Cnbs auditoria

Proceso de Auditoría de la Proceso de Auditoría de la Seguridad de la Seguridad de la

Información en las Información en las Instituciones Instituciones

Supervisadas por la CNBSSupervisadas por la CNBS

Julio 2005Julio 2005

Proceso de Auditoría de la Seguridad de la Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por Información en las Instituciones Supervisadas por

la CNBSla CNBS

IntroducciónIntroducción Descripción General de la Metodología Descripción General de la Metodología

UtilizadaUtilizada Detalle de las tareas realizadasDetalle de las tareas realizadas Principales vulnerabilidades de Seguridad Principales vulnerabilidades de Seguridad

en el Sistema Financiero Hondureñoen el Sistema Financiero Hondureño Actividades a Corto PlazoActividades a Corto Plazo

IntroducciónIntroducciónObjetivos:Objetivos:

Brindar un servicio de consultoría en seguridad informática Brindar un servicio de consultoría en seguridad informática de los riesgos externos (Internet) e internos en que pueden de los riesgos externos (Internet) e internos en que pueden verse involucrados los equipos de cómputo de las verse involucrados los equipos de cómputo de las Instituciones Financieras supervisadas por la CNBS.Instituciones Financieras supervisadas por la CNBS.

Determinar si la información crítica de las Instituciones en Determinar si la información crítica de las Instituciones en términos de disponibilidad, integridad y confidencialidad términos de disponibilidad, integridad y confidencialidad está expuesta y altamente en riesgo.está expuesta y altamente en riesgo.

Determinar si existen políticas de seguridad a nivel Determinar si existen políticas de seguridad a nivel institucional que protejan el activo “información”.institucional que protejan el activo “información”.

Determinar si existe segmentación en las redes.Determinar si existe segmentación en las redes.

IntroducciónIntroducción

Objetivos:Objetivos:

Determinar si la navegación en Internet por los usuarios de Determinar si la navegación en Internet por los usuarios de la red interna se realiza de manera segura.la red interna se realiza de manera segura.

Determinar si existen Procesos de Traslado de Desarrollo a Determinar si existen Procesos de Traslado de Desarrollo a Producción.Producción.

Determinar si existen Procesos de Respaldo y Determinar si existen Procesos de Respaldo y Restauración.Restauración.

Fomentar la conciencia de Seguridad a nivel nacional.Fomentar la conciencia de Seguridad a nivel nacional.

IntroducciónIntroducciónMetodología:Metodología:

El análisis se desarrolla mediante la ejecución de ataques y El análisis se desarrolla mediante la ejecución de ataques y técnicas de penetración a sistemas informáticos (Hacking técnicas de penetración a sistemas informáticos (Hacking ético).ético).

Lo que realmente hacemos es reproducir ataques Lo que realmente hacemos es reproducir ataques informáticos a los cuales pueden verse sometidas las informáticos a los cuales pueden verse sometidas las instituciones supervisadas y si logramos penetrar los instituciones supervisadas y si logramos penetrar los servidores de las instituciones podremos realizar las servidores de las instituciones podremos realizar las recomendaciones técnicas oportunas.recomendaciones técnicas oportunas.

Excepciones:Excepciones: Previendo no afectar el funcionamiento de los equipos y Previendo no afectar el funcionamiento de los equipos y

servicios no se efectúan ataques de denegación de servicios no se efectúan ataques de denegación de servicios.servicios.

IntroducciónIntroducciónInformación Requerida:Información Requerida:

Los ataques realizados desde la red interna se llevan a cabo sin ningún Los ataques realizados desde la red interna se llevan a cabo sin ningún usuario autorizado, únicamente con una dirección IP válida de la red.usuario autorizado, únicamente con una dirección IP válida de la red.

En cuanto a los ataques desde Internet, estos se realizan sin ningún En cuanto a los ataques desde Internet, estos se realizan sin ningún conocimiento previo es decir a partir de cero.conocimiento previo es decir a partir de cero.

Entregable:Entregable:

Al final la auditoría se le entrega un reporte a la institución, el reporte Al final la auditoría se le entrega un reporte a la institución, el reporte presenta un resumen ejecutivo de las principales debilidades encontradas en presenta un resumen ejecutivo de las principales debilidades encontradas en materia de seguridad informática.materia de seguridad informática.

El reporte también incluye los detalles de los puntos débiles encontrados y las El reporte también incluye los detalles de los puntos débiles encontrados y las respectivas recomendaciones.respectivas recomendaciones.

Descripción General de la MetodologíaDescripción General de la Metodología

Es necesario conocer y tratar de pensar cómo Es necesario conocer y tratar de pensar cómo actúan los atacantes y piratas informáticos actúan los atacantes y piratas informáticos para ser capaces recomendar soluciones para ser capaces recomendar soluciones acerca de la seguridad de la información.acerca de la seguridad de la información.

Evaluar la configuración de la red tanto Evaluar la configuración de la red tanto privada como pública, determinando la forma privada como pública, determinando la forma en como estas dos redes se interconectan, en como estas dos redes se interconectan, verificar si existe segmentación.verificar si existe segmentación.

Identificar si existen dispositivos que garanticen la Identificar si existen dispositivos que garanticen la privacidad de la red Interna de la institución ante la privacidad de la red Interna de la institución ante la amenaza de ataques externos.amenaza de ataques externos.

Determinar si existen Políticas de Seguridad a nivel Determinar si existen Políticas de Seguridad a nivel institucional y evaluar si están definidas y aplicadas en los institucional y evaluar si están definidas y aplicadas en los equipos de seguridad (FIREWALLS, ROUTERS, SWITCHES, equipos de seguridad (FIREWALLS, ROUTERS, SWITCHES, Servidores de Dominio, Filtros de Contenido, PROXY Servidores de Dominio, Filtros de Contenido, PROXY SERVERS etc.)SERVERS etc.)


Verificar que los equipos de seguridad estén configurados de tal Verificar que los equipos de seguridad estén configurados de tal forma que no permitan transferencia de información que ponga en forma que no permitan transferencia de información que ponga en riesgo la red Interna, como ser transferencias de Zonas DNS, riesgo la red Interna, como ser transferencias de Zonas DNS, publicación de Direcciones IP, retransmisión de paquetes a publicación de Direcciones IP, retransmisión de paquetes a solicitud de ataques de HACKERS etc.solicitud de ataques de HACKERS etc.

Identificar si la institución cuenta con un Sistema de Detección o Identificar si la institución cuenta con un Sistema de Detección o Prevención de Intrusos, Antivirus Corporativo, Filtros de contenido, Prevención de Intrusos, Antivirus Corporativo, Filtros de contenido, Servidores de Actualización etc.Servidores de Actualización etc.

8vyaleh31&d ktu.dtrw8743$Fie*n3h3434234234234


Evaluar las políticas de Evaluar las políticas de acceso a información acceso a información externa, y el nivel de externa, y el nivel de monitoreo de las mismas, a monitoreo de las mismas, a fin de establecer el nivel de fin de establecer el nivel de riesgo a que puede verse riesgo a que puede verse expuesta la red privada.expuesta la red privada.

Identificar y evaluar los Identificar y evaluar los mecanismos de alerta y mecanismos de alerta y notificación de los aspectos notificación de los aspectos que se consideran que se consideran irregulares dentro de la irregulares dentro de la administración del sistema.administración del sistema.


Evaluación de los Dispositivos Evaluación de los Dispositivos

Verificar que los Sistemas Operativos Verificar que los Sistemas Operativos hayan sido instalados de acuerdo a las hayan sido instalados de acuerdo a las recomendaciones de hardware, recomendaciones de hardware, configuraciones especiales y Parches configuraciones especiales y Parches necesarios que estén definidos para la necesarios que estén definidos para la plataforma que se ha instalado.plataforma que se ha instalado.

Verificar que todas las versiones de software instalado, se Verificar que todas las versiones de software instalado, se encuentren actualizadas a la última versión del mismo, o que encuentren actualizadas a la última versión del mismo, o que contengan todas las actualizaciones que el fabricante haya puesto a contengan todas las actualizaciones que el fabricante haya puesto a disponibilidad de esa plataforma y versión.disponibilidad de esa plataforma y versión.

Verificar que la configuración de los servidores se encuentre Verificar que la configuración de los servidores se encuentre ajustada a las necesidades de la empresa, esto es que no mantenga ajustada a las necesidades de la empresa, esto es que no mantenga activo servicios y protocolos que la empresa no pretenda usar.activo servicios y protocolos que la empresa no pretenda usar.


Evaluación de los dispositivos Evaluación de los dispositivos

Verificar que hayan sido deshabilitados todos Verificar que hayan sido deshabilitados todos aquellos usuarios que el sistema, base de datos u aquellos usuarios que el sistema, base de datos u otro software aplicativo en uso, hayan definido otro software aplicativo en uso, hayan definido por defecto, y que no serán de utilidad.por defecto, y que no serán de utilidad.

Verificar que exista un software antivirus Verificar que exista un software antivirus corporativo actualizado, que garantice la corporativo actualizado, que garantice la integridad del software y datos críticos de la integridad del software y datos críticos de la institución.institución.

Verificar que exista un plan de respaldo y Verificar que exista un plan de respaldo y recuperación tanto a nivel de política establecida recuperación tanto a nivel de política establecida así como a nivel del sistema.así como a nivel del sistema.



Evaluar si se utilizan protocolos que transmiten los Evaluar si se utilizan protocolos que transmiten los datos en claro, de ser así estos deben ser datos en claro, de ser así estos deben ser reemplazados por protocolos que encriptan la reemplazados por protocolos que encriptan la información.información.

Verificar si existen usuarios definidos en el sistema Verificar si existen usuarios definidos en el sistema que no deberían existir, por ejemplo usuarios que no deberían existir, por ejemplo usuarios invitados o usuarios creados por intrusos, así como invitados o usuarios creados por intrusos, así como programas con código malicioso como troyanos o programas con código malicioso como troyanos o puertas traseras (Informática Forense).puertas traseras (Informática Forense).

Verificar si está activa la auditoría en los equipos Verificar si está activa la auditoría en los equipos principales, servidores o dispositivos de red.principales, servidores o dispositivos de red.



Revisar los permisos que tienen cada uno de los usuarios Revisar los permisos que tienen cada uno de los usuarios tanto a nivel de Directorios y archivos como a nivel de tanto a nivel de Directorios y archivos como a nivel de comandos, servicios y protocolos.comandos, servicios y protocolos.

Verificar que existan políticas de seguridad de contraseñas Verificar que existan políticas de seguridad de contraseñas definidas en el sistema, esto es para minimizar el riesgo de definidas en el sistema, esto es para minimizar el riesgo de penetración, por ejemplo se debe establecer como política penetración, por ejemplo se debe establecer como política de seguridad el forzar a cambiar regularmente las de seguridad el forzar a cambiar regularmente las contraseñas y el establecer tiempos de caducidad de las contraseñas y el establecer tiempos de caducidad de las mismasmismas

Verificar que las contraseñas sean robustas y que se hayan Verificar que las contraseñas sean robustas y que se hayan modificado las contraseñas que vienen por omisión tanto en modificado las contraseñas que vienen por omisión tanto en los sistemas operativos como en los programas de los sistemas operativos como en los programas de administración instaladosadministración instalados

Evaluar que el acceso físico a los servidores esté restringidoEvaluar que el acceso físico a los servidores esté restringido


Estaciones de TrabajoEstaciones de Trabajo

Verificar que estén aplicados los parches de seguridad mas Verificar que estén aplicados los parches de seguridad mas recientes del sistema operativo y software instaladosrecientes del sistema operativo y software instalados

El Software antivirus debe estar actualizadoEl Software antivirus debe estar actualizado

No deben existir carpetas compartidasNo deben existir carpetas compartidas

Verificar que no esté instalado software que pueda poner el Verificar que no esté instalado software que pueda poner el riesgo el funcionamiento de la red o la información mismariesgo el funcionamiento de la red o la información misma

Detalle de las Tareas RealizadasDetalle de las Tareas Realizadas

1.1. Seguridad de Protocolos TCP/IPSeguridad de Protocolos TCP/IP

En esta fase se pretende obtener información sobre los En esta fase se pretende obtener información sobre los servidores de la organización que serán atacados.servidores de la organización que serán atacados.

Una vez que sabemos cuáles son los servidores y sus Una vez que sabemos cuáles son los servidores y sus sistemas operativos realizamos conexiones a los mismos sistemas operativos realizamos conexiones a los mismos utilizando usuarios y contraseñas que vienen por omisión utilizando usuarios y contraseñas que vienen por omisión en cada sistema operativo, si alguno de ellos no ha sido en cada sistema operativo, si alguno de ellos no ha sido modificado habremos penetrado sin ningún problema.modificado habremos penetrado sin ningún problema.

Proceso de Auditoría de la Seguridad de la información Proceso de Auditoría de la Seguridad de la información desde la Red Internadesde la Red Interna


Se realiza un rastreo de puertos tanto de los servidores Se realiza un rastreo de puertos tanto de los servidores como de los dispositivos de comunicaciones, es a través de como de los dispositivos de comunicaciones, es a través de estos puertos que se intenta realizar la penetración.estos puertos que se intenta realizar la penetración.

Herramienta utilizada: nmapHerramienta utilizada: nmap

Una vez determinados cuáles son los puertos abiertos en Una vez determinados cuáles son los puertos abiertos en cada equipo, procedemos a explotar las vulnerabilidades cada equipo, procedemos a explotar las vulnerabilidades conocidas de cada puerto y servicio tcp o udp. conocidas de cada puerto y servicio tcp o udp.



Intentamos averiguar para cada servidor y equipo de Intentamos averiguar para cada servidor y equipo de comunicación los siguientes datos:comunicación los siguientes datos:

las interfaces de red conectadaslas interfaces de red conectadas los recursos compartidoslos recursos compartidos los servicios instaladoslos servicios instalados cuentas de usuariocuentas de usuario redes conectadasredes conectadas direcciones Macdirecciones Mac RutasRutas Conexiones Activas Conexiones Activas



Se determina si algún dispositivo tiene activo el protocolo Se determina si algún dispositivo tiene activo el protocolo SNMP y si está configurado con las contraseñas de SNMP y si está configurado con las contraseñas de comunidad por omisión, si es así podremos tomar control comunidad por omisión, si es así podremos tomar control total sobre el dispositivo.total sobre el dispositivo.

Herramienta utilizada: SolarWindsHerramienta utilizada: SolarWinds

Una vez que sabemos los puertos y protocolos disponibles Una vez que sabemos los puertos y protocolos disponibles procedemos a realizar ataques de diccionario y ataques de procedemos a realizar ataques de diccionario y ataques de fuerza bruta contra ciertos protocolos como Ftp, http, pop3 fuerza bruta contra ciertos protocolos como Ftp, http, pop3 (Podemos averiguar la contraseña de correo de todos los (Podemos averiguar la contraseña de correo de todos los usuarios), snmp, telnet etc.usuarios), snmp, telnet etc.



Herramienta utilizada: BrutusHerramienta utilizada: Brutus

Un ataque de diccionario consiste en probar una Un ataque de diccionario consiste en probar una combinación de todos los usuarios y contraseñas combinación de todos los usuarios y contraseñas posibles basados en un diccionario.posibles basados en un diccionario.

Un ataque de fuerza bruta consiste en probar una Un ataque de fuerza bruta consiste en probar una combinación de todos los usuarios y contraseñas combinación de todos los usuarios y contraseñas posibles basados en todos los caracteres posibles basados en todos los caracteres disponibles. disponibles.



Ataques a ProtocolosAtaques a Protocolos Utilizar un rastreador de redes, mediante estos aplicaciones Utilizar un rastreador de redes, mediante estos aplicaciones

podemos ver todo el tráfico de información que circula a podemos ver todo el tráfico de información que circula a través de la red, con el objetivo de capturar información través de la red, con el objetivo de capturar información valiosa como las contraseñas de los administradores, valiosa como las contraseñas de los administradores, también podemos capturar contraseñas de protocolos como también podemos capturar contraseñas de protocolos como POP3, telnet, FTP, SNMP,Oracle SQL*Net etc.POP3, telnet, FTP, SNMP,Oracle SQL*Net etc.

Herramientas utilizadas: Ethereal + Ettercap, Cain, IrisHerramientas utilizadas: Ethereal + Ettercap, Cain, Iris

Recomendaciones: No utilizar protocolos que transmiten la Recomendaciones: No utilizar protocolos que transmiten la información en claro, utilizar por ejemplo el protocolo SSH información en claro, utilizar por ejemplo el protocolo SSH en lugar de FTP yTelnet, El SSH transmite la información en en lugar de FTP yTelnet, El SSH transmite la información en forma cifrada.forma cifrada.



2.2. Información del ObjetivoInformación del Objetivo

Dibujar un diagrama de la red, esto nos dará un amplio Dibujar un diagrama de la red, esto nos dará un amplio panorama de la estructura y situación actual de la red.panorama de la estructura y situación actual de la red.

Herramientas utilizadas: Cheops, NetworkviewHerramientas utilizadas: Cheops, Networkview

Si los sistemas operativos y los programas instalados en Si los sistemas operativos y los programas instalados en servidores y equipos de comunicación no están servidores y equipos de comunicación no están actualizados y parchados, es posible acceder al archivo de actualizados y parchados, es posible acceder al archivo de contraseñas para luego descifrarlos localmente.contraseñas para luego descifrarlos localmente.



Existen muchos métodos para obtener estos archivos Existen muchos métodos para obtener estos archivos dependiendo de la vulnerabilidad no parchada y del dependiendo de la vulnerabilidad no parchada y del sistema operativo, también existen varias herramientas sistema operativo, también existen varias herramientas para descifrar las contraseñas.para descifrar las contraseñas.

Herramientas utilizadas: enum, pwdump, john the ripper.Herramientas utilizadas: enum, pwdump, john the ripper.

Existe una serie de ataques que pueden hacerse contra Existe una serie de ataques que pueden hacerse contra servidores y equipos no parchados, por ejemplo ataques de servidores y equipos no parchados, por ejemplo ataques de buffer Overflow. buffer Overflow.



Buffer Overflow (Programas que provocan un Buffer Overflow (Programas que provocan un desbordamiento de la memoria y retornan un shell del desbordamiento de la memoria y retornan un shell del Sistema Operativo)Sistema Operativo)

Recomendaciones: Establecer políticas que permitan Recomendaciones: Establecer políticas que permitan mantener actualizados y parchados los recursos mantener actualizados y parchados los recursos informáticos de la red.informáticos de la red.

Proteger los archivos importantes relacionados a la Proteger los archivos importantes relacionados a la seguridad, tanto a nivel de sistemas operativos como de seguridad, tanto a nivel de sistemas operativos como de datos.datos.

Establecer políticas de creación y cambio de contraseñas Establecer políticas de creación y cambio de contraseñas con el fin de dificultar la averiguación de las mismas.con el fin de dificultar la averiguación de las mismas.



Determinar todas las carpetas compartidas dentro de la Determinar todas las carpetas compartidas dentro de la red, estas representan un foco de infección de virus y de red, estas representan un foco de infección de virus y de pérdida de información, utilizamos programas que además pérdida de información, utilizamos programas que además de listar las carpetas compartidas averigua las contraseñas de listar las carpetas compartidas averigua las contraseñas en segundos.en segundos.

Recomendación: Establecer una política de seguridad que Recomendación: Establecer una política de seguridad que prohíba la creación de carpetas compartidas.prohíba la creación de carpetas compartidas.



3.3. Ataques a ServidoresAtaques a Servidores

Verificar la existencia de servicios que estén mal Verificar la existencia de servicios que estén mal configurados desde el punto de vista de la seguridad, así configurados desde el punto de vista de la seguridad, así como la existencia de servicios innecesarios para la como la existencia de servicios innecesarios para la empresa, por ejemplo el IIS v5 instala programas ejemplo empresa, por ejemplo el IIS v5 instala programas ejemplo que permiten navegar ( y modificar) en el disco duro del que permiten navegar ( y modificar) en el disco duro del Web Server de la compañía, o cualquier otro servidor que Web Server de la compañía, o cualquier otro servidor que tenga instalado el IIS.tenga instalado el IIS.

Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa, Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa, www.securityfocus.comwww.securityfocus.com, Netcat, Metaexploit., Netcat, Metaexploit.



Recomendación: Hacer un inventario de todos los servicios Recomendación: Hacer un inventario de todos los servicios instalados a fin de determinar cuáles son necesarios y cuáles no.instalados a fin de determinar cuáles son necesarios y cuáles no.

Revisar la configuración de los servicios existentes.Revisar la configuración de los servicios existentes.

Análisis de los siguientes puntos:Análisis de los siguientes puntos:• Ataques vía ODBCAtaques vía ODBC• Revisión de existencia de Puertas TraserasRevisión de existencia de Puertas Traseras• Emuladores de terminales (Configuración)Emuladores de terminales (Configuración)• Revisar los privilegios asignados a los usuariosRevisar los privilegios asignados a los usuarios• Determinar si existen cuentas que pertenezcan a usuarios Determinar si existen cuentas que pertenezcan a usuarios

que ya no trabajan en la empresa.que ya no trabajan en la empresa.• Verificar si es posible que los usuarios actuales tienen la Verificar si es posible que los usuarios actuales tienen la

posiblidad de Elevación de Privilegiosposiblidad de Elevación de Privilegios


4.4. Establecimiento del objetivoEstablecimiento del objetivo

En esta fase se busca obtener la mayor información general En esta fase se busca obtener la mayor información general disponible de la víctima, información como direcciones IP disponible de la víctima, información como direcciones IP externas, nombres de los responsables técnicos de la externas, nombres de los responsables técnicos de la institución, sistemas operativos y sus versiones, etc.institución, sistemas operativos y sus versiones, etc.

Para realizar esta actividad realizamos búsquedas en Para realizar esta actividad realizamos búsquedas en Internet de información relacionada con la empresa, por Internet de información relacionada con la empresa, por ejemplo podemos determinar las páginas que tengan ejemplo podemos determinar las páginas que tengan enlaces al sitio de la víctima o listar todas las páginas que enlaces al sitio de la víctima o listar todas las páginas que componen el sitio Internet de la empresa.componen el sitio Internet de la empresa.

Proceso de Auditoría de la Seguridad de la información Proceso de Auditoría de la Seguridad de la información desde la Red Externadesde la Red Externa


Otra información que podemos obtener es la lista de Otra información que podemos obtener es la lista de servidores de la empresa, con esto podremos determinar servidores de la empresa, con esto podremos determinar cuál es servidor de correo, el firewall, el DNS, el Web cuál es servidor de correo, el firewall, el DNS, el Web Server, etc.Server, etc.

Herramienta utilizada: NslookupHerramienta utilizada: Nslookup

También obtenemos información como cuál es el proveedor También obtenemos información como cuál es el proveedor de Internet de la organización, el sistema operativo del Web de Internet de la organización, el sistema operativo del Web server, el historial de cambios de direcciones IP o de server, el historial de cambios de direcciones IP o de proveedor de internet y datos acerca de un posible sitio proveedor de internet y datos acerca de un posible sitio seguro que utilice el protocolo https.seguro que utilice el protocolo https.

Herramienta utilizada: www.netcraft.comHerramienta utilizada: www.netcraft.com



Intentamos averiguamos para cada servidor y equipos de Intentamos averiguamos para cada servidor y equipos de comunicación datos tales como los siguientes:comunicación datos tales como los siguientes:

• las interfaces de red conectadaslas interfaces de red conectadas• los recursos compartidoslos recursos compartidos• los servicios instaladoslos servicios instalados• cuentas de usuariocuentas de usuario• redes conectadasredes conectadas• direcciones Macdirecciones Mac• RutasRutas• Conexiones Activas Conexiones Activas

También intentamos determinar si algún dispositivo tiene activo el También intentamos determinar si algún dispositivo tiene activo el protocolo SNMP y están configuradas las contraseñas por omisión, si protocolo SNMP y están configuradas las contraseñas por omisión, si es así podremos tomar control total sobre el dispositivo.es así podremos tomar control total sobre el dispositivo.



Una vez que sabemos los puertos y protocolos disponibles Una vez que sabemos los puertos y protocolos disponibles procedemos a realizar ataques de diccionario y ataques de procedemos a realizar ataques de diccionario y ataques de fuerza bruta contra ciertos protocolos como Ftp, http, pop3, fuerza bruta contra ciertos protocolos como Ftp, http, pop3, snmp, telnet, etc.snmp, telnet, etc.

También se determinan las vulnerabilidades existentes También se determinan las vulnerabilidades existentes para los puertos y protocolos disponibles y se intenta para los puertos y protocolos disponibles y se intenta penetrar a través de las mismas.penetrar a través de las mismas.

Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa, Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa, www.securityfocus.comwww.securityfocus.com, Netcat, Metaexploit., Netcat, Metaexploit.



Ataques a las aplicaciones de InternetAtaques a las aplicaciones de Internet• Verificar si las aplicaciones de Internet son susceptibles a ataques de:Verificar si las aplicaciones de Internet son susceptibles a ataques de:• SQL InjectionSQL Injection• Cross-Site ScriptingCross-Site Scripting• Secuestro de Sesiones válidasSecuestro de Sesiones válidas• Ataques de diccionario y/o Fuerza brutaAtaques de diccionario y/o Fuerza bruta

Algunas Recomendaciones:Algunas Recomendaciones:• Validar todos los campos de entradaValidar todos los campos de entrada• Almacenar en bitácora todas las transacciones realizadas por los usuariosAlmacenar en bitácora todas las transacciones realizadas por los usuarios• No escribir contraseñas o claves para descifrar contraseñas dentro del No escribir contraseñas o claves para descifrar contraseñas dentro del

códigocódigo• Las aplicaciones no deben efectuar sentencias directamente a la base de Las aplicaciones no deben efectuar sentencias directamente a la base de

datosdatos



Algunas Recomendaciones:Algunas Recomendaciones:• El proceso de encripción de las contraseñas debe incluir una llave de encripción El proceso de encripción de las contraseñas debe incluir una llave de encripción

propia de la institución mas datos particulares del usuario (Valor SALT), de tal propia de la institución mas datos particulares del usuario (Valor SALT), de tal forma que la contraseña almacenada no sea simplemente el resultado del forma que la contraseña almacenada no sea simplemente el resultado del algoritmo de encripción y de esta forma protegerla contra ataques de diccionario algoritmo de encripción y de esta forma protegerla contra ataques de diccionario o fuerza bruta.o fuerza bruta.

• La identificación o administración de la sesión debe ser llevada a cabo por la La identificación o administración de la sesión debe ser llevada a cabo por la aplicación y no por el Servidor de Internetaplicación y no por el Servidor de Internet

• La base de datos debe estar en un servidor separado del Servidor de Internet o La base de datos debe estar en un servidor separado del Servidor de Internet o servidor de aplicaciones.servidor de aplicaciones.

• Las aplicaciones deben asegurar que ningún parámetro con información útil para Las aplicaciones deben asegurar que ningún parámetro con información útil para un posible atacante viaje a través del navegador del cliente y así evitar que estos un posible atacante viaje a través del navegador del cliente y así evitar que estos parámetros puedan ser manipulados, esto incluye las consultas a nivel de URL.parámetros puedan ser manipulados, esto incluye las consultas a nivel de URL.



• En general no existe conciencia de Seguridad Informática a nivel En general no existe conciencia de Seguridad Informática a nivel nacionalnacional

• No existe un Área de Seguridad dedicada a tiempo completo a proteger No existe un Área de Seguridad dedicada a tiempo completo a proteger la disponibilidad, integridad y confidencialidad de la informaciónla disponibilidad, integridad y confidencialidad de la información

• No existen políticas de seguridad a nivel institucional que protejan el No existen políticas de seguridad a nivel institucional que protejan el activo “información”activo “información”

• No existe segmentación en la arquitectura de la red, los servidores de No existe segmentación en la arquitectura de la red, los servidores de producción están en el mismo segmento de red que las estaciones de producción están en el mismo segmento de red que las estaciones de trabajo.trabajo.

• No existe control sobre las carpetas compartidas en la redNo existe control sobre las carpetas compartidas en la red

Principales debilidades de Seguridad encontradas en Principales debilidades de Seguridad encontradas en elelSistema Financiero NacionalSistema Financiero Nacional

• En algunas instituciones no existe un sistema automatizado que permita las En algunas instituciones no existe un sistema automatizado que permita las actualizaciones de seguridad en los sistemas operativosactualizaciones de seguridad en los sistemas operativos

• La navegación a Internet se realiza desde la red interna lo cual expone tanto la red La navegación a Internet se realiza desde la red interna lo cual expone tanto la red interna como todas las redes a las cuales esté conectado el usuariointerna como todas las redes a las cuales esté conectado el usuario

• En algunas instituciones no están instalados Sistemas de Prevención o Detección de En algunas instituciones no están instalados Sistemas de Prevención o Detección de Intrusos a nivel de red.Intrusos a nivel de red.

• No existe una correcta separación de los ambientes de desarrollo y producciónNo existe una correcta separación de los ambientes de desarrollo y producción

• Configuraciones de servidores y equipos de comunicación sin controles de seguridadConfiguraciones de servidores y equipos de comunicación sin controles de seguridad

• En algunas instituciones es posible que un atacante ingrese a la red interna desde En algunas instituciones es posible que un atacante ingrese a la red interna desde InternetInternet

Principales debilidades de Seguridad encontradas en elPrincipales debilidades de Seguridad encontradas en elSistema Financiero NacionalSistema Financiero Nacional

• Lo anterior conlleva un sinnúmero de riesgos entre los que se Lo anterior conlleva un sinnúmero de riesgos entre los que se destacan la sustracción, eliminación o modificación de la destacan la sustracción, eliminación o modificación de la información sensitiva del banco, por ejemplo es posible obtener el información sensitiva del banco, por ejemplo es posible obtener el archivo de contraseñas de los usuarios de la aplicación de banca archivo de contraseñas de los usuarios de la aplicación de banca electrónica, descifrarlas e ingresar al sistema con usuarios válidos, electrónica, descifrarlas e ingresar al sistema con usuarios válidos, habilitando al atacante a realizar transferencias bancarias o habilitando al atacante a realizar transferencias bancarias o cualquier servicio disponible en el sitio de la institución.cualquier servicio disponible en el sitio de la institución.

• Se utilizan protocolos a nivel de red que envían información en Se utilizan protocolos a nivel de red que envían información en claro la cual puede ser interceptada por cualquier usuario y de esta claro la cual puede ser interceptada por cualquier usuario y de esta forma obtener contraseñas o cualquier tipo de información que forma obtener contraseñas o cualquier tipo de información que ponga en peligro la seguridad de la información de la instituciónponga en peligro la seguridad de la información de la institución

Principales debilidades de Seguridad encontradas en elPrincipales debilidades de Seguridad encontradas en elSistema Financiero NacionalSistema Financiero Nacional

Actividades a Corto PlazoActividades a Corto Plazo

• Actualmente la CNBS está creando la primera Normativa para el Sistema Actualmente la CNBS está creando la primera Normativa para el Sistema Financiero en relación a la Seguridad Informática, la normativa pretende regular Financiero en relación a la Seguridad Informática, la normativa pretende regular los aspectos mas relevantes de la seguridad informática en las instituciones del los aspectos mas relevantes de la seguridad informática en las instituciones del sistema financiero nacional:sistema financiero nacional:

Crear un Área de Seguridad InformáticaCrear un Área de Seguridad Informática Regular la documentación tecnológicaRegular la documentación tecnológica Generar registros de auditoríaGenerar registros de auditoría Outsourcing de Tecnologías de InformaciónOutsourcing de Tecnologías de Información Generación de políticas de Seguridad Generación de políticas de Seguridad


Regular la confidencialidad de la información:Regular la confidencialidad de la información:• (1)(1) Identificación y autentificación,Identificación y autentificación,• (2)(2) Privacidad y confidencialidad,Privacidad y confidencialidad,• (3)(3) Integridad y disponibilidad, yIntegridad y disponibilidad, y• (4)(4) No-repudio.No-repudio.

Regular la Arquitectura de RedRegular la Arquitectura de Red Regular la Banca ElectrónicaRegular la Banca Electrónica Respaldo y RecuperaciónRespaldo y Recuperación


• Actualmente la CNBS está creando el Área de Seguridad Informática que se encargará entre otras Actualmente la CNBS está creando el Área de Seguridad Informática que se encargará entre otras funciones de:funciones de:

Generar políticas de Seguridad a nivel de la CNBS:Generar políticas de Seguridad a nivel de la CNBS:• Uso de InternetUso de Internet• Uso del Correo ElectrónicoUso del Correo Electrónico• Uso de las estaciones de TrabajoUso de las estaciones de Trabajo• Proceso AntivirusProceso Antivirus• Adquisición de Hardware y SoftwareAdquisición de Hardware y Software• Seguridad de ContraseñasSeguridad de Contraseñas• Seguridad de la Información SensitivaSeguridad de la Información Sensitiva• Seguridad de ServidoresSeguridad de Servidores• Seguridad de equipos de comunicaciónSeguridad de equipos de comunicación• Seguridad en redes inalámbricas (Si existen)Seguridad en redes inalámbricas (Si existen)• Seguridad en Redes con TercerosSeguridad en Redes con Terceros• Acceso y Configuración remotos.Acceso y Configuración remotos.


Entregar prototipos de Políticas de Seguridad a las Entregar prototipos de Políticas de Seguridad a las instituciones del Sistema Financiero Nacional.instituciones del Sistema Financiero Nacional.

Desarrollar Normativa hacia las Instituciones del Sistema Desarrollar Normativa hacia las Instituciones del Sistema Financiero Nacional referente a los controles de Seguridad Financiero Nacional referente a los controles de Seguridad mínimo en el proceso de Comercio Electrónico y mínimo en el proceso de Comercio Electrónico y arquitectura de Redes.arquitectura de Redes.

Llevar a cabo pruebas de penetración periódicas (Hacking Llevar a cabo pruebas de penetración periódicas (Hacking ético) a las redes externas e internas de la CNBS y de las ético) a las redes externas e internas de la CNBS y de las Instituciones para descubrir vulnerabilidades de Seguridad Instituciones para descubrir vulnerabilidades de Seguridad y realizar las recomendaciones respectivas.y realizar las recomendaciones respectivas.


Involucrase en el diseño de los Sistemas de Información Internos de la CNBS para garantizar que el código de los programas se desarrolle tomando en cuenta la Seguridad de la Información.

Reacción, en conjunto con la División de Operaciones, ante incidentes de Seguridad dentro de las redes de la CNBS y las Instituciones del sistema Financiero Nacional.

Crear un ambiente y una cultura de Seguridad a nivel del Sistema Financiero Nacional y la CNBS, para esto se deben llevar a cabo campañas de concientización a los usuarios en el tema de la importancia de la Seguridad de la Información.

Taller DemostrativoTaller Demostrativo

COL-ACT-STA-

1 2 3 4 5 6 7 8 9101112HS1 HS2 OK1 OK2 PS

CONSOLE

COL-ACT-STA-

1 2 3 4 5 6 7 8 9101112HS1 HS2 OK1 OK2 PS

CONSOLE

Servidor de Agencia20.0.0.3

Switch de Agencia20.0.0.2

Switch de Oficina Principal10.0.0.5

20.0.0.1

10.0.0.1

ROUTER

Controlador de Dominio10.0.0.2

PC del Administrador de la Red10.0.0.4

Servidor de Base de Datos10.0.0.3

Taller DemostrativoTaller Demostrativo

PC APC A

Conexión TCP

PC BPC B

Syn

Syn tAck

Ack

Muchas Gracias Muchas Gracias por su Atención!por su Atención!

Education

Cnbs auditoria