar sentencias directamente a la baseLas aplicaciones no deben efectuar sentencias directamente a la base
de datosde datos
Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la información
desde la Red Externadesde la Red Externa
Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas
32. Algunas Recomendaciones:Algunas Recomendaciones:
• El proceso de encripción de las contraseñas debe incluir una llave deEl proceso de encripción de las contraseñas debe incluir una llave de
encripción propia de la institución mas datos particulares del usuarioencripción propia de la institución mas datos particulares del usuario
(Valor SALT), de tal forma que la contraseña almacenada no sea(Valor SALT), de tal forma que la contraseña almacenada no sea
simplemente el resultado del algoritmo de encripción y de esta formasimplemente el resultado del algoritmo de encripción y de esta forma
protegerla contra ataques de diccionario o fuerza bruta.protegerla contra ataques de diccionario o fuerza bruta.
• La identificación o administración de la sesión debe ser llevada a caboLa identificación o administración de la sesión debe ser llevada a cabo
por la aplicación y no por el Servidor de Internetpor la aplicación y no por el Servidor de Internet
• La base de datos debe estar en un servidor separado del Servidor deLa base de datos debe estar en un servidor separado del Servidor de
Internet o servidor de aplicaciones.Internet o servidor de aplicaciones.
• Las aplicaciones deben asegurar que ningún parámetro conLas aplicaciones deben asegurar que ningún parámetro con
información útil para un posible atacante viaje a través del navegadorinformación útil para un posible atacante viaje a través del navegador
del cliente y así evitar que estos parámetros puedan ser manipulados,del cliente y así evitar que estos parámetros puedan ser manipulados,
esto incluye las consultas a nivel de URL.esto incluye las consultas a nivel de URL.
Proceso de Auditoría de la Seguridad de la informaciónProceso de Auditoría de la Seguridad de la información
desde la Red Externadesde la Red Externa
Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas
33. • En general no existe conciencia de Seguridad Informática a nivelEn general no existe conciencia de Seguridad Informática a nivel
nacionalnacional
• No existe un Área de Seguridad dedicada a tiempo completo aNo existe un Área de Seguridad dedicada a tiempo completo a
proteger la disponibilidad, integridad y confidencialidad de laproteger la disponibilidad, integridad y confidencialidad de la
informacióninformación
• No existen políticas de seguridad a nivel institucional que protejan elNo existen políticas de seguridad a nivel institucional que protejan el
activo “información”activo “información”
• No existe segmentación en la arquitectura de la red, los servidores deNo existe segmentación en la arquitectura de la red, los servidores de
producción están en el mismo segmento de red que las estaciones deproducción están en el mismo segmento de red que las estaciones de
trabajo.trabajo.
• No existe control sobre las carpetas compartidas en la redNo existe control sobre las carpetas compartidas en la red
Principales debilidades de Seguridad encontradas enPrincipales debilidades de Seguridad encontradas en
elel
Sistema Financiero NacionalSistema Financiero Nacional
34. • En algunas instituciones no existe un sistema automatizado que permita lasEn algunas instituciones no existe un sistema automatizado que permita las
actualizaciones de seguridad en los sistemas operativosactualizaciones de seguridad en los sistemas operativos
• La navegación a Internet se realiza desde la red interna lo cual exponeLa navegación a Internet se realiza desde la red interna lo cual expone
tanto la red interna como todas las redes a las cuales esté conectado eltanto la red interna como todas las redes a las cuales esté conectado el
usuariousuario
• En algunas instituciones no están instalados Sistemas de Prevención oEn algunas instituciones no están instalados Sistemas de Prevención o
Detección de Intrusos a nivel de red.Detección de Intrusos a nivel de red.
• No existe una correcta separación de los ambientes de desarrollo yNo existe una correcta separación de los ambientes de desarrollo y
producciónproducción
• Configuraciones de servidores y equipos de comunicación sin controles deConfiguraciones de servidores y equipos de comunicación sin controles de
seguridadseguridad
• En algunas instituciones es posible que un atacante ingrese a la red internaEn algunas instituciones es posible que un atacante ingrese a la red interna
desde Internetdesde Internet
Principales debilidades de Seguridad encontradas en elPrincipales debilidades de Seguridad encontradas en el
Sistema Financiero NacionalSistema Financiero Nacional
35. • Lo anterior conlleva un sinnúmero de riesgos entre los que seLo anterior conlleva un sinnúmero de riesgos entre los que se
destacan la sustracción, eliminación o modificación de ladestacan la sustracción, eliminación o modificación de la
información sensitiva del banco, por ejemplo es posibleinformación sensitiva del banco, por ejemplo es posible
obtener el archivo de contraseñas de los usuarios de laobtener el archivo de contraseñas de los usuarios de la
aplicación de banca electrónica, descifrarlas e ingresar alaplicación de banca electrónica, descifrarlas e ingresar al
sistema con usuarios válidos, habilitando al atacante a realizarsistema con usuarios válidos, habilitando al atacante a realizar
transferencias bancarias o cualquier servicio disponible en eltransferencias bancarias o cualquier servicio disponible en el
sitio de la institución.sitio de la institución.
• Se utilizan protocolos a nivel de red que envían información enSe utilizan protocolos a nivel de red que envían información en
claro la cual puede ser interceptada por cualquier usuario y declaro la cual puede ser interceptada por cualquier usuario y de
esta forma obtener contraseñas o cualquier tipo deesta forma obtener contraseñas o cualquier tipo de
información que ponga en peligro la seguridad de lainformación que ponga en peligro la seguridad de la
información de la institucióninformación de la institución
Principales debilidades de Seguridad encontradas en elPrincipales debilidades de Seguridad encontradas en el
Sistema Financiero NacionalSistema Financiero Nacional
36. Actividades a Corto PlazoActividades a Corto Plazo
• Actualmente la CNBS está creando la primera Normativa para el SistemaActualmente la CNBS está creando la primera Normativa para el Sistema
Financiero en relación a la Seguridad Informática, la normativa pretende regularFinanciero en relación a la Seguridad Informática, la normativa pretende regular
los aspectos mas relevantes de la seguridad informática en las instituciones dellos aspectos mas relevantes de la seguridad informática en las instituciones del
sistema financiero nacional:sistema financiero nacional:
Crear un Área de Seguridad InformáticaCrear un Área de Seguridad Informática
Regular la documentación tecnológicaRegular la documentación tecnológica
Generar registros de auditoríaGenerar registros de auditoría
Outsourcing de Tecnologías de InformaciónOutsourcing de Tecnologías de Información
Generación de políticas de SeguridadGeneración de políticas de Seguridad
37. Actividades a Corto PlazoActividades a Corto Plazo
Regular la confidencialidad de la información:Regular la confidencialidad de la información:
• (1)(1) Identificación y autentificación,Identificación y autentificación,
• (2)(2) Privacidad y confidencialidad,Privacidad y confidencialidad,
• (3)(3) Integridad y disponibilidad, yIntegridad y disponibilidad, y
• (4)(4) No-repudio.No-repudio.
Regular la Arquitectura de RedRegular la Arquitectura de Red
Regular la Banca ElectrónicaRegular la Banca Electrónica
Respaldo y RecuperaciónRespaldo y Recuperación
38. Actividades a Corto PlazoActividades a Corto Plazo
• Actualmente la CNBS está creando el Área de Seguridad InformáticaActualmente la CNBS está creando el Área de Seguridad Informática
que se encargará entre otras funciones de:que se encargará entre otras funciones de:
Generar políticas de Seguridad a nivel de la CNBS:Generar políticas de Seguridad a nivel de la CNBS:
• Uso de InternetUso de Internet
• Uso del Correo ElectrónicoUso del Correo Electrónico
• Uso de las estaciones de TrabajoUso de las estaciones de Trabajo
• Proceso AntivirusProceso Antivirus
• Adquisición de Hardware y SoftwareAdquisición de Hardware y Software
• Seguridad de ContraseñasSeguridad de Contraseñas
• Seguridad de la Información SensitivaSeguridad de la Información Sensitiva
• Seguridad de ServidoresSeguridad de Servidores
• Seguridad de equipos de comunicaciónSeguridad de equipos de comunicación
• Seguridad en redes inalámbricas (Si existen)Seguridad en redes inalámbricas (Si existen)
• Seguridad en Redes con TercerosSeguridad en Redes con Terceros
• Acceso y Configuración remotos.Acceso y Configuración remotos.
39. Actividades a Corto PlazoActividades a Corto Plazo
Entregar prototipos de Políticas de Seguridad a lasEntregar prototipos de Políticas de Seguridad a las
instituciones del Sistema Financiero Nacional.instituciones del Sistema Financiero Nacional.
Desarrollar Normativa hacia las Instituciones del SistemaDesarrollar Normativa hacia las Instituciones del Sistema
Financiero Nacional referente a los controles de SeguridadFinanciero Nacional referente a los controles de Seguridad
mínimo en el proceso de Comercio Electrónico ymínimo en el proceso de Comercio Electrónico y
arquitectura de Redes.arquitectura de Redes.
Llevar a cabo pruebas de penetración periódicas (HackingLlevar a cabo pruebas de penetración periódicas (Hacking
ético) a las redes externas e internas de la CNBS y de lasético) a las redes externas e internas de la CNBS y de las
Instituciones para descubrir vulnerabilidades de SeguridadInstituciones para descubrir vulnerabilidades de Seguridad
y realizar las recomendaciones respectivas.y realizar las recomendaciones respectivas.
40. Actividades a Corto PlazoActividades a Corto Plazo
Involucrase en el diseño de los Sistemas de Información
Internos de la CNBS para garantizar que el código de los
programas se desarrolle tomando en cuenta la Seguridad
de la Información.
Reacción, en conjunto con la División de Operaciones, ante
incidentes de Seguridad dentro de las redes de la CNBS y
las Instituciones del sistema Financiero Nacional.
Crear un ambiente y una cultura de Seguridad a nivel del
Sistema Financiero Nacional y la CNBS, para esto se deben
llevar a cabo campañas de concientización a los usuarios
en el tema de la importancia de la Seguridad de la
Información.
41. Taller DemostrativoTaller Demostrativo
C O L -
A C T -
S T A -
1 2 3
H S 1 H S 2 O K 1 O K 2 P S
C O L -
A C T -
S T A -
1 2 3
H S 1 H S 2 O K 1 O K 2 P S
Servidor de Agencia
20.0.0.3
Switch de Agencia
20.0.0.2
Switch de Oficina Principal
10.0.0.5
20.0.0.1
10.0.0.1
ROUTER
Controlador de Dominio
10.0.0.2
PC del Administrador de la Red
10.0.0.4
Servidor de Base de Datos
10.0.0.3