UNIVERSIDAD CATÓLICA DE CUENCA

Transcripción

1 UNIVERSIDAD CATÓLICA DE CUENCA UNIDAD ACADÉMICA DE INGENIERÍA DE SISTEMAS, ELÉCTRICA Y ELECTRÓNICA CARRERA DE INGENIERÍA DE SISTEMAS HACKING ÉTICO PARA LA IDENTIFICACIÓN DE VULNERABILIDADES Y APLICACIÓN DE REGLAS DE SEGURIDAD EN LA RED INFORMÁTICA DE LA COOPERATIVA CAJA DE CUENCA TRABAJO DE INVESTIGACIÓN TEÓRICO - PRÁCTICO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO DE SISTEMAS ADRIÁN ISMAEL ORDÓÑEZ GALARZA aiordonez8@est.ucacue.edu.ec Director: Ing. Carlos Encalada L. 2014

2 DECLARACIÓN Yo, Adrián Ismael Ordóñez Galarza, declaro bajo juramento que el trabajo aquí descrito es de mi autoría; que no ha sido previamente presentada para ningún grado o calificación profesional; y, que he consultado las referencias bibliográficas que se incluyen en este documento. La Universidad Católica de Cuenca puede hacer uso de los derechos correspondientes a este trabajo, según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y la normatividad institucional vigente. Adrián Ismael Ordóñez Galarza i

3 CERTIFICACIÓN Certifico que el presente trabajo fue desarrollado por Adrián Ismael Ordóñez Galarza, bajo mi supervisión. Ing. Carlos Encalada DIRECTOR ii

4 AGRADECIMIENTOS En primer lugar agradezco al Todopoderoso por llenarme de vida y ayudarme día a día en la lucha diaria, a Rosa, mi madre que todo este tiempo me ha estado apoyando, a Joaquín, mi padre que ha sido el que me ha inspirado en seguir esta carrera. Mi más profundo agradecimiento a mi Director y Coordinador en este Proyecto de Titulación, por su apoyo y dedicación con la tutoría de este proyecto, y a quienes debo una parte importante en mi formación profesional. iii

5 DEDICATORIA Dedico este trabajo teórico práctico a mis padres que me apoyaron en todo momento durante el lapso de mi carrera, a toda mi familia en general, a todos mis amigos que estuvieron apoyándome incondicionalmente, y sobre todo a las personas que me llenan día a día con su carisma y su amor Bibiana, Tomy y Tabita. iv

6 ÍNDICE DE CONTENIDO DECLARACIÓN... i CERTIFICACIÓN... ii AGRADECIMIENTOS... iii DEDICATORIA... iv ÍNDICE DE CONTENIDO... v LISTA DE FIGURAS... viii LISTA DE TABLAS... x LISTA DE ANEXOS... xi RESUMEN ABSTRACT INTRODUCCIÓN APLICAR EL HACKING ÉTICO EN LA RED INFORMÁTICA DE LA COOPERATIVA CONCEPTOS DE UN HACKING ÉTICO BÁSICO TERMINOLOGIA DE HACKING ÉTICO PERFIL PROFESIONAL DE UN HACKER ÉTICO COMPONENTES A CONOCER MODO DE OPERACIÓN DE UN HACKER MALICIOSO HERRAMIENTAS EJEMPLO DE HACKING ÉTICO APLICADO INDICADORES OBTENIDOS DE HACKING ÉTICO APLICAR EL HACKING ÉTICO PARA IDENTIFICAR LAS VULNERABILIDADES DE LA COOPERATIVA CAJA PREPARACIÓN DE LOS EQUIPOS DE LA RED DE LA COOPERATIVA PARA LA POSTERIOR APLICACIÓN DEL HACKING ÉTICO RED DE LOS SERVIDORES RED DE CAJEROS DE LA COOPERATIVA INTRANET DE LA AGENCIA MATRIZ DE LA COOPERATIVA EQUIPOS DE CAPA 2 Y MAPA DE RED AREAS A APLICAR EL HACKING ÉTICO EN LA COOPERATIVA ÁREAS DE TRABAJO UTILIZACIÓN DE EQUIPOS ADECUADOS A LA RED INFORMÁTICA DE LA COOPERATIVA REVISIÓN DE LOS ESTÁNDARES DE LA RED INFORMÁTICA DE LA COOPERATIVA TOPOLOGÍA DE LA RED INFORMÁTICA ESTRUCTURA DE LA RED INFORMÁTICA CONECTIVIDAD RIESGOS Y DISPONIBILIDAD v

7 ANÁLISIS DE LAS MÁQUINAS QUE CONFORMAN LA RED DE DATOS RECURSOS HUMANOS: EXISTENCIA, ORGANIZACIÓN Y CAPACITACIÓN CONTROL DE LOS MEDIOS DE LA RED DOCUMENTACIÓN MAPA COMPLETO DE LA RED INFORMATICA ACTUALIZACIÓN DE APLICACIONES USADAS EN LA COOPERATIVA PARA HACKING ÉTICO APLICAR EL HACKING ÉTICO A LA RED INFORMÁTICA DE LA COOPERATIVA CAJA METODOLOGÍA PARA APLICAR EL HACKING ÉTICO EN LA RED INFORMÁTICA DE LA COOPERATIVA PLANEACIÓN DE LAS AUDITORIAS RECOPILACIÓN DE INTELIGENCIA BÚSQUEDA DE VULNERABILIDADES ATAQUE A LA SEGURIDAD PERIMETRAL AUDITORÍA LOCAL RESULTADOS OBTENIDOS OBTENCION DEL ACCESO EVALUACIÓN DE LOS RESULTADOS OBTENIDOS EN LAS PRUEBAS REALIZADAS A LA RED DE LA COOPERATIVA CAJA VULNERABILIDADES GENERALES ENCONTRADAS EN LA RED INFORMÁTICA DE LA COOPERATIVA CAJA ESTUDIO ESTADISTICO DE LAS ENCUESTAS DE SEGURIDAD INFORMÁTICA APLICADAS A LOS EMPLEADOS DE LA COOPERATIVA CAJA APLICAR REGLAS DE SEGURIDAD EN LA RED INFORMÁTICA DE LA COOPERATIVA CAJA DE LA CIUDAD DE CUENCA APLICAR ESTÁNDARES DE SEGURIDAD PARA EL CONTROL DE LAS AMENAZAS EXISTENTES EN LA RED INFORMÁTICA DE LA COOPERATIVA CAJA NUEVO DIAGRAMA DE RED POLITICAS DE SEGURIDAD PROVEER DEL DEBIDO SOPORTE A LA RED INFORMÁTICA DE LA COOPERATIVA CAJA MONITOREO DE LA RED INFORMÁTICA IMPLEMENTACIÓN DE HONEYPOT RESPALDO DE LA CONFIGURACIÓN DEL ENRUTADOR DE AGENCIAS MEJORAS OBTENIDAS DE SEGURIDAD INFORMÁTICA CONCLUSIONES RECOMENDACIONES REFERENCIAS BIBLIOGRÁFICAS GLOSARIO ANEXOS vi

8 ANEXO A. ENCUESTAS DE SEGURIDAD INFORMÁTICA REALIZADAS A LOS EMPLEADOS DE LA COOPERATIVA CAJA vii

9 LISTA DE FIGURAS Fig. 1. DIAGRAMA de red común de las organizaciones Fig. 2. HOST Discovery Fig. 3. PORT Scanning Fig. 4. FINGERPRINTING Fig. 5. MAPA de los equipos capas 2 y 3 de la Cooperativa Caja Fig. 6. MAPA de los equipos informáticos de la Cooperativa Caja Fig. 7. DIAGRAMA de la Red Perimetral de la cooperativa CAJA Fig. 8. RECOPILACIÓN de DNS del Dominio Fig. 9. TRACEROUTE al Sitio Web de La Cooperativa Caja Fig. 10. GRÁFICA generada por NetVu (Cooperativa Caja) Fig. 11. CONSULTAS mediante comando Nslookup (Cooperativa Caja) Fig. 12. POLITICA de Prueba de Vulnerabilidades al sitio web de la cooperativa Fig. 13. ESCANEO de la política de prueba de vulnerabilidades al sitio web de la cooperativa Fig. 14.REPORTE del Escaneo de la política de prueba de vulnerabilidades al sitio web de la cooperativa Fig. 15. METASPLOIT comprobación de protocolo Webdav habilitado Fig. 16. EXPLOTACIÓN mediante ingeniería inversa Fig. 17. CÓDIGO de programación del sitio web de la cooperativa Fig. 18. SESIÓN Telnet con el servidor mail de la cooperativa CAJA Fig. 19. OBTENCIÓN del nombre del servidor mail de la cooperativa CAJA Fig. 20. COMUNICACIÓN con el servidor Smtp de la cooperativa CAJA Fig. 21. CONFIGURACIÓN de Escaneo en GFI LanGuard Fig. 22. INFORME de puertos abiertos escaneados en la red informática de CAJA Fig. 23. INFORME de vulnerabilidades escaneadas en la red informática de la cooperativa Fig. 24. INFORME de hardware y software escaneados en equipos de la red informática de la cooperativa Fig. 25. INFORME de nombres NetBIOS escaneados en la red informática de la cooperativa Fig. 26. REPORTE de Seguridad General en la Red de Servidores Fig. 27. REPORTE de Seguridad General en la Red de Cajeros Fig. 28. REPORTE de Seguridad General en Intranet Fig. 29. REPORTE de Seguridad General en la Red de Totoracocha Fig. 30. REPORTE de Seguridad General en la Red de Enlaces Fig. 31. REPORTE de Seguridad General en la Red de Monay Fig. 32. REPORTE de Seguridad General en la Red de Gualaceo Fig. 33. ACCESO al Enrutador de Agencias Fig. 34. OBTENCION de Claves de los Equipos Servidores de la cooperativa Fig. 35. DIAGRAMA modificado de la Red Informática de la cooperativa Fig. 36. SOLARWINDS interfaz de monitoreo Fig. 37. HONEYPOT Valhala implementado en la Red Informática de la Cooperativa CAJA Fig. 38. BACKUP del Enrutador de Agencias Fig. 39. INFORME del Porcentaje de Empleados que conocen de la existencia de Seguridad Informática en CAJA Fig. 40. INFORME del Porcentaje de Empleados que conocen de la existencia de Políticas de Seguridad en CAJA viii

10 Fig. 41. INFORME del Porcentaje de Empleados por Tipo de Herramienta de Seguridad Utilizada en CAJA Fig. 42. INFORME del Porcentaje de Empleados que realizan copias de Seguridad en los computadores de CAJA Fig. 43. INFORME del Porcentaje de Empleados por Aplicaciones de Seguridad utilizadas en CAJA Fig. 44. INFORME del Porcentaje de Empleados que realizan actualizaciones del Antivirus en CAJA Fig. 45. INFORME del Porcentaje de Empleados que utilizan sistemas de energía continua en CAJA Fig. 46. INFORME del Porcentaje de Empleados que usan claves de Seguridad en CAJA Fig. 47. INFORME del Porcentaje de Empleados que usan claves débiles en CAJA Fig. 48. INFORME del Porcentaje de Empleados que usan Mail Personal en CAJA Fig. 49. INFORME del Porcentaje de Empleados de CAJA que realizan actividades en su Mail Corporativo Fig. 50. INFORME del Porcentaje de Empleados que realizan actividades en los computadores de la cooperativa CAJA Fig. 51. INFORME del Porcentaje de Empleados que conocen la existencia de Personal de Seguridad Informática en CAJA ix

11 LISTA DE TABLAS TABLA I DOCUMENTACIÓN DE LA RED DE SERVIDORES TABLA II DOCUMENTACIÓN DE LA RED DE CAJEROS TABLA III DOCUMENTACIÓN DE LA RED LOCAL (SWITCH CISCO SG ) TABLA IV DOCUMENTACIÓN DE LA RED LOCAL (SWITCH 3 COM) Autor: Adrián Ordóñez TABLA V DOCUMENTACIÓN DE EQUIPOS CAPAS 2Y 3 (SWITCH HP V ) TABLA VI DOCUMENTACIÓN DE EQUIPOS CAPAS 2Y 3 (SWITCH CISCO S230028) TABLA VII DOCUMENTACIÓN DE EQUIPOS CAPAS 2 Y 3 (ROUTER CISCO 2611) TABLA VIII DOCUMENTACIÓN DE EQUIPOS CAPAS 2 Y 3 (ROUTER CISCO 2611XM) TABLA IX DESCRIPCION DE FUNCIONES DE EQUIPOS CAPAS 2 Y TABLA X AREAS DE TRABAJO EN HACKING ÉTICO TABLA XI PASOS PARA REALIZAR PRUEBAS DE HACKING ÉTICO TABLA XII INFORME DE TRACEROUTE TABLA XIII INFORME DE NESSUS TABLA XIV ATAQUES SIN RESULTADOS TABLA XV PROTOCOLOS Y PUERTOS MÁS COMUNES TABLA XVI RED DE SERVIDORES TABLA XVII PUERTOS ABIERTOS RED DE SERVIDORES TABLA XVIII RED DE CAJEROS TABLA XIX RED INTRANET TABLA XX PUERTOS ABIERTOS RED INTRANET TABLA XXI RED SUCURSAL TOTORACOCHA TABLA XXII RED DE ENLACES TABLA XXIII RED SUCURSAL MONAY TABLA XXIV RED SUCURSAL V TABLA XXV POLITICAS DE SEGURIDAD APLICADAS A LA COOPERATIVA x

12 LISTA DE ANEXOS ANEXO A. ENCUESTAS DE SEGURIDAD INFORMÁTICA REALIZADAS A LOS EMPLEADOS DE LA COOPERATIVA CAJA xi

13 RESUMEN En este trabajo de investigación teórico práctico, se realiza una breve introducción a un gran tema como es el Hacking Ético, con la definición de sus principales términos, y un ejemplo de su proceso con su debido indicador, esto servirá de guía en la aplicación del Hacking Ético en la cooperativa CAJA. Una vez que se ha empapado de algunas experiencias en la aplicación del hacking ético se procede a profundizar en el perfil del Hacker Ético, para posteriormente diseñar una solución viable para la red informática de la cooperativa CAJA, analizando las herramientas de software existentes, las pruebas realizables sobre equipos y servidores de la red que trabajen en plataformas tales como Windows y Linux. La solución diseñada se la implementa en un ambiente de trabajo real en la red informática de la cooperativa CAJA, donde se cuenta con equipos de capa 2 y 3 como es el caso de routers y switchs Cisco y Hp, antenas Ubiquiti, equipos configurados como servidores que trabajan con los sistemas operativos Windows y Linux para controlador de dominio, servidores de correo, pagina web, archivos, base de datos, cajeros, a su vez se cuenta con clientes que trabajan con la plataforma Windows XP y 7, tanto en portátiles como en computadores de escritorio. Es ahora cuando se procede a realizar las respectivas auditorías de la red informática, tanto desde el exterior como internamente, se analizan los resultados de las mismas y posteriormente se procede a elaborar amenazas de acuerdo a las vulnerabilidades encontradas para entonces obtener el acceso a los respectivos sistemas. Es imprescindible generar un reporte donde se listará las vulnerabilidades encontradas y una respectiva planeación a futuro para prevenir ataques como los que se están ocasionando hoy en día en las organizaciones, con esto se medirá la seguridad de la red informática. Adicionalmente se realiza un estudio estadístico de la encuesta aplicada de seguridad informática a los empleados de la cooperativa con su debido informe. De acuerdo a las falencias encontradas se procede a implementar las políticas de seguridad correspondientes y con esto se logrará el objetivo propuesto para mejorar las seguridades en la red informática de la cooperativa CAJA. Palabras clave: Inteligencia, amenaza, vulnerabilidad, servicio, escaneo, acceso, huella, explotación

14 ABSTRACT In this research theoretical - practical, is a brief introduction to a big subject such as Ethical Hacking, with the definition of the main terms and an example of its due process indicator, this will guide the implementation of Ethical hacking in the CAJA cooperative. Once that has been soaked in some experiences in the application of ethical hacking proceeds to deepen the Ethical Hacker profile, later to design a viable solution for the computer network of the cooperative case, analyzing existing software tools, testing achievable on computers and network servers that work on platforms such as Windows and Linux. The solution designed it implemented in a real work environment in the computer network of the cooperative CAJA, which has teams of 2 and 3 layers such as routers and switches from Cisco and HP, Antennas Ubiquiti, computers configured as servers working with Windows and Linux operating systems for domain controller, mail servers, web page, file, database, ATMs, in turn has clients working with Windows XP and 7 platform, both portable and on desktops. Now when it comes to performing the respective audits of computer network, both externally and internally, the same results are analyzed and then proceeds to develop according to threats vulnerabilities found by then gain access to the respective systems. It is essential to generate a report which will list the vulnerabilities found and a respective forward planning to prevent attacks like those are causing today in organizations, this will be measured with the computer network security. In addition, a statistical study of the survey of computer security to employees of the cooperative with due report is made. According to the deficiencies found we proceed to implement appropriate security policies and this will achieve the proposed objective to improve the assurance on the computer network of the cooperative CAJA. Keywords: Intelligence, threat, vulnerability, service, scanning, access, footprint, exploitation

15 INTRODUCCIÓN Se comienza con una breve reseña de hace ya algún tiempo atrás cuando algunas de las organizaciones apenas comenzaban a incrementar los procesos informatizados dentro de su sistema de información, sus propios administradores y analistas técnicos eran los encargados de buscar claras falencias o brechas de seguridad en el escenario para solucionarlas como podían. En ese entonces, la mayoría no tenía una noción madura acerca de la seguridad de la información o de las intrusiones de terceros no autorizados en sus sistemas. A medida que pasó el tiempo, estas organizaciones se multiplicaron de manera notable y se informatizaron aún más, incluso tomando a Internet como plataforma de sus movimientos de información. De ese modo, se hicieron fluidas las comunicaciones interpersonales, intersucursales, transacciones o flujo digital de todo tipo y nivel de importancia, dejando, al mismo tiempo, muchos más datos expuestos a terceros, como nunca antes había sucedido. En anteriores tiempos no existía demasiada conciencia sobre la administración segura de los servidores, hasta hace no mucho tiempo en el que se adoptan reglas de seguridad en las organizaciones claro está realizando previamente un test de penetración. Con lo antes dicho entonces se procede a describir el contenido de cada uno de los capítulos del presente trabajo teórico práctico. En el primer capítulo se citan todas las generalidades de Hacking Ético, como la definición de los principales términos y ejemplos de procesos óptimos para hacking éticos con accesos autorizados, además de indicadores de hacking éticos aplicados en organizaciones para tener una guía en la implementación del Hacking Ético en la cooperativa, así como la definición de las herramientas utilizadas durante el desarrollo del hacking ético. Una vez que se haya estudiado algunas experiencias en la aplicación del hacking ético se procede a profundizar en el perfil del Hacker Ético, y posteriormente se procede a recolectar y documentar información sobre la red actual de la red informática de la cooperativa. En el segundo capítulo se procede a diseñar una solución viable para la red informática de la cooperativa Caja, revisando los estándares de la red, analizando las herramientas de software adecuadas con sus últimas versiones, las pruebas realizables sobre equipos y servidores de la red informática que trabajan en plataformas tales como Windows y Linux. La solución diseñada se la implementa en un ambiente de trabajo real en la red informática de la cooperativa CAJA, donde se cuenta con equipos de capa 2 y 3 del modelo OSI, como es el caso de routers y switchs Cisco y Hp, antenas Ubiquiti, equipos configurados como servidores que trabajan con Windows y Linux para controlador de dominio, servidores de correo, página web, archivos, base de datos y cajeros, a su vez se cuenta con clientes que trabajan con la plataforma Microsoft tanto en portátiles como en computadores de escritorio. Es ahora cuando se procede a realizar las respectivas pruebas y ataques a la red informática, se analizan los resultados de las mismas y posteriormente se procede a elaborar amenazas de acuerdo a las vulnerabilidades encontradas para entonces intentar obtener el acceso a los sistemas informáticos

16 En el tercer y último capítulo se tiene ya una amplia visión de las vulnerabilidades de la red informática, con esto se procede a aplicar las debidas políticas de seguridad y a modificar el diagrama de la red informática. Es vital a la vez generar un reporte donde se listará las vulnerabilidades encontradas con sus respectivas causas, efectos y las políticas a aplicar en cada una. Un punto muy importante es el soporte a la red informática, en este aspecto el monitoreo es algo con lo que la cooperativa no cuenta y es por esto que se sugieren aplicaciones para abastecer esta necesidad. En cuanto a soporte se refiere, la protección contra posteriores ataques es algo indispensable, es por esto que entre algunas medidas se instalan equipos que emulan redes con servicios falsos para atraer a los atacantes hacia estas redes, y que permite advertir a los administradores sobre estos ataques, para proteger a las redes reales de la cooperativa. Además en este capítulo se desarrolla un estudio estadístico de las encuestas aplicadas a los empleados de la cooperativa, las mismas que tienen el fin de saber el grado de conocimiento por parte de los empleados con referencia a la seguridad informática de la cooperativa. Finamente se dan las debidas conclusiones y recomendaciones respectivas al caso, en esto se puso mucho énfasis ya que las mismas son de gran ayuda a la cooperativa como una visión de los resultados obtenidos y las medidas que se tienen que aplicar en adelante para preservar la seguridad de su red informática, esto es todo en cuanto a una breve descripción del contenido del presente trabajo teórico práctico, a continuación se procede a desarrollar los capítulos del mismo

17 1. APLICAR EL HACKING ÉTICO EN LA RED INFORMÁTICA DE LA COOPERATIVA 1.1. CONCEPTOS DE UN HACKING ÉTICO BÁSICO TERMINOLOGIA DE HACKING ÉTICO En primer lugar se hace una breve referencia al término hackear, el cual significa la acción de irrumpir de manera forzada un sistema informático o a una red mediante herramientas o programas que se utilizan para evadir los protocolos de seguridad. Un hacker es un usuario que cuenta con conocimientos avanzados en informática y se considera como capaz de poder penetrar en Sistemas Informáticos protegidos, acceder a una cantidad variable de Bases de Datos y poder acceder a información que no está disponible al público, dada esta definición un hacker puede ser de tipo malicioso o ético, a continuación se describen las funciones de un hacker ético. Un hacker ético necesariamente para emular la metodología de ataque de un intruso informático y no serlo, tiene que haber ética de por medio, más allá de todas las condiciones, términos y activos que haya alrededor del caso. Imaginando que las autoridades de un banco contratan a alguien para que simule un robo y de ese modo se pruebe la eficiencia de su sistema de seguridad. Este supuesto ladrón profesional, luego de lograr su cometido, informa a sus dueños en detalle cómo pudo hacerlo y cómo ellos deberían mejorar su sistema de seguridad para que no volviera a pasar. Lógicamente, no se puede encargar de hacer esto una persona sin ética, alguien que sea inmoral [2]. La ética implica que el trabajo y la intervención del profesional en seguridad informática o de la información no comprometen de ningún modo los activos de la organización, que son los valiosos datos con los que ella cuenta. Estos daños podrían ser hechos de varias maneras: alteración, modificando a conciencia registros o datos críticos; borrando, destruyendo información, bases de datos o sobrescribiendo algún tipo de dato; dar a conocer información a terceros, incumpliendo las normas de confidencialidad; sustracción, robando o guardando datos en medios de almacenamiento externos. Todo esto, ya sea en la búsqueda de riesgos mediante un test de penetración o comprobación de seguridad, como también en la divulgación de lo que se vio, habló, escuchó o manipuló en el transcurso, en la planificación o en el desarrollo de la tarea misma y en su análisis final. Más allá de la ética propia de cada profesional, existen conductas mínimas que éste debe cumplir. Hacer su trabajo de la mejor manera posible. Respetar la información confidencial de la organización. No hablar mal ni inculpar a un administrador o equipo de programadores

18 No aceptar sobornos de terceros. No manipular o alterar resultados o análisis. Delegar tareas específicas en alguien más capacitado. No prometer algo imposible de cumplir. Ser responsable en su rol y función. Manejar los recursos de modo eficiente. Estas conductas son tomadas del autor PERFIL PROFESIONAL DE UN HACKER ÉTICO El profesional de seguridad, al llevar a cabo un test de penetración como parte de su trabajo de hacking ético, necesita contar con ese tipo de lógica y tiene que aplicarla, más allá de utilizar las técnicas y herramientas open source, comerciales o privadas, dado que necesita imitar un ataque de la mejor manera y con el máximo nivel posible. Para eso, tendrá que emplear todos los recursos de inteligencia que tenga a su alcance, utilizar al extremo sus conocimientos, poder de deducción y análisis mediante el razonamiento y así determinar qué es lo mejor que puede intentar, cómo, dónde y con qué. Por ejemplo, saber si un pequeño dato, por más chico o insignificante que parezca, le será útil y cómo proseguir gracias a él. Continuamente se deberá enfrentar a etapas que le demanden la mayoría de estas aptitudes [1]. Definir patrones de conducta y acción. Hacer relevamientos pasivos de información. Interpretar y generar código y cifrado de datos. Descubrir manualmente descuidos en el objetivo. Descubrir vulnerabilidades presentes de todo el escenario técnico. Proyectarse sobre la marcha en modo abstracto, táctica y estratégicamente. Ser exhaustivo, pero a la vez saber cuándo es el momento de recurrir a la distensión para no agotar la mente. 1 Tomado del libro de Tori C.: hacking-etico.pdf

19 Ser ético por sobre todas las cosas. Las aptitudes citadas de un hacker ético son tomadas del autor COMPONENTES A CONOCER Los componentes son una gran parte del aspecto técnico que un hacker ético debe conocer y estudiar, sin tener en cuenta todo aquello que comprende el manejo de políticas y normativas en el aspecto seguridad y organización, sumado a las cuestiones de origen personal o la capacidad de llevar adelante grupos y proyectos, los idiomas, sistemas operativos, hardware, malware, comandos, networking y topologías, auditorías, lenguajes de programación, cifrados, análisis de resultados, conectores, vulnerabilidades, herramientas, técnicas de intrusión, IDS, databases, diseño lógico, aplicaciones, relevamientos y protocolos de comunicación (familia TCP/IP entre otros) [1]. A continuación se detalla el perfil de un hacker malicioso como tal, en el mismo perfil se detalla el proceso que se debe llevar durante el hackeo MODO DE OPERACIÓN DE UN HACKER MALICIOSO Es necesario conocer la forma de operar de un Hacker malicioso debido a que se necesita saber su forma de infringir las seguridades para prevenir y frenar sus ataques y algo que es esencial es operar de igual manera para atacar a la organización a evaluar, con una mente similar a la de ellos, para reforzar las seguridades de la cooperativa en cuestión. En la búsqueda por obtener acceso ilícito a los sistemas y a la información contenida en estos, por lo general se utilizan los siguientes pasos para cumplir el objetivo [2]. Reconocimiento. Scanning o Búsqueda. Acceso. Mantenimiento del acceso. Cubrimiento de huellas. Estos pasos son tomados del autor. 3 A continuación se detallan cada uno de los pasos mencionados durante el proceso de hackeo. 2 Tomado del libro de Tori C.: hacking-etico.pdf. 3 Tomado del libro de Tori C.: hacking-etico.pdf

20 Reconocimiento Se dice que el reconocimiento es la fase preparatoria donde un atacante busca obtener la mayor cantidad posible de información acerca de un blanco antes de lanzar el ataque. Esta fase puede involucrar escaneo de redes, ya sea interno o externo sin ningún tipo de autorizaciones [3]. Esta es la fase que permite al potencial atacante marcar una estrategia para el ataque, puede durar más tiempo que el calculado mientras el atacante espera desenterrar información que le sea útil. Un ingeniero social es una persona que usualmente obtiene información conversando con personas internas de la empresa, las cuales le pueden revelar números de teléfono que no están en el directorio, contraseñas o cualquier otra información que le sirva al individuo para avanzar en la fase de reconocimiento. Otra técnica utilizada en el reconocimiento incluye dumpster diving, que es el proceso de buscar o registrar la basura de las organizaciones para encontrar información relevante [15]. Los atacantes pueden usar el Internet para obtener información de una compañía, por ejemplo una búsqueda en la base de datos de WHOIS puede arrojar información de direcciones IP de Internet, nombres de dominio, contactos; además, si el atacante obtiene información DNS de la compañía registrado de ese dominio, automáticamente se hace acreedor de información muy útil como equivalencias entre nombres de dominio a direcciones IP, direcciones de servidores y equipos, entre otros [7]. Las organizaciones deben tener políticas apropiadas para proteger el uso de activos de la información, y también que les sirvan como pautas a los usuarios acerca del uso aceptable de los recursos, estas políticas pueden también servir para hacer a los usuarios responsables de sus actos. Las técnicas de reconocimiento se clasifican en reconocimiento activo y pasivo. Cuando un atacante hace su trabajo basándose en técnicas de reconocimiento pasivo, no interactúa con el sistema directamente, usará información obtenida en publicidad e ingeniería social, también utilizará información recogida a través del proceso de dumpster diving. Cuando el atacante usa técnicas de reconocimiento activas, él tratará de interactuar con los sistemas, usando herramientas para detectar puertos abiertos, equipos accesibles, ubicación de los routers, mapeo de red, y detalles de aplicaciones y sistemas operativos [2] Búsqueda La búsqueda o scanning se refiere a la fase antes del ataque en la cual el atacante busca en la red, con información específica obtenida durante la fase de reconocimiento. La búsqueda puede ser considerada como la consecuencia lógica del reconocimiento efectuado en la fase anterior. Usualmente los atacantes usan herramientas automatizadas como buscadores de subredes y equipos para ubicar los sistemas y tratar de descubrir vulnerabilidades [3]

21 Cualquier atacante puede obtener información de red crítica como mapeo de los sistemas, enrutadores y firewalls, usando herramientas simples como el comando traceroute. Los buscadores de puertos pueden ser usados para detectar puertos abiertos o puertos escuchando información para encontrar información acerca de servicios corriendo en el equipo objetivo. La técnica de defensa primaria es deshabilitando servicios que ya no son necesarios. Las herramientas más usadas en esta fase son buscadores de vulnerabilidades, los cuales pueden explorar el equipo atacado en búsqueda de miles de vulnerabilidades [1]. Las Organizaciones que implementan IDS (Sistemas de Detección de Intrusiones) que son los encargados de detectar actividades inapropiadas o anómalas desde el exterior o interior de un sistema informático, aún tienen razones para preocuparse, debido a que los atacantes usan técnicas de evasión en la capa de red y de aplicación como un NIDS (Sistema de detección de intrusiones de red), sistema que muy bien configurado no puede ser detectado [16] Obtención del Acceso Esta es la fase más importante de un ataque en términos de daño potencial. Los hackers no siempre necesitan tener acceso al sistema para causar daños; por ejemplo, los ataques de negación del servicio pueden abusar de los recursos de un servicio o detener el servicio en el sistema atacado; el detenimiento ataque del servicio puede realizarse matando el proceso, usando una bomba lógica, o reconfigurando y colapsando el sistema. Los recursos pueden ser extinguidos localmente sobrecargando los enlaces comunicación hacia el exterior [3]. Spoofing se refiere al uso de técnicas de suplantación de identidad generalmente con usos maliciosos, esta técnica es usada por los atacantes para causar un exploit en el sistema pretendiendo ser alguien más, o un sistema diferente. Se puede usar esta técnica para enviar paquetes de datos mal formados conteniendo errores al sistema objetivo para atacar una vulnerabilidad, además la inundación de paquetes de datos puede ser usado remotamente para parar la disponibilidad de servicios esenciales. Cabe recalcar que los Exploits son líneas de código que explotan una vulnerabilidad del sistema o parte de él, para aprovechar esta deficiencia en beneficio del creador del código. [17]. Los factores que influencian si un hacker puede acceder a un sistema dado incluyen arquitectura y la configuración del objetivo, nivel de habilidad del perpetrador y nivel inicial de acceso obtenido. El más dañino de los ataques de negación de servicio puede ser un ataque de denegación de servicio distribuido, donde un atacante usa software zombi, que es una aplicación que controla de forma remota una computadora en su totalidad, esta infección es distribuida en muchas máquinas en el Internet para enviar ataques de denegación de servicio a gran escala. El riesgo intrínseco cuando un atacante logra obtener acceso a un sistema es muy alto, ya que el intruso puede ganar acceso a nivel de sistema operativo, a nivel - 9 -

22 de aplicaciones, o a nivel de red; por consiguiente, accederá a varios sistemas en la misma red [18] Mantenimiento del acceso El hacker obtiene acceso al sistema objetivo, el atacante puede escoger si usar el sistema y sus recursos para luego enviar desde allí ataques para realizar scanning y exploits en otros sistemas, o para mantener un perfil bajo y continuar realizando exploits en el sistema actual. Ambas acciones tienen consecuencias dañinas a la organización, por ejemplo, el intruso puede instalar un sniffer, que es una aplicación que permite como tal capturar los paquetes que viajan por una red, incluyendo sesiones a telnet y ftp a otros sistemas [19]. Los atacantes generalmente deciden mantenerse en el sistema sin ser detectados, quitando evidencias de su entrada, y usando backdoors que se trata de aplicaciones que se introducen en el computador y establecen puertas traseras a través de la cuales es posible controlar el sistema afectado sin conocimiento por parte del usuario. Usualmente un atacante instala rootkits que son aplicaciones diseñadas para ocultar objetos como procesos, archivos o entradas del registro de Windows, es utilizado por los piratas informáticos para esconder evidencias y utilidades en los sistemas previamente comprometidos, los rootkits son instalados a nivel del núcleo del sistema operativo para obtener control como súper usuario, mientras un caballo de Troya o troyano obtiene acceso al nivel de aplicación, y se trata de un programa que llega al computador de manera encubierta aparentando ser inofensivo, que al ser instalado realiza determinadas acciones que afectan a la confidencialidad del usuario afectado. En la mayoría de sistemas Windows la mayoría de troyanos se instalan por sí solos como un servicio, y se ejecutan con el sistema local en la cuenta del administrador. Los intrusos pueden usar a los Caballos de Troya para transferir nombres de usuario, contraseñas, información de tarjetas de crédito almacenada en el sistema; además, pueden mantener el control sobre su sistema por largos periodos de tiempo, protegiendo el sistema de otros [20]. Las organizaciones pueden usar IDS o implementar Honeypots para detectar intrusos, lo cual no es recomendado a menos que la organización cuente con equipos de profesionales que puedan garantizar un ambiente seguro y protegido. Un honeypot es un sistema de seguridad informática que está diseñado como una trampa para los atacantes a la red informática de una organización, se utiliza para identificar, evitar y, en cierta medida, neutralizar los intentos de secuestrar sistemas y redes de información. Generalmente un honeypot es una computadora o un sitio de red que parecen ser parte de una red pero que en realidad están aislados, protegidos y monitorizados, y que parecen contener información o recursos que serían valiosos para los posibles atacantes. Los Honeypots sirven para recoger información sobre los atacantes y sus técnicas. Los Honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además permite un examen en profundidad del atacante, durante y después del ataque al honeypot [14]

23 Cubrimiento de huellas Ciertamente a un atacante le gustaría remover evidencias de su presencia y actividades por varias razones, entre ellas, el seguir manteniendo el acceso a los sistemas, evasión de castigos criminales, entre otras. Esto normalmente implica remover cualquier evidencia de los registros que son denominados logs del sistema; y reemplazando los archivos binarios ejecutables del sistema con troyanos, para que el administrador del sistema no pueda detectar el intruso en el sistema atacado. Una vez que los troyanos estén en su sitio, el atacante puede asumir que ha obtenido control total sobre el sistema [3]. Otras técnicas incluyen el ocultamiento de datos, dentro de imágenes y archivos de sonido; y tunneling que es una técnica que utilizan algunos virus para impedir la protección antivirus, el ocultamiento de datos toma ventaja del protocolo de transmisión que lleva un protocolo encapsulado en otro, ya que el espacio existente entre TCP y las cabeceras IP puede ser usado para esconder información. Un atacante puede usar el sistema como una fachada para enviar nuevos ataques en contra de otros sistemas, o usarlo para alcanzar otros sistemas no detectados en la misma red. Ha habido casos donde el atacante ha estado al acecho en los sistemas incluso mientras los administradores de sistemas han cambiado. Si las actividades de un atacante no son notificadas en los sistemas vulnerables los atacantes pueden pasar semanas, e incluso meses tratando de entrar por la fuerza a zonas más críticas, cosa que puede suceder comprometiendo el correcto funcionamiento y la seguridad de los sistemas vulnerables [20]. El hacker ético necesita investigar si se ha registrado tal o cual actividad y que medidas preventivas se han tomado, si existieren. Esto no le da solo un perfil indirecto de las habilidades del atacante, sino también un vistazo en las actividades relacionadas con la seguridad de la empresa que se encuentra evaluando. El proceso completo del hacking ético y el consiguiente parchado o arreglo de vulnerabilidades descubiertas, dependerá de las siguientes preguntas: Qué es lo que la organización está tratando de proteger, en contra de quién y que recursos están dispuestos a implementar para poder ganar dicha protección? [6] HERRAMIENTAS A lo largo de esta sección se describirán brevemente las herramientas que se utilizarán para el test de penetración en la red informática de la cooperativa CAJA HERRAMIENTA NMAP Nmap es una utilidad para explorar redes extensas, aunque también funciona en un único equipo; además, permite explorar diferentes protocolos, como UDP, TCP, ICMP, sin necesidad de tener algunos exploradores de puertos con diferentes interfaces y características. La interfaz gráfica de Nmap es Zenmap, esta interfaz funciona en los sistemas operativos Windows y Linux, de esta manera Zenmap es la interfaz con la cual se procede a realizar los escaneos de la red informática de la cooperativa. Siempre antes de llevar a cabo cualquier tipo de ataque se debe conocer una serie de detalles de los equipos que se quiere atacar. Y es así que para descubrir estos detalles se utilizan las siguientes fases [4]

24 Host Discovery Este es el primer paso que se debe seguir, siendo de gran ayuda para conocer que máquinas están activas dentro de una red o subred. El descubrimiento de host es un término que se usará para describir una determinada fase de un ensayo de penetración donde se intenta determinar los anfitriones accesibles en una red, muchas veces si un conjunto de reglas de cortafuegos está explícitamente escrito, es difícil determinar con precisión el número de hosts que están detrás de un firewall, un diagrama de red común en las organizaciones es el que se ilustra en la Figura 1, en el cual se observa que la red pasa por un firewall, además en la Figura 2 se observa el uso de Zenmap para aplicar Host Discovery [21]. Fig. 1. DIAGRAMA de red común de las organizaciones [21]

25 Fig. 2. HOST Discovery Port Scanning Entonces cuando ya se conocen las máquinas activas de la red, se comprueban los puertos abiertos que tienen para así poder conocer detalles sobre las aplicaciones que están ejecutando. Este paso es esencial ya que será muy útil para reducir el número de servicios que los equipos ofrecen de manera innecesaria y que debido a eso se convierten en una puerta de acceso para los atacantes. Como una medida de prevención de ataques es buscar las propias vulnerabilidades de la red informática para así cubrir esas falencias antes que lo atacantes consigan encontrarlas y explotarlas, en la figura 3 se ilustra el uso de Zenmap para aplicar Port Scanning [4]

26 Fig. 3. PORT Scanning Fingerprinting El tercer y último paso permite detallar las aplicaciones que se encuentran activas en un equipo remoto, así como el Sistema Operativo que se está ejecutando hasta los servicios que ofrece dicha máquina. El Fingerprinting más básico es un ping normal. Fijándose en el campo TTL se puede saber qué Sistema Operativo utiliza la máquina siempre y cuando no esté modificado, y esto es poco probable en la mayoría de los casos por no decir que en todos ya que nadie lo suele hacer, en la figura 4 se ilustra el uso de Zenmap para aplicar Fingerprinting [4]

27 Fig. 4. FINGERPRINTING COMANDO NSLOOKUP Nslookup es una herramienta administrativa de línea de comandos que se utiliza específicamente para probar los servidores DNS, de tal forma que se sabe concretamente su se están resolviendo correctamente los nombres y las IP. Este comando funciona tanto en Windows como en UNIX para obtener la dirección IP conociendo el nombre, y viceversa [26] HERRAMIENTA NESSUS Se define a Nessus como un analizador de seguridad de redes potente que cuenta con una amplia base de datos de plugins que se actualiza a diario, siendo así un programa de escaneo de vulnerabilidades que opera en diversos sistemas operativos y consiste en un daemon que es un tipo especial de servicio informático no interactivo que se ejecuta en segundo plano en vez de ser controlado directamente por el usuario, llamado nessusd, que realiza el escaneo en el sistema objetivo y Nessus el cliente basado en consola o gráfico, que muestra el avance e informa sobre el estado de los escaneos. Desde consola nessus puede ser programado para

28 hacer escaneos programados con cron. En operación normal, nessus comienza escaneando los puertos con nmap o con su propio escaneador de puertos para buscar puertos abiertos y después intentar varios exploits para atacarlo. Las pruebas de vulnerabilidad están disponibles como una larga lista de plugins, son escritos en NASL (Lenguaje de Scripting de Ataque Nessus), que es un lenguaje scripting optimizado para interacciones personalizadas en redes. Nessus permite realizar auditorías de forma remota en una red en particular y determinar si ha sido comprometida o usada de alguna forma inadecuada. Nessus también proporciona la capacidad de auditar de forma local un equipo específico para analizar vulnerabilidades, especificaciones de compatibilidad y violaciones de directivas de contenido [27] HERRAMIENTA METASPLOIT Metasploit es un proyecto open source de seguridad informática que proporciona información acerca de vulnerabilidades de seguridad y proporciona opciones para tests de penetración y desarrollo de firmas para sistemas de detección de intrusos. Inicialmente fue creado utilizando el lenguaje de programación de scripting Perl, aunque actualmente el Metasploit Framework ha sido escrito de nuevo completamente en el lenguaje Ruby. Su subproyecto más conocido es el Metasploit Framework, que es una herramienta para desarrollar y ejecutar exploits contra una máquina remota. Algunos otros subproyectos importantes son las bases de datos de opcodes que son códigos de operación, un archivo de shellcodes, e investigación sobre seguridad [28] HERRAMIENTA WHOIS WHOIS es un protocolo TCP basado en preguntas y repuestas que es usado para consultar de una base de datos para determinar el propietario de un nombre de dominio o una dirección IP en Internet. Cabe recalcar que las consultas WHOIS se han realizado usando una interfaz de línea de comandos, pero en la actualidad existen multitud de páginas web que permiten realizar estas consultas. Estas páginas siguen dependiendo internamente del protocolo WHOIS para conectar a un servidor WHOIS y hacer las peticiones, los clientes de línea de comandos siguen siendo muy usados por los administradores de sistemas. La interfaz WHOIS utilizada es la de Serversniff que se ilustra en el capítulo 2, ya con el desarrollo de la metodología de Hacking Ético en la cooperativa CAJA [7] HERRAMIENTA BURP SUITE La aplicación de escritorio Burp Suite es una plataforma integrada para la ejecución de pruebas de seguridad de aplicaciones web. Sus diversas herramientas funcionan conjuntamente para llevar a cabo todo el proceso de prueba, de cartografía y el análisis inicial de la superficie de ataque a una aplicación web, a través de la búsqueda y explotación de vulnerabilidades de seguridad existentes [30] COMANDO TRACEROUTE Traceroute es una herramienta de diagnóstico de redes que permite seguir la pista de los paquetes que van desde un host a otro, mediante sus saltos. Se obtiene además una estadística de las velocidades de transmisión de esos paquetes. Existe un programa llamado Visual

29 Route, desarrollado en multiplataforma Java que se utiliza para obtener una información gráfica de la ruta que siguen los paquetes desde el origen hasta su destino. Se usa la información generada por la orden tracert junto con la información obtenida de la base de datos RIPE para cada uno de estos nodos. La interfaz de VisualRoute se ilustra en el capítulo 2 ya con el desarrollo de la metodología de Hacking Ético en la cooperativa CAJA [5] HERRAMIENTA NETVU La herramienta NetVu es un aditivo verdaderamente esencial ya que genera automáticamente una topología de red precisa de las rutas de la red pública o privada, de esta manera identifica los puntos críticos de falla causados cuando múltiples rutas comparten dispositivos de enrutamiento comunes. Al visualizar múltiples redes en una sola figura NetVu ayuda a supervisar constantemente las rutas de red y localizar los puntos únicos de fallo. De forma Las actualizaciones del esquema cada vez que se realiza una nueva traza cuando se utiliza con la opción de rastreo continuo puede comprobar fácilmente el estado de la red mediante la visualización de los cambios en el esquema de direccionamiento. La interfaz de NetVu se ilustra en el capítulo 2, ya con el desarrollo de la metodología de Hacking Ético en la cooperativa CAJA [5] HERRAMIENTA GFI LANGUARD GFI LanGuard, es un software que permite analizar vulnerabilidades por puertos abiertos, aplicaciones ejecutándose en diferentes puertos, además permite comparar las actualizaciones de los equipos con las actualizaciones que publica el fabricante, cabe destacar que este es el principal problema de la organización, dado que en la mayoría de equipos se han desactivado las actualizaciones automáticas. Este análisis se centrara específicamente en los servidores que son una puerta indiscutible para los ataques más severos. La interfaz de GFI LanGuard se ilustra en el capítulo 2, ya con el desarrollo de la metodología de Hacking Ético en la cooperativa CAJA INYECCIÓN SQL Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos. La aplicación Sqlmap es una herramienta desarrollada en python para realizar inyección de código sql automáticamente. El objetivo principal es detectar y aprovechar las vulnerabilidades de inyección SQL en aplicaciones web. Una vez que se detecta una o más inyecciones SQL en el host de destino, se puede elegir entre una variedad de opciones entre ellas, enumerar los usuarios, los hashes de contraseñas, los privilegios, las bases de datos, o a su vez todo el volcado de tablas y columnas específicas del DBMS, ejecutar su propio SQL SELECT y leer archivos específicos en el sistema de archivos. La interfaz de Sqlmap se ilustra en el capítulo 2, ya con el desarrollo de la metodología de Hacking Ético en la cooperativa CAJA [3]

30 HERRAMIENTA PUTTY La herramienta PuTTY significa puerto único de tipo terminal y es un cliente SSH, Telnet, rlogin, y TCP raw, siendo un software de código abierto que está disponible con el código fuente y originalmente sólo para Windows, pero hoy en día también está disponible en varias plataformas Unix, y se está desarrollando la versión para Mac OS clásico y Mac OS X, además para plataformas como Symbian para teléfonos móviles. Es importante recalcar que es un software beta, escrito y mantenido por Simon Tatham, open source y licenciado bajo la Licencia MIT. Cabe mencionar algunas características de PuTTY a continuación. Almacenamiento de hosts y preferencias para uso posterior. Control sobre la clave de cifrado SSH, siendo un protocolo que funciona como un intérprete de órdenes segura, y sirve para acceder a máquinas remotas a través de una red, además permite manejar por completo una computadora mediante un intérprete de comandos. Clientes de línea de comandos SCP y SFTP que son protocolos del nivel de aplicación que proporcionan la funcionalidad necesaria para la transferencia y manipulación de archivos de manera segura usando el SSH. Control sobre el redireccionamiento de puertos con SSH, incluyendo manejo empotrado de reenvío X11. Completos emuladores de las terminales xterm, VT102, y ECMA-48. Soporte del protocolo IPv6. Soporte de las encriptaciones 3DES, AES, RC4, Blowfish, DES. Soporte de autentificación de clave pública. Soporte para conexiones de puerto serie local. Las características de PuTTY son tomadas del autor HERRAMIENTA MARATHON TOOL La herramienta Marathon Tool es exclusivamente para la aplicación de consultas pesadas para llevar a cabo un ataque de inyección SQL a ciegas a base de retardos de tiempo. Esta herramienta hoy en día está en su versión de prueba para extraer información de las aplicaciones web que utilizan Microsoft SQL Server, Microsoft Access, MySQL o bases de datos Oracle. Las características que soporta la aplicación son: Extracción del esquema de base de datos de SQL Server, Oracle y MySQL. 4 Tomado del sitio web de PuTTY:

31 Extracción de datos de Microsoft Access 97/2000/2003/2007 bases de datos. Inyección de parámetros utilizando HTTP GET o POST. Soporte SSL. Conexión proxy HTTP disponibles. Los métodos de autenticación: Anonymous, Basic, Digest y NTLM. Configuración flexible disponible para inyecciones. Estas características son tomadas del autor HERRAMIENTA CAIN & ABEL El software Cain & Abel es una herramienta de recuperación de contraseñas para el sistema operativo de Microsoft ya que permite una fácil recuperación de los diversos tipos de contraseñas por inhalación de red, craqueo de contraseñas encriptadas que utilizan ataques de diccionario, fuerza bruta y criptoanálisis que es la disciplina científica que se dedica al estudio de la escritura secreta, se refiere a que estudia los mensajes que procesados de cierta manera se convierten en difíciles o imposibles de leer por entidades no autorizadas, grabación de conversaciones VoIP, recuperación de claves de red inalámbrica, revelando cuadros de contraseña, el descubrimiento de contraseñas en caché y el análisis de enrutamiento de protocolos. Cabe recalcar también que este programa no explota ninguna vulnerabilidad de software o errores que no pudieron ser corregidos con poco esfuerzo. Cubre algunos aspectos de seguridad y debilidad presentes en las normas de los protocolos, métodos de autenticación y mecanismos de almacenamiento en caché, y su principal objetivo es la recuperación simplificada de contraseñas y credenciales de varias fuentes. Como una acotación este software fue desarrollado y es mantenido por Massimiliano Montoro [23]. Este software ha sido desarrollado exclusivamente para los administradores de redes, profesores y profesionales de la seguridad, personal forense, para llevar a cabo tests de penetración profesional y generalmente los que planean usarlo por razones éticas. La versión que se utiliza de este software contiene características adicionales como las que se van a citar a continuación. TAE (Arp Poison Routing), que permite rastrear en conmutación LAN y ataques Man-inthe-Middle, que son ataques en los que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. Se pueden analizar protocolos cifrados, como SSH-1 y HTTPS que son protocolos de red. 5 Tomado del sitio de Marathon Tool:

32 Contiene filtros para capturar las credenciales a partir de una amplia gama de mecanismos de autenticación Monitor de protocolos de enrutamiento de autenticación y rutas extractores. Diccionario y fuerza bruta para todos los algoritmos hash comunes y para varias autenticaciones específicas, La descripción y las características de este software se toman del autor EJEMPLO DE HACKING ÉTICO APLICADO Para citar un ejemplo de la vida real es preciso analizar el siguiente caso: Es ético ingresar en una casilla de correo electrónico ajena sin conocer su clave? Bajo las posibilidades que brinda el hacking ético por supuesto. Esa situación puede darse siempre y cuando la casilla de mail sea de alguien que lo haya autorizado como profesional ético, con el afán de demostrar que su organización es vulnerable. Como una casilla es personal quizás de un gerente o de un administrador de sistemas, posiblemente ese ingreso lleve a obtener acceso a un determinado lugar o a datos sensibles. Éstos a su vez, serán utilizados para lograr ingresar en un servidor y desde entonces hacia la red interna, con todo el riesgo que significa para una organización formal altamente informatizada [1]. Es de esta manera que se descubrirán pequeños descuidos que desde un lugar impensado pueden exponer a la empresa por completo. Sin embargo esta vez ese riesgo pasaría rápido a la historia, ya que se está hablando de un ejemplo de hacking ético, en donde el problema es intensamente buscado, descubierto, analizado, reportado y por último solucionado a la brevedad. Es así que para lograr algo similar se requieren dos elementos básicos: en principio una metodología para proceder. Esto es el resultado de un grupo de piezas previamente ensambladas: habilidades personales de lógica y creatividad, técnicas propias de un test de penetración, reconocimiento o relevamiento de todos los componentes del escenario y herramientas como un intérprete de comandos del tipo prompt o shell, un web browser y un editor de texto, al menos para este caso [2]. En segundo lugar se requiere autorización que es el elemento más importante. Esta autorización también tiene sus partes: un contrato de confidencialidad, coordinación, evaluación, procesos por seguir y todas las características internas por ejemplo, el compromiso de la gerencia para con el proyecto es vital o propias de las partes involucradas en este trabajo. Para resumir, se detalla un ejemplo del proceso de hacking ético. La organización desea saber si sus sistemas son realmente seguros. 6 Tomado del sitio web de Cain & Abel:

33 Seleccionar y contratar un servicio óptimo de hacking ético. Autorizar a realizar el trabajo mediante diversas pautas. Planificar estratégicamente cómo se realizará y el alcance que tendrá. El profesional, luego de llevar a cabo los análisis preliminares, realiza su tarea imitando al atacante real, pero sin comprometer dato alguno. Entonces analiza los resultados del test de penetración. Confeccionar un reporte detallado para que la organización lo evalúe. Solucionar lo vulnerable o mitigar lo potencial para dejar el sistema más seguro. Se reafirma la defensa del sistema en general. Se adoptan políticas de control y seguimiento como normativa. Estos ítems para un proceso óptimo, son tomados del autor INDICADORES OBTENIDOS DE HACKING ÉTICO Como indicadores en la mayoría de casos en las organizaciones, se tomará este resumen de resultados obtenidos a través de las pruebas de hacking ético en la intranet de una corporación X, estas pruebas permitieron detectar entre otras las siguientes vulnerabilidades generales para los equipos de la intranet, y se citan a continuación. Falta de actualizaciones de seguridad de Windows. Puertos abiertos innecesariamente. Carpetas compartidas no utilizadas. Impresoras compartidas sin la seguridad correspondiente. Red inalámbrica sin seguridad. 7 Tomado del libro de Tori C.: hacking-etico.pdf

34 Servicios Web en la intranet sin restricción de usuarios y Múltiples puntos de acceso al Internet. Estos indicadores se han obtenido del autor [6], y serán una verdadera guía para comparaciones con los resultados obtenidos en las pruebas de hacking ético, llevadas a cabo en la cooperativa para así tener una visión de en qué están fallando las corporaciones en materia de seguridad, y así tomar en cuenta estas falencias para el presente proyecto con la cooperativa CAJA

35 2. APLICAR EL HACKING ÉTICO PARA IDENTIFICAR LAS VULNERABILIDADES DE LA COOPERATIVA CAJA 2.1. PREPARACIÓN DE LOS EQUIPOS DE LA RED DE LA COOPERATIVA PARA LA POSTERIOR APLICACIÓN DEL HACKING ÉTICO Antes de que se proceda a ejecutar las pruebas de hacking ético es menester la previa recopilación y documentación de la situación actual de la red informática de la cooperativa, para tener una visión de los procesos que se aplicarán de acuerdo al esquema de red obtenido. A continuación se detalla cada red informática de la cooperativa con la respectiva información de cada uno de sus equipos RED DE LOS SERVIDORES Se realiza un análisis preliminar, con el fin de delimitar específicamente el ámbito de actuación y localizar las máquinas que se van a auditar en la red ( ) de la cooperativa CAJA, dado que los equipos conectados a la misma tienen asignadas diferentes direcciones IP en este rango. Dentro de la empresa se cuenta con cinco equipos configurados como servidores, la configuración de estos equipos se describe en la Tabla I. TABLA I DOCUMENTACIÓN DE LA RED DE SERVIDORES Autor: Adrián Ordóñez Nombre Función Software IP Servidor Web Cajeros Servidor COONECTA Servidor Página WEB Servidor de Archivos Servidor Mail DNS Servidor Web de la cooperativa, que cumple con las funciones de servidor de los cajeros automáticos de la cooperativa. Servidor de la Red COONECTA enlazada a la matriz Quito. Servidor d e l P o r t a l W e b d e l a C o o p e r a t i v a Windows 2003 Server con Service Pack 2, ejecutando los siguientes servicios IIS para el Servidor Web Windows 2003 Server con Service Pack 2, ejecutando los siguientes servicios SMTP, NTP, Wins, Dominio, nntp, msrcp. Sql, Kerberos. Windows 2003 Server con Service Pack 2, ejecutando los siguientes servicios http, ftp, smtpmsrpc, sql y vnc Servidor de Archivos de la Cooperativa. Windows Server 2008 con Service Pack Servidor Mail DNS de la Cooperativa. Windows Server 2008 con Service Pack 2. Servidor de Base de Datos SERVIDOR IBM SAS MODULE SERVIDOR CAJA IBM BLADE Servidor de Base de Datos de la Cooperativa. Windows Server 2008 con Service Pack 2. Servidores de Storage de la Cooperativa Servidores Cuchilla Virtualizados de la Cooperativa IBM IBM ;

36 RED DE CAJEROS DE LA COOPERATIVA Se realiza un análisis preliminar, con el fin de delimitar específicamente el ámbito de actuación y localizar las máquinas que se van a auditar en la red ( ) de la cooperativa CAJA dado que los equipos conectados a la misma tienen asignadas diferentes direcciones IP en este rango. Dentro de la empresa se cuenta con cinco equipos configurados como Cajeros, la configuración de estos equipos se describe en la tabla II. TABLA II DOCUMENTACIÓN DE LA RED DE CAJEROS Autor: Adrián Ordóñez Nombre Descripción Software Ip CAJERO DIEBOLD Agencia Totoracocha CAJERO DIEBOLD Agencia de Monay CAJERO DIEBOLD Agencia Remigio Crespo CAJERO DIEBOLD Agencia Gualaceo CAJERO DIEBOLD Matriz Cajero Automático de la Cooperativa Cajero Automático de la Cooperativa Cajero Automático de la Cooperativa Cajero Automático de la Cooperativa Cajero Automático de la Cooperativa Radius Radius Radius Radius Radius INTRANET DE LA AGENCIA MATRIZ DE LA COOPERATIVA En la intranet se realiza un análisis preliminar, con el fin de delimitar específicamente el ámbito de actuación y localizar las máquinas que se van a auditar en la red ( ) de la cooperativa CAJA dado que los equipos conectados a la misma tienen asignadas diferentes direcciones IP en este rango. Dentro de la empresa se cuenta con estos equipos configurados en la intranet, la configuración de estos equipos se describe en la tabla III y tabla IV, de los switchs CISCO SG y 3 COM respectivamente. TABLA III DOCUMENTACIÓN DE LA RED LOCAL (SWITCH CISCO SG ) Autor: Adrián Ordóñez Port Switch IP Nombre del Usuario Departamento Estado x SWITCH 3 COM SISTEMAS H DATOS 5 CONTABILIDAD H x DATOS 16 SISTEMAS. H x Reloj Biométrico COBRANZAS H

37 x DATOS 19 SISTEMAS. H x Auditorio GERENCIA. H Ángela Iñiguez ATENCIÓN AL CLIENTE H Sandra Román COBRANZAS. H x Switch de Cajas CAJAS. H x DATOS 25 SISTEMAS. H TABLA IV DOCUMENTACIÓN DE LA RED LOCAL (SWITCH 3 COM) Autor: Adrián Ordóñez Port Switch 1 IP Nombre del Usuario Departamento Estado Gabriela Aguilar CAJAS H María del Carmen Martínez Asistente Gerencia H X Switch Auditoria AUDITORIA H Eliana Espinoza CONTABILIDAD H X Iván Astudillo GERENCIA H Fernando Moreno Crédito y Cobranzas H X DATOS 22 SISTEMAS H DATOS 20 SISTEMAS H x SWITCH CAJAS CAJAS. H x Ing. Mauricio SISTEMAS H

38 Silvia Molina CREDITO H X Switch CISCO SISTEMAS H Fernando Tola CAJAS H x DATOS 20 SISTEMAS H EQUIPOS DE CAPA 2 Y 3 En toda la red de la cooperativa operan los siguientes equipos que se usan para enrutar las redes de las agencias, enlace de datos, comunicación con telconet, los mismos que se interconectan mediante un switch; la mayoría de estos equipos es de plataforma Cisco pero también en Hp y Ubiquiti, los mismos que se detallan en las tablas V, VI, VII y VIII. TABLA V DOCUMENTACIÓN DE EQUIPOS DE CAPA 2Y 3 (SWITCH HP V ). Port Switch IP Descripción Departamento Estado SERV. WEB CAJEROS SISTEMAS H SERV. COONECTA SISTEMAS H SERV. PAGINA WEB SISTEMAS. H SERV. EMPRESA ELÉCTRICA SISTEMAS H x.x ROUTER CISCO 2611XM SISTEMAS. H ROUTER RED AGENCIAS CISCO 861-W SISTEMAS. H ROUTER RED AGENCIAS CISCO 861-W SISTEMAS. H ANTENA SISTEMAS. H SWITCH CISCO 28 PORTS SISTEMAS. H

39 CHECK POINT 4200 SISTEMAS. H x.x SERV. INTEL CORE 2 DUO SISTEMAS. H TABLA VI DOCUMENTACIÓN DE EQUIPOS DE CAPA 2Y 3 (SWITCH CISCO S230028). Adrián Ordóñez. Port Switch IP Descripción Departamento Estado x.x SERV. INTEL CORE 2 DUO SISTEMAS H x.x SERVIDORES SISTEMAS H x.x SERV. SISTEMAS. H Check Point Port 4 SISTEMAS H x.x In RED SISTEMAS. H Check Point Port 2 SISTEMAS. H x.x ROUTER CISCO 2611 PUERTO 0/1 SISTEMAS. H x.x SERV HP V1920 SISTEMAS. H x CHECK POINT PORT 3 SISTEMAS. H TABLA VII DOCUMENTACIÓN DE EQUIPOS DE CAPA 2 Y 3 (ROUTER CISCO 2611). Puerto Ip Descripción Departamento Estado 0/ x.x SWITCH CISCO 28 PUERTOS SISTEMAS. H 0/ x.x SWITC DLINK SISTEMAS. H

40 TABLA VIII DOCUMENTACIÓN DE EQUIPOS DE CAPA 2 Y 3 (ROUTER CISCO 2611XM). Puerto Ip Descripción Departamento Estado 0/ x.x SWITCH HP 24 PUERTOS SISTEMAS. H 0/ x.x SWITCH D-LINK SISTEMAS. H MAPA DE RED Se realiza un levantamiento de la información de los equipos de la red capa 2 y 3 de la COOPERATVA CAJA. La información detallada en el mapa de la red se la muestra en la Figura 5 y a su vez la descripción de las funciones de cada uno de estos equipos en la Tabla IX. Fig. 5. MAPA de los equipos de capa 2 y 3 de la Cooperativa Caja

41 TABLA IX DESCRIPCION DE FUNCIONES DE EQUIPOS DE CAPA 2 Y 3. Marca Modelo Descripción S Switch de 28 puertos, para interconectar los servidores de la cooperativa. CISCO CISCO S Switch de 28 puertos, para interconectar el arreglo de discos duros blade de la cooperativa. HP V G Switch de 24 puertos, para interconectar los CAJEROS de la cooperativa. Checkpoint 4200 Firewall al cual se conectan los switchs de la cooperativa. Cisco 2611 Router TELCONET para conexión WAN entre la oficina matriz y sucursales de la cooperativa Cisco 2611xm Router TELCONET y AGENCIAS para conexión WAN entre la oficina matriz y sucursales de la cooperativa CISCO 800 Enrutador de las Agencias de la Cooperativa. ANTENA UBIQUITI NANO STATION 5 Antena que hace un punto a punto con otra Nano Station en ICTO_CRUZ para el Enlace de Datos, de estas antenas se encuentran en todas las agencias para el mismo enlace de datos AREAS A APLICAR EL HACKING ÉTICO EN LA COOPERATIVA ÁREAS DE TRABAJO En el Hacking Ético se tienen diferentes áreas en las que se debe enfocar el trabajo, es decir áreas específicas hacia donde se deben orientar las pruebas [6]. A continuación en la tabla X se enumeran algunas áreas de trabajo que serán analizadas y el detalle de cada una de ellas. TABLA X AREAS DE TRABAJO EN HACKING ÉTICO. Áreas Sistemas Operativos Red Detalles Se evalúan las vulnerabilidades asociadas a configuraciones internas de servidores y equipos cliente. Vulnerabilidades vistas desde el ámbito de las redes (LAN, WAN, Internet), es decir antenas, switchs, Access points, enrutadores, RAS (Servidor de Acceso Remoto). Web Se evalúan las vulnerabilidades actuales y potenciales de las plataformas Web de la organización

42 Bases de Datos Búsqueda de malas prácticas en configuraciones de bases de datos. Seguridad Física Nivel de seguridad de acceso físico a equipos, dispositivos de red y servidores. Personas Esta última área se logra a través de Ingeniería social, complementándola con las habilidades y conocimientos en inteligencia emocional. Se resume en intentos de obtener acceso físico y lógico a la información a través de la interacción con su recurso humano UTILIZACIÓN DE EQUIPOS ADECUADOS A LA RED INFORMÁTICA DE LA COOPERATIVA De acuerdo a los equipos de Capa 2 y 3 que son de plataforma Cisco, Hp y Check Point, además del sistema operativo que utilizan los servidores y los equipos de la intranet de la cooperativa, el cual es Windows en sus versiones Server, 7 y Xp, se llega a la conclusión de los siguientes puntos citados a continuación. Para realizar las pruebas en la red informática de la cooperativa, se va a utilizar un computador portátil Toshiba con procesador Intel Core I3 de 2.5 GHz, memoria RAM 8gb, disco duro de 750 gb, con sistema operativo Windows 7 Professional, al cual se le instalan las herramientas necesarias como son: Zenmap GUI, VisualRoute, GFI LanGuard, SolarWinds, PuTTY, Nessus, Metasploit Framework, Burp Suite, Marathon Tool y el Honeypot Valhala. Las pruebas se realizan mediante estas aplicaciones de manera remota y además tanto en la red cableada como en la red inalámbrica de la cooperativa. En la cooperativa no se cuenta con un mapa de red y tampoco con las claves de los equipos de Capa 2 y 3, es por esto que es necesario romper la seguridad de estos equipos y para esto se utiliza el mismo equipo portátil antes mencionado instalado el software PuTTY que emula a la configuración mediante consola para el acceso a los equipos Cisco, a esto se le agrega el cable de consola necesario para conectarse mediante el puerto Serial REVISIÓN DE LOS ESTÁNDARES DE LA RED INFORMÁTICA DE LA COOPERATIVA La IEEE (Instituto de ingenieros electrónicos y eléctricos) Es la encargada de fijar los estándares de los elementos físicos de una red, cables, conectores, etc. El comité que se ocupa de los estándares de computadoras a nivel mundial es de la IEEE en su división 802, los cuales se dedican a lo referente de sistema de red [8] TOPOLOGÍA DE LA RED INFORMÁTICA Para la red informática de la cooperativa se adopta la topología estrella extendida, enlazando varias topologías en estrella a un punto central que para el caso de la cooperativa es un switch

43 Cisco de capa 3, este tipo de redes informáticas tienen la característica de ser escalables para agregar más estaciones de trabajo o servidores según sean las necesidades de la cooperativa [8] ESTRUCTURA DE LA RED INFORMÁTICA Para la estructura de la red se usa cable categoría 6 (ANSI/TIA/EIA-568-B.2-1) cuya longitud máxima es 100 mts, siendo este tipo de red hoy en día una de las más usadas, por su fácil estructuración y control central, esta categoría alcanza frecuencias de 250 MHz en cada par y una velocidad de 1Gbps a una distancia de 100 Mts. Cabe recalcar que los conectores usados para el cableado son los comunes RJ-45. Las tarjetas de red de los equipos de computación propios de la cooperativa son 10/100/1000 de varios fabricantes [8] CONECTIVIDAD La calidad de la infraestructura de red existente la medimos por su funcionalidad. Se trata de un cableado de datos de categoría 6 que tiene alrededor de 10 años de uso, y que ese encuentra en buen estado, no ha existido ningún tipo de inconvenientes con el mismo en el transcurso de este tiempo RIESGOS Y DISPONIBILIDAD Actualmente no existen riesgos de perder información para la empresa. P u e s t o q u e la base de datos de los servidores se encuentran respaldada en arreglos de discos duros Blade, además los servidores se encuentran conectados a u n C h e c k P o i n t , el cual sirve para la seguridad de los datos al momento de la conexión de estos servidores al internet. Todos los equipos de computación y de interconectividad u bi cados en el cuart o frí o están protegidos por equipos UPS para tener un respaldo de energía eléctrica ANÁLISIS DE LAS MÁQUINAS QUE CONFORMAN LA RED DE DATOS Los equipos de computación que conforman la actual red de datos se describen a continuación: Los equipos de la intranet de la empresa (listados en la Tabla III y IV, a la vez mostrados en la Figura 6) tienen instalado el sistema operativo Windows XP Professional Service Pack 3 y Windows 7 Professional, con aplicaciones de oficina (Microsoft Office, Adobe Acrobat, Winzip, Google Chrome, Mozilla Firefox). Todos los equipos cuentan con software antivirus (que se actualiza a diario desde el Internet), y firewall integrado de Windows

44 RECURSOS HUMANOS: EXISTENCIA, ORGANIZACIÓN Y CAPACITACIÓN En la red de la cooperativa actualmente existe un operario por máquina. La red es administrada por el jefe del departamento de sistemas de la empresa, el cual asigna permisos, configura los equipos, y realiza tareas de mantenimiento preventivo y correctivo a los equipos CONTROL DE LOS MEDIOS DE LA RED El nivel de control que existe sobre los medios de la red tanto de conectividad como equipos de usuario es a nivel de inventarios; dicha información no se encuentra documentada ni peor aún existe un soporte digital. Esta información es importante puesto que es utilizada para verificación cuando se realizan tareas de mantenimiento en los equipos, en el transcurso de este trabajo se documentará toda esta información para que la cooperativa tenga el debido soporte que necesita DOCUMENTACIÓN La documentación en la empresa se lleva de una manera detallada por el departamento de sistemas, el cual documenta todos y cada uno de los procesos que realiza la organización en todos los departamentos MAPA COMPLETO DE LA RED INFORMATICA Se realiza un levantamiento de la información de todos los equipos informáticos que conforman la red de la COOPERATVA CAJA. El mapa de la red completo se ilustra en la Figura

45 Fig. 6. MAPA de los equipos informáticos de la Cooperativa Caja

46 2.5. ACTUALIZACIÓN DE APLICACIONES USADAS EN LA COOPERATIVA PARA HACKING ÉTICO Las aplicaciones que se usan para las pruebas de hacking ético, en sus más recientes versiones son las siguientes: Zenmap GUI 6.25, VisualRoute 2013, GFI LanGuard 2014, SolarWinds , Nessus 2.0, Metasploit Framework Console v , Burp Suite Free v1.5, Marathon Tool , el Honeypot Valhala 1.8 y PuTTY Estas herramientas deben estar con sus últimas actualizaciones debido a la necesidad de que el firewall, antivirus, antispyware o antimalware que obviamente se encuentran actualizados, no detecten los ataques generados por estas aplicaciones y de esta forma actuar como un hacker malicioso. Entonces se procede a descargar las correspondientes actualizaciones. Cabe recalcar que en la computadora desde la cual se generan los ataques es necesario deshabilitar el antivirus para que puedan funcionar correctamente ciertas herramientas. Luego de analizar el funcionamiento y conformación de la red, se procede a ejecutar las respectivas pruebas de intrusión; para lo cual, el cliente no proporciona información sobre la estructura de sus sistemas. Es el equipo de seguridad que realiza la auditoria el que debe obtener esta información. De esta forma, las pruebas de Intrusión son más objetivas y siguen las mismas pautas que si un hacker estuviese intentando atacar los sistemas de la empresa. S o n utilizadas las mismas técnicas que los hackers pero de forma ética como se explicó anteriormente. Las pruebas de intrusión se llevan a cabo desde el 24 de julio al 24 de septiembre del 2013, incluyen pruebas y ataques remotos, además tanto desde la red LAN cableada y desde la red LAN inalámbrica, como se estableció anteriormente APLICAR EL HACKING ÉTICO A LA RED INFORMÁTICA DE LA COOPERATIVA CAJA METODOLOGÍA PARA APLICAR EL HACKING ÉTICO EN LA RED INFORMÁTICA DE LA COOPERATIVA Antes de aplicar cualquier técnica o software lo principal es establecer una metodología a utilizarse para la realización de Pruebas de Hacking Ético, ésta metodología es escogida de acuerdo a las necesidades que tiene actualmente la cooperativa y está basada en la metodología OSSTMM (Open-Source Security Testing), que presenta de una manera clara y precisa todos los principales procedimientos que debe realizar y tener en cuenta un auditor de seguridad de redes informáticas, ésta metodología se ajusta a la estructura actual de la

47 red informática; además, contiene todos los pasos que se van a seguir para realizar las pruebas de hacking ético, la metodología se detalla en la Tabla XI [3]. TABLA XI PASOS PARA REALIZAR PRUEBAS DE HACKING ÉTICO. Autor: Adrian Ordóñez. Paso Título Descripción 1 Planeación de la auditoria El equipo encargado de realizar las pruebas lleva a cabo este paso, su propósito incluye: Alistamiento del grupo de trabajo. Recopilación de Herramientas. Planeación de una estrategia de ataque. 2 Recopilación de Inteligencia Este paso es generalmente llamado la fase de foot printing. Es donde se obtiene toda la información relevante de la compañía, para ser utilizada en los pasos consiguientes cuando se intente obtener y ganar acceso a los sistemas, se utilizaron v a r i a s t é c n i c a s para Footprinting entre ellas NMAP. 3 Búsqueda de Vulnerabilidades Scanning (Enumeration) 4 Explotación (Obtención del Acceso) 5 Mantenimiento del Acceso 6 Escritura del reporte Esta fase consiste en buscar y probar los diferentes sistemas y listar los puertos abiertos y aplicaciones ejecutándose en los mismos. Este paso incluye listar las cuentas de usuario y recursos compartidos en los computadores. Algunas veces este paso se lo realiza por separado: buscar sistemas y equipos; y listar los recursos existentes en los mismos, para ello se utilizará la herramienta Nessus y GFI Lan Guard. La obtención del acceso a los sistemas es una tarea ardua y pacienciosa, y a menudo infructuosa. Esta fase puede utilizar casi cualquier herramienta o método para obtener acceso, tales como: Exploits Acceso vía Internet Acceso vía Dial-Up Ingeniería social Acceso Inalámbrico Denegación de servicios Ataques por (SPAM) Troyanos Dumpster diving Para esto se utilizarán herramientas como Metasploit. Luego que las personas que realizan las pruebas obtienen el acceso a un sistema, pueden necesitar regresar al paso anterior para completar más pruebas. Este paso incluye la instalación de aplicaciones de puerta trasera para permitir un fácil regreso al sistema ingresado en futuros intentos. Este paso simula un escenario donde las puertas traseras han sido maliciosamente instaladas y determina si las medidas de seguridad actuales son suficientes para detectarlas. En esta fase se compila y ensambla todo lo que se ha encontrado en un documento. Este es el producto que será presentado a la cooperativa. Este paso consume una parte significativa de todo el tiempo que duran las pruebas en conjunto. 7 Presentación y planeación a futuro Luego de que el equipo realice las pruebas, y lo presente al cliente, debe programar las mismas pruebas realizadas a futuro, para asegurarse que el cliente no se ha vuelto vulnerable a debilidades futuras y a fallas que pudieran ocurrir. Aplicando la metodología antes expuesta, se procede a desarrollar cada uno de los pasos detallados en la misma, comenzando con la planeación del ataque que se detalla a continuación

48 PLANEACIÓN DE LAS AUDITORIAS Planeación de la Auditoria a la seguridad perimetral Esta fase es el punto de partida en el cual se planea la estructura de la auditoria remota, para esto se diseña un diagrama de red, el cual describe una visión del atacante para infringir la seguridad perimetral de la red informática de la cooperativa, esto se observa en la figura 7. A continuación se detallan los pasos para esta auditoría. La Recopilación de Inteligencia, que se conforma por la Recolección de Información del Dominio, la Recopilación de DNS del Dominio, la Aplicación del comando Traceroute, y la aplicación del comando NSLOOKUP. La Búsqueda de vulnerabilidades, conformada por la aplicación de la herramienta NESSUS. Los Ataques, que se enfocan a la explotación de los servidores más importantes de la cooperativa entre ellos el servidor web, el servidor de Base de Datos, el servidor Ftp y el servidor Mail. Fig. 7. DIAGRAMA de la Red Perimetral de la cooperativa CAJA

49 Planeación de la Auditoria local Después de realizar la auditoria remota a la red informática de la cooperativa, hace falta realizar una auditoría desde el sitio mismo en cuestión debido a que mediante este tipo de auditorías se puede obtener información y acceso a todas las subredes y equipos informáticos de las mismas, en especial a las redes que pertenecen a cada sucursal de la cooperativa y a la intranet de la sucursal matriz, a continuación se detallan las fases para la auditoría local. La búsqueda de vulnerabilidades, para esta fase se aplica técnicas de Scanning y Enumeration usando la herramienta GFI Languard. A esto se suma un reporte de los resultados obtenidos de cada subred de la cooperativa CAJA. La obtención del acceso, para esta fase se utiliza técnicas de password cracking a los equipos de capa 2 y 3, y a los servidores de la cooperativa CAJA RECOPILACIÓN DE INTELIGENCIA Recolección de Información del Dominio Mediante la herramienta WHOIS, se procede a obtener la información del dominio caja.com.ec, la información consta de los datos de la persona a la que se encuentra registrado el dominio y se cita a continuación. Dominio: caja.com.ec Creado: 17 Feb 2012 Modificado: 01 Mar 2013 Expiración: 17 Feb 2014 Nombres de los Servidores: srv1.telconet.net srv2.telconet.net Información de Registro Nombre Registrado: NIC.EC Registrar Dirección: Av. 9 de Octubre 100 y Malecón

50 Oficina 2204 Guayaquil, Guayas País: EC Registrante: Nombre: Pablo López Organización: Escala Dirección: Edificio Casales del Sol. Rafael Fajardo y Pasaje Cordero. Dep.401 Cuenca, Azuay EC sucolopez@hotmail.com Número de Teléfono: Contacto Admin: Nombre: Pablo López Malo Organización: PABLO ESTEBAN LOPEZ MALO Dirección: HUMBOLT 1-75 Y AV. DE LA AMERICAS Cuenca, Azuay EC info@neoingenieria.com Número de Teléfono: Datos obtenidos desde el sitio WHOIS [7]

51 Recopilación de DNS del Dominio La recopilación de los DNS de la cooperativa se obtiene mediante consultas a la herramienta ServerSniff, la interfaz de la misma se ilustra a continuación en la figura 8. Fig. 8. RECOPILACIÓN de DNS del Dominio. Las direcciones ip que se citan a continuación corresponden a los routers del ISP Telconet S.A. que están a cargo de caja.com.ec e.root-servers.net del dominio n1.nic.ec. srv1.telconet.net srv2.telconet.net NS-Record(s) for domain caja.com.ec: srv2.telconet.net srv1.telconet.net Datos obtenidos del sitio ServerSniff [25] Aplicación del Comando Traceroute Se procede a detallar en la siguiente gráfica los resultados obtenidos haciendo un traceroute al sitio web de la cooperativa CAJA mediante el Software VisualRoute 2010, este

52 paso brinda una perspectiva de los saltos que se tienen que atravesar para intentar llegar a la ip pública de la cooperativa, la interfaz de la aplicación se observa en la Figura 9. Fig. 9. TRACEROUTE al Sitio Web de La Cooperativa Caja Informe obtenido del comando Traceroute. Este rastreo fue iniciado en 11/08/ :41:18 PM. El destino no pudo ser alcanzado debido a que no responde a paquetes diagnósticos de VisualRoute. Sin embargo, no responde a http pruebas en puerto 80. No hay información disponible para determinar el salto que sigue, el salto 7, esto normalmente indica un cortafuego a tal punto. La búsqueda de DNS terminó casi instantáneamente (menos que 2ms - puede ser el resultado de caché), en la Tabla XII se observa el informe completo [5]

53 TABLA XII INFORME DE TRACEROUTE. Saltos Pérdidas IP Nombre Locación Tzone Avg ms Min ms Max ms Red Admin [Local Network] [Local Network] [Local Network] [Local Network] [Local Network] [Local Network] host cue.telconet.net (Ecuador) Telconet S.A Aplicación de la herramienta NetVu de VisualRoute En la Figura 10 se observa la gráfica de red generada por NetVu, en la que se ilustra de forma más detallada los saltos y los obstáculos que se tienen que atravesar para llegar a la red informática de la cooperativa. Fig. 10. GRÁFICA generada por NetVu (Cooperativa Caja) Aplicación del Comando Nslookup Se procede a aplicar este comando para obtener información relacionada con el dominio caja.com.ec, esto se realiza mediante consultas usando el argumento set, obteniendo así información relacionada con los distintos servidores del dominio de la cooperativa, este paso se puede observar en la figura 11, estos nombres de los servidores se utilizarán posteriormente para efectuar los ataques correspondientes a cada uno de ellos

54 Fig. 11. CONSULTAS mediante comando Nslookup (Cooperativa Caja) BÚSQUEDA DE VULNERABILIDADES Aplicación de la herramienta Nessus La interfaz de esta herramienta se manejó en un explorador web, en primer lugar se crean políticas, en este caso para el dominio CAJA, se utilizó la prueba de vulnerabilidades para el sitio web de la cooperativa tal y como se observa en la figura 12 donde se establece la política. En segundo lugar se procede a generar el escaneo de esta política tal y como se observa en la figura 13. Por último al terminar el proceso de escaneo se genera el reporte con las vulnerabilidades y avisos encontrados esto se observa en la figura

55 Fig. 12. POLITICA de Prueba de Vulnerabilidades al sitio web de la cooperativa. Fig. 13. ESCANEO de la política de prueba de vulnerabilidades al sitio web de la cooperativa

56 Fig. 14.REPORTE del Escaneo de la política de prueba de vulnerabilidades al sitio web de la cooperativa. Ahora en la tabla XIII se detalla el informe de advertencias generadas por Nessus, mismo en el que se encuentra importante información sobre los servidores, que servirá para iniciar los ataques hacia los mismos. TABLA XIII INFORME DE NESSUS. Plugin Sinopsis Hosts Detección de Servicio El servicio remoto podría ser identificado (tcp/21) Un servidor FTP se está ejecutando en este puerto (TCP/80) Un servidor Web se está ejecutando en este puerto. SYN scanner Nessus Detección del servidor FTP Tipo HTTP del servidor y versión Mirroring Web Es posible determinar que los puertos TCP están abiertos. Un servidor FTP está escuchando en este puerto. Un servidor Web se ejecuta en el host remoto. Nessus arrastró el sitio web remoto (tcp/21) 21/tcp puerto resultó ser abierta (TCP/80) 80/tcp puerto resultó ser abierta La pancarta FTP remoto es: 220-FileZilla Server versión beta 220-escrito por Tim Kosse gmx.de) 220 Por favor, visite El tipo de servidor web remoto es: Microsoft-IIS/5.1 Webmirror realizado 43 consultas en 4s ( consultas por segundo) La siguiente CGI se han descubierto: + CGI: / contenido.aspx Métodos: GET Argumento: IDS Valor: 3 Valor: 11 Valor: 12 Valor: 14 Valor: 4 Valor: 15 Valor: 16 Valor: 17 Valor: 5 Valor: 27 Valor: 8 Valor: 24 Valor: 25 Valor: 26 Valor: 6 + CGI: / contacto.aspx

57 Métodos: POST argumento: EVENTARGUMENT Argumento: EVENTTARGET Argumento: VIEWSTATE Valor: ctl00 $ ContentPlaceHolder1 $ Button1 Valor: Enviar Argumento: ctl00 $ $ ContentPlaceHolder1 $ciudad Argumento: ctl00 $ ContentPlaceHolder1 $ Argumento: ctl00 $ $ ContentPlaceHolder1 $Nombre Argumento: ctl00 $ ContentPlaceHolder1 $ PAIS Argumento: ctl00 $ $ ContentPlaceHolder1 $telefono Enumeración Directory Server Web Resolución del Nombre de dominio completo (FQDN) HTTP Métodos (por directorio) Es posible enumerar directorios en el servidor web. Se pudo resolver el nombre del host remoto. Este plugin determina que se permiten los métodos HTTP en varios directorios CGI (TCP/80) Se descubrieron los siguientes directorios: / _notes / css, / scripts Si bien esto no es, de por sí, un error, usted debe inspeccionar manualmente estos directorios para asegurarse de que están cumpliendo con la empresa las normas de seguridad Los siguientes directorios necesitan autenticación: / impresoras Hosts (tcp / 0) resuelve como anfitrión cue.telconet.net. Con base en la respuesta a una solicitud de OPCIONES de métodos HTTP se permiten los siguientes: COPY GET HEAD LOCK PROPFIND SEARCH TRACE UNLOCK OPTIONS en las siguientes rutas: / /Scripts /Scripts/fechas /_notes /css /imgs /scripts /v2 /v2/css /v2/nivo /v2/nivo/themes /v2/nivo/themes/default /v2/prettyphoto /v2/superfish /v2/superfish/css /v2/supersized Plataforma Común Enumeración (CPE) Es posible enumerar los nombres de CPE que coincidían en el sistema remoto (tcp / 0) Siguiendo CPE acorde con la aplicación en el sistema remoto: cpe :/ a: microsoft: IIS: 5.1 -> Microsoft IIS Nombre de host inconsistente y dirección IP Nombre de host del host remoto no es consistente con la información de DNS (tcp / 0) El nombre de host "host cue.telconet.net 'no se resuelve a una dirección IP ATAQUE A LA SEGURIDAD PERIMETRAL En primer lugar se describen detalladamente los ataques a los servidores de la cooperativa que dieron resultado, que son los ataques al servidor web y al servidor mail, a continuación se detallan

58 Ataque al servidor Web de la cooperativa Para iniciar el ataque, cabe aclarar que los métodos HTTP son fundamentales para que los clientes puedan comunicarse eficientemente con los servidores, se encuentran definidos como parte del protocolo HTTP así que son independientes de la plataforma del servidor. Son útiles para que un cliente pueda realizar varios tipos de operaciones sobre el servidor web en el caso de que un servidor web no se encuentre debidamente configurado y permita el uso público de algunos de estos métodos que permiten manipular la estructura del servidor. Los métodos HTTP son PUT, COPY, MOVE o DELETE que permiten que un cliente pueda subir contenidos, copiar, mover o eliminar elementos existentes en el servidor, estos métodos pueden ser utilizados por los atacantes para subir una webshell que es un código malicioso que permite ejecutar comandos en la Shell del servidor, de tal forma que se pueden eliminar páginas o modificar contenidos existentes, es por esto que se comprobará que el servidor web de la cooperativa esté correctamente configurado. De igual manera se tiene que comprobar que se encuentre correctamente configurada WebDAV, que es una extensión del protocolo HTTP que permite a los usuarios utilizar los servidores web como un recurso donde se pueden crear, modificar y/o eliminar documentos. El objetivo de este protocolo es permitir a los usuarios compartir sus documentos de forma centralizada añadiendo algunos métodos y cabeceras adicionales al protocolo HTTP estándar, tales como COPY y MOVE, es posible utilizar un mecanismo de autenticación y autorización que permitirá que solamente usuarios legítimos puedan realizar determinadas acciones tan riesgosas como subir ficheros al servidor web, pero los beneficios de WebDav pueden ser contraproducentes desde el punto de vista de la seguridad del servidor web si no se toman las medidas oportunas [29]. Ahora bien, una vez que se aclararon estos términos se procede a comprobar el estado del protocolo WebDAV, en el servidor web de la cooperativa, esta prueba se realiza mediante la consola de Metasploit Pro, tal y como se observa en la figura

59 Fig. 15. METASPLOIT comprobación de protocolo Webdav habilitado. La consola de Metasploit genera el informe de que efectivamente se encuentra habilitado el protocolo WebDAV en el sistema operativo Microsoft-IIS/5.1 del servidor y además resuelve la ip privada del servidor local: Es ahora cuando se intenta ejecutar el exploit para la plataforma antes obtenida. Para este exploit se utiliza ingeniería inversa para lo cual se emplea la ip privada y la ip remota que en este caso sería la ip pública de la cooperativa, con esto se establece una conexión con el servidor web, el exploit utilizado es el multi handler que se utiliza para el tipo de servidor web remoto Microsoft-IIS/5.1, la aplicación del exploit se observa en la figura 16. El resultado obtenido muestra que el exploit falló en su ejecución, esto se debe en la mayoría de los casos a la seguridad de autenticación que los sitios web de las organizaciones con seguridad avanzada tienen configurado el WEBDAV para no permitir el acceso remoto al servidor por parte de los usuarios con privilegios para manejar métodos http

60 Fig. 16. EXPLOTACIÓN mediante ingeniería inversa. Ahora bien, es cierto que lo métodos http en el sitio web de la cooperativa están restringidos, pero utilizando la interfaz de Burp Suite se obtiene el código de programación del sitio web, esto se observa en la figura 17. Fig. 17. CÓDIGO de programación del sitio web de la cooperativa

61 Ataque al servidor Mail Para atacar a este tipo de servidores se comienza iniciando una sesión del protocolo de red telnet en cmd, cabe aclarar que telnet debe ser anteriormente activado en Windows 7. Una vez iniciada la sesión telnet se procede a establecer la comunicación del servidor mail de la cooperativa con el puerto requerido, para este caso se utilizan los puertos SMTP #25 y POP3 #110 que sirven para enviar y recibir mensajes respectivamente, esto se observa en la figura 18 Cabe acotar que el nombre del servidor mail de la cooperativa, el cual es mail.caja.com.ec se obtuvo previamente por medio de consultas nslookup, esto se ilustra en la Figura 19. Fig. 18. SESIÓN Telnet con el servidor mail de la cooperativa CAJA. Fig. 19. OBTENCIÓN del nombre del servidor mail de la cooperativa CAJA Una vez establecida la conexión con el servidor mail, si el comando funciona se recibe una respuesta del servidor SMTP en otra pantalla en la cual se ilustra la existencia de un Check Point, del cual se obtiene la ip mediante verbos SMTP, en este caso se utilizó EHLO en lugar de HELO, la utilización de uno de los dos depende del saludo del servidor configurado, tras algunos intentos el verbo EHLO es reconocido descifrando además la ip

62 del mismo , una vez que lo ha reconocido se pueden enviar correos ficticios como se observa en la Figura 20. Debido a que se tiene la opción de establecer como remitente cualquier cuenta de correo bajo cualquier dominio, se asigna una cuenta ficticia en este caso de alto rango en la cooperativa, se pueden enviar correos a las cuentas de la cooperativa para redirigir a los usuarios a páginas web en las cuales se les pide información como cuentas o contraseñas; esto se conoce como ingeniería social, estos correos enviados tendrán una aceptación confiable debido a que se envían desde el servicio SMTP propio de la cooperativa. Cabe acotar que toda la información ingresada en el momento de enviar el correo se obtuvo mediante técnicas de recopilación de inteligencia obtenida del sitio web de la cooperativa. Fig. 20. COMUNICACIÓN con el servidor Smtp de la cooperativa CAJA Ataques a los servidores de la cooperativa sin Resultados En segundo lugar para detallar los ataques desde el exterior que no tuvieron resultados se realiza la Tabla XIV. TABLA XIV ATAQUES SIN RESULTADOS. Nombre del Ataque Descripción del Ataque Causa del Mal Resultado Ataque al servidor de Base de Datos mediante Inyección Sql Para atacar a este tipo de servidores lo primero que se realiza es generar retardos de tiempo para cerciorarse que la tabla que se cree que es la que trabaja en el servidor de base de datos de la cooperativa es la correcta, esto se realiza mediante un No se obtiene un retardo de tiempo tras usar incontables nombres de tablas posibles, esto se debe a una de las siguientes causas: LA APLICACIÓN TIENE ASIGNADOS PRIVILEGIOS MÍNIMOS: Las cuentas

63 explorador web ingresando al sitio web de la cooperativa, este método se denomina Time-Based Blind SQL Injection. Para que la tabla exista y contenga algún registro, se tiene que pausar la respuesta de la página web un tiempo de 5 segundos, para esto se usan sentencias específicas para Microsoft SQL Server, que es la plataforma utiliza el servidor de base de datos de la cooperativa. asignadas sólo pueden acceder a los objetos necesarios de la aplicación, no se puede conectar como usuario SA o como administrador. LA APLICACIÓN TIENE VALIDADAS LAS ENTRADAS: En este caso solo se aceptan números para que los usuarios se logueen, esto se encuentra validado. Ataque al Servidor de Base de Datos mediante consultas Pesadas Se procedió a realizar consultas pesadas SQL para generar tablas y columnas de la base de datos, este proceso se realiza mediante la herramienta Marathon Tool especificando la plataforma que en este caso es Microsoft SQL Server, que genera consultas pesadas automatizadas a la base de datos de la cooperativa CAJA. Las consultas pesadas que se realizaron al servidor de base de datos no pudieron revelar tablas ni columnas, esto se debe a que este la aplicación web dispone de seguridades optimizadas, como las siguientes: EMPLEO DE PROCEDIMIENTOS ALMACENADOS: El uso de procedimientos almacenados y el aceptar los datos del usuario como parámetros en lugar de aceptarlos como comandos sql, limita la posibilidad de este tipo de ataques. Ataque al Servidor Ftp mediante Exploits Se utiliza Metasploit Framework primeramente para obtener la plataforma y la versión que utiliza el servidor FTP, luego se procede a buscar un exploit para la plataforma del servidor FTP la cual es FileZilla y se prueba con todos los exploits posibles UTILIZAR COMILLAS DOBLES EN LUGAR DE SIMPLES: En el archivo que procesa los datos de entrada del usuario los desarrolladores reemplazan las comillas simples por comillas dobles, dado que las comillas simples finalizan las expresiones SQL, y posibilitan la entrada de expresiones de más potencia, truncando la técnica de consultas pesadas. La aplicación de los exploits tras un sinnúmero de pruebas, falló en los intentos de conexión, esto se debe al rechazo por parte del host servidor. Ataque al Servidor Ftp mediante Fuerza Bruta. Debido a que no se obtuvo resultados mediante la anterior aplicación de exploits se procede a aplicar un ataque de fuerza bruta mediante archivos de diccionarios predeterminados de usuarios y claves, que revelan estas credenciales conjuntamente con los privilegios de cada uno. El ataque es abortado por el software del servidor ftp AUDITORÍA LOCAL Búsqueda de Vulnerabilidades Scanning y Enumeration Una vez obtenidos los saltos que pasan para llegar a la red informática de la Cooperativa, se procede a utilizar software para buscar las direcciones IP de la organización y nombres de equipos por NETBIOS, este es el punto de partida de las pruebas, ya que con esta información se puede obtener un mapa detallado de la misma [3]. Para descubrir las direcciones IP y nombres de NETBIOS se realiza un análisis mediante GFI LanGuard. Este análisis se centrara específicamente en los servidores que son una puerta indiscutible para los ataques más severos. Antes de observar el modo de aplicación de GFI

64 Lan Guard y los resultados del análisis realizado a las redes de la cooperativa CAJA, se cita una tabla con los protocolos y puertos más utilizados por los atacantes para irrumpir las redes que se detallan en la tabla XV. TABLA XV PROTOCOLOS Y PUERTOS MÁS COMUNES. Puerto Servicio Protocolo 20/21 FTP TCP 22 SSH TCP 23 Telnet TCP 25 SMTP TCP 53 DNS TCP/UDP 69 TFTP UDP 80 HTTP TCP 110 POP3 TCP 135 RPC TCP 161/162 SNMP UDP 1433/1434 MSSQL TCP Aplicación de la Herramienta Gfi LanGuard Para realizar los escaneos en las diferentes redes de la cooperativa, se encuentra con la siguiente interfaz, en la cual se procede a configurar el target, en donde se ingresa el rango de Ip, de cuya red a la cual se desea escanear y posteriormente se procede a dar click en Scan, esto se puede observar en la Figura 21. Fig. 21. CONFIGURACIÓN de Escaneo en GFI LanGuard

65 Una vez que ha terminado el escaneo tras varios minutos, se obtienen los siguientes resultados como son los puertos abiertos de los equipos vulnerables de la red escaneada, esto se puede observar en la Figura 22. Fig. 22. INFORME de puertos abiertos escaneados en la red informática de CAJA. Dentro del informe de cada equipo también se encuentran las vulnerabilidades en todos los grados como lo son altas, bajas, medias y potenciales, esto se observa en la Figura 23. Fig. 23. INFORME de vulnerabilidades escaneadas en la red informática de la cooperativa

66 Por otra parte se presenta la información de software y hardware del equipo, es decir su sistema operativo y demás aplicaciones, así como los dispositivos del equipo, ver Figura 24. Fig. 24. INFORME de hardware y software escaneados en equipos de la red informática de la cooperativa. Además el informe también se muestran los nombres NETBIOS, a los que se encuentra enlazado el equipo, esto se observa en la Figura 25. Fig. 25. INFORME de nombres NetBIOS escaneados en la red informática de la cooperativa

67 RESULTADOS OBTENIDOS Una vez que se tiene una concepción en cuanto se refiere a la aplicación y los informes que se obtiene a través de GFI LanGuard, se procede a realizar el reporte completo de resultados obtenidos que se encuentran en la diferentes Tablas que se presentan a continuación, en las mismas que se presenta un resumen de resultados obtenidos en los tests que se han efectuado en las distintas redes informáticas de la cooperativa, se comienza por la Red de los Servidores detallada en la tabla XVI, por la importancia que representa esta área no sólo para la cooperativa sino para cualquier organización, en el hecho de prevenir ataques maliciosos Resultado en la Red de Servidores TABLA XVI RED DE SERVIDORES DIRECCIÓN IP PUERTOS ABIERTOS VULNERABILIDADES BAJAS VULNERABILIDADES POTENCIALES AGUJEROS DE SEGURIDAD La Tabla XVII muestra los puertos abiertos por equipo ya sean TCP o UDP. Cabe destacar que los puertos abiertos corresponden a aplicaciones lícitas e instaladas en los diferentes equipos

68 TABLA XVII PUERTOS ABIERTOS RED DE SERVIDORES. Dirección Ip Puertos Abiertos Función Vulnerabilidades TCP 80 TCP 135 TCP 445 TCP 3389 HTTP RCP SMB RPD(REMOTE DESKTOP) Servicio HTTP corriendo sin ser un Web Server TCP 22 SSH(Remote Login Protocol) Si este equipo no se administra a través de Secure Shell, es muy probable que el servicio SSH innecesario TCP 1081 TCP/UDP 42 TCP/UDP 53 TCP 80 TCP/UDP 88 TCP 119 TCP 135 TCP 139 TCP/UDP 389 TCP/UDP 445 TCP/UDP 464 WinHole / Servicio usado por troyanos ARPA DNS HTTP Kerberos NNTP DCE NetBIOS LDAP SMB Kerberos NNTPS Si este no es un servidor de correo SMTP o DNS, es muy probable que el servicio SMTP y DNS sean innecesarios. Las extensiones de FrontPage y Terminal Server están instaladas en este equipo. Abierto el puerto utilizado por troyanos: TCP 1081 TCP 563 TCP 593 TCP 636 TCP 1027 TCP 3268 TCP 3269 TCP 3389 HTTP LDAPS ICQ LDAP SSL RDP UDP 123 UDP 137 UDP 138 UDP 161 UDP 500 UDP 4500 NTP NetBIOS NetBIOS SNMP ISAKMP RFC En la Figura 26 se ilustra el reporte de la seguridad general de esta red, reporte generado por el mismo software que se aplica para el escaneo de vulnerabilidades GFI LanGuard

69 Resultados en la Red de Cajeros Fig. 26. REPORTE de Seguridad General en la Red de Servidores. Se continúa, ahora con los resultados en la Red de Cajeros de la cooperativa, obtenidos mediante el escaneo de puertos y vulnerabilidades que GFI LanGuard ofrece, esto se observa en la Tabla XVIII. TABLA XVIII RED DE CAJEROS Dirección Ip Puertos Abiertos Vulnerabilidades Bajas Vulnerabilidades Potenciales Agujeros De Seguridad

70 En la Figura 27 se ilustra el reporte de la seguridad general de esta red, reporte generado por el mismo software que se aplica para el escaneo de vulnerabilidades GFI LanGuard Resultados en la Intranet Fig. 27. REPORTE de Seguridad General en la Red de Cajeros. Se continúa con los resultados en la Intranet de la cooperativa, obtenidos mediante el escaneo de puertos y vulnerabilidades que GFI LanGuard ofrece, esto se observa en la Tabla XIX. TABLA XIX RED INTRANET Dirección Ip Puertos Abiertos Vulnerabilidades Bajas Vulnerabilidades Potenciales Agujeros De Seguridad

71 La Tabla XX muestra los puertos abiertos por equipo ya sean TCP o UDP. Cabe destacar que los puertos abiertos corresponden a aplicaciones lícitas instaladas en los diferentes equipos. TABLA XX PUERTOS ABIERTOS RED INTRANET. Dirección Ip Puertos Abiertos Función Vulnerabilidades TCP 80 TCP 135 TCP 139 TCP 445 TCP 1433 TCP 5800 TCP 5900 UDP 123 UDP 137 UDP 138 UDP 500 UDP 1900 UDP 4500 UDP 5353 UDP 5355 HTTP RCP SMB Active Directory Microsoft-SQL-Server VNC protocolo de escritorio remoto sobre HTTP VNC protocolo de escritorio remoto (conexión normal) NTP NetBIOS Servicio de Nombres NetBIOS Serv. De envío Datagramas IPSec SSDP IPsec NAT Trasversal DNS de difusión múltiple(mdns) LLMNR:Link Local Multicast Name Firewall deshabilitado Antivirus y Abtispyware en tiempo real deshabilitados Virus detectados Se debe establecer una contraseña para la cuenta de administrador y / o desactivar los inicios de sesión de invitados. En la Figura 28 se observa el reporte de la seguridad general de esta red, reporte generado por el mismo software que se aplica para el escaneo de vulnerabilidades GFI LanGuard. Fig. 28. REPORTE de Seguridad General en Intranet

72 Resultados en la Red de la Sucursal de Totoracocha Se continúa con los resultados en la Red de la Sucursal de Totoracocha de la cooperativa, obtenidos mediante el escaneo de puertos y vulnerabilidades que GFI LanGuard ofrece, esto se observa en la Tabla XXI. TABLA XXI RED SUCURSAL TOTORACOCHA Dirección Ip Puertos Abiertos Vulnerabilidades Bajas Vulnerabilidades Potenciales Agujeros Seguridad De En la Figura 29 se observa el reporte de la seguridad general de esta red, reporte generado por el mismo software que se aplica para el escaneo de vulnerabilidades GFI LanGuard. Fig. 29. REPORTE de Seguridad General en la Red de Totoracocha Resultados en la Red de Enlaces Se continúa con los resultados en la Red de Enlaces de la cooperativa, obtenidos mediante

73 el escaneo de puertos y vulnerabilidades que GFI LanGuard ofrece, esto se observa en la Tabla XXII. TABLA XXII RED DE ENLACES Dirección Ip Puertos Abiertos Vulnerabilidades Bajas Vulnerabilidades Potenciales Agujeros De Seguridad En la Figura 30 se observa el reporte de la seguridad general de esta red, reporte generado por el mismo software que se aplica para el escaneo de vulnerabilidades GFI LanGuard. Fig. 30. REPORTE de Seguridad General en la Red de Enlaces Resultados en la Red de la Sucursal de Monay Se continúa con los resultados en la Red de la Sucursal de Monay de la cooperativa, obtenidos mediante el escaneo de puertos y vulnerabilidades que GFI LanGuard ofrece, esto se observa en la Tabla XXIII. TABLA XXIII RED SUCURSAL MONAY Dirección Ip Puertos Abiertos Vulnerabilidades Bajas Vulnerabilidades Potenciales Agujeros De Seguridad

74 En la Figura 31 se observa el reporte de la seguridad general de esta red, reporte generado por el mismo software que se aplica para el escaneo de vulnerabilidades GFI LanGuard. Fig. 31. REPORTE de Seguridad General en la Red de Monay Resultados en la Red de la Sucursal de Gualaceo Se continúa con los resultados en la Red de la Sucursal de Gualaceo de la cooperativa, obtenidos mediante el escaneo de puertos y vulnerabilidades que GFI LanGuard ofrece, esto se observa en la Tabla XXIV. TABLA XXIV RED SUCURSAL V DIRECCIÓN IP PUERTOS ABIERTOS VULNERABILIDADES BAJAS VULNERABILIDADES POTENCIALES AGUJEROS DE SEGURIDAD En la Figura 32 se observa el reporte de la seguridad general de esta red, reporte generado por el mismo software que se aplica para el escaneo de vulnerabilidades GFI LanGuard

75 Fig. 32. REPORTE de Seguridad General en la Red de Gualaceo OBTENCION DEL ACCESO Para este paso en la metodología de Hacking Ético se utilizan técnicas para obtener claves de usuarios y de los equipos informáticos de capa 2 y Password Cracking Para este paso en el caso del descubrimiento de claves de los equipos de Capa 2 y 3 del modelo OSI se utiliza técnicas especiales para romper la seguridad de estos dispositivos, de acuerdo a la plataforma de cada uno de los mismos, cabe aclarar que estas técnicas se realizan de manera sumamente cuidadosa para no perder ninguna configuración en los equipos. En la figura 33 se ilustra el acceso al router Cisco 861-W que es el Enrutador de Agencias, mediante la aplicación PuTTY, rompiendo la seguridad de este dispositivo sin perder configuración alguna del mismo, eso si el servicio del mismo deja de estar activo por pocos minutos, cabe recalcar que esta técnica se realizó un fin de semana en horario de tráfico escaso, por petición del departamento de Sistemas de la cooperativa, ya que no se contaba con la clave del dispositivo

76 Fig. 33. ACCESO al Enrutador de Agencias. El medio para obtener las contraseñas de los equipos servidores de la cooperativa es el sniffing mediante la herramienta Caín y Abel, herramienta que escucha todo el tráfico que pasa por la red informática de los servidores, mediante la interacción entre los usuarios y los equipos; de esta forma la aplicación captura todos los paquetes para analizarlos y descifrar las contraseñas de los equipos de esta red. La obtención de claves mediante la aplicación Caín se ilustra en la figura 34, las claves obtenidas no se exponen debido a la confidencialidad del caso, pero más adelante se hace un hincapié para mejorar la seguridad de estas contraseñas. Fig. 34. OBTENCION de Claves de los Equipos Servidores de la cooperativa

77 2.7. EVALUACIÓN DE LOS RESULTADOS OBTENIDOS EN LAS PRUEBAS REALIZADAS A LA RED DE LA COOPERATIVA CAJA En el siguiente reporte se detallan los resultados generales obtenidos en la red informática de la cooperativa CAJA a través de las pruebas ejecutadas durante el test de intrusión. Las auditorías fueron realizadas tanto de manera remota, como presencialmente vía local e inalámbrica, se obtuvieron numerosos resultados de vulnerabilidades en la red informática de la cooperativa VULNERABILIDADES GENERALES ENCONTRADAS EN LA RED INFORMÁTICA DE LA COOPERATIVA CAJA Las pruebas de Hacking Ético permitieron detectar entre otras las siguientes vulnerabilidades generales para los equipos Servidores de la red informática de la cooperativa. Información crítica del dominio de la cooperativa publicada en internet con la que cualquier atacante puede comenzar a infiltrarse. Obtención del código de programación del sitio Web de CAJA mediante métodos http. Acceso permitido al servidor ESMTP de la cooperativa mediante sesiones telnet. Falta de actualizaciones de seguridad en WINDOWS. Firewall, antivirus y antispyware deshabilitados. Virus y spyware detectados. Configuración de puertos usb (Interfaz HID) propensos a vulnerabilidades. Configuraciones de compartición auto habilitadas. Las credenciales de inicio de sesión se encuentran en caché de Windows NT, siendo fáciles de escanear y encontrar. Falta de parches de seguridad de los sistemas operativos. Carpetas críticas compartidas e inutilizadas. Red inalámbrica con seguridad media

78 Antenas UBIQUITI para enlace de datos con contraseñas débiles. Check Point y equipos de capa 3 con contraseñas con seguridad media. Servicios Web en la intranet sin restricción de usuarios. Equipos de computación y cuentas de usuario con contraseñas débiles y fáciles de desencriptar mediante sniffing. Protocolo SNMP corriendo en algunos equipos utilizando la comunidad public ESTUDIO ESTADISTICO DE LAS ENCUESTAS DE SEGURIDAD INFORMÁTICA APLICADAS A LOS EMPLEADOS DE LA COOPERATIVA CAJA Estas encuestas tienen como objeto conocer el grado de conocimiento de los empleados de la cooperativa con respecto a la seguridad informática que se debe aplicar en la cooperativa CAJA. La población de empleados es de ocho miembros, algunas preguntas son de opción múltiple así que cada empleado puede tener más de una respuesta. Es menester indicar que la información recaudada en estas encuestas es estrictamente confidencial. Tras realizar el análisis estadístico de las encuestas aplicadas a los empleados, se obtienen los siguientes informes que se detallan a continuación: Según el informe el Porcentaje de Empleados que conocen de la existencia de Seguridad Informática en la cooperativa es del 87%, y el porcentaje de empleados que desconoce es del 13%, como se ilustra en la Figura 39. Como conclusión se tiene que la mayoría del personal encuestado supone la existencia de Seguridad Informática en la cooperativa. 0% 13% 87% Si No Desconoce Fig. 35. INFORME del Porcentaje de Empleados que conocen de la existencia de Seguridad Informática en CAJA

79 Según el informe el Porcentaje de Empleados que conocen de la existencia de Políticas de Seguridad en la cooperativa es del 75%, y el porcentaje de empleados que desconoce es del 25%, como se ilustra en la Figura 40. Como conclusión se tiene que la mayoría del personal encuestado supone la existencia de Políticas de Seguridad Informática existentes en la cooperativa, pero no conocen cuales son, debido a falta de socialización con los empleados. 0% 25% 75% Si No Desconoce Fig. 36. INFORME del Porcentaje de Empleados que conocen de la existencia de Políticas de Seguridad en CAJA. Según el informe el Porcentaje de Empleados que usan software como herramientas de seguridad es del 46%, el porcentaje de empleados que usan hardware es del 36%, y el porcentaje de empleados que desconoce que herramienta utiliza es del 18%, como se ilustra en la Figura 41. Como conclusión se tiene que la mayor parte de empleados usan herramientas de seguridad informática, teniendo claro el significado de estas herramientas para la seguridad informática de la cooperativa. 36% 18% 46% Software Hardware Desconoce Fig. 37. INFORME del Porcentaje de Empleados por Tipo de Herramienta de Seguridad Utilizada en CAJA. Según el informe el Porcentaje de Empleados que realizan copias de Seguridad en los computadores de la cooperativa es del 62%, el porcentaje de empleados que no las realizan es del 25%, y el porcentaje de empleados que desconoce es del 13% como se ilustra en la Figura

80 Como conclusión se tiene que la mayor parte de empleados realizan copias de seguridad en sus equipos, teniendo noción del importante significado de esta actividad. 13% 25% 62% Si No Desconoce Fig. 38. INFORME del Porcentaje de Empleados que realizan copias de Seguridad en los computadores de CAJA. Según el informe el Porcentaje de Empleados de la cooperativa que usan Antivirus es del 59%, el porcentaje de empleados que usan AntiSpam es del 17%, el porcentaje de empleados que usan Cortafuegos es del 8%, el porcentaje de empleados que usan AntiSpyware es del 8%, y el porcentaje de empleados que usan otras aplicaciones de seguridad es del 8%, como se ilustra en la Figura 43. Como conclusión se tiene que la mayor parte de empleados usan aplicaciones de seguridad en sus equipos, teniendo claro el concepto de la aplicación utilizada. 8% 8% 17% 8% 59% Antivirus AntiSpam Antispyware Cortafuegos Otros Fig. 39. INFORME del Porcentaje de Empleados por Aplicaciones de Seguridad utilizadas en CAJA Según el informe el Porcentaje de Empleados de la cooperativa que llevan a cabo actualizaciones del antivirus diarias es del 62%, el Porcentaje de Empleados que realizan actualizaciones del antivirus cada semana es del 12%, el Porcentaje de Empleados que llevan a cabo actualizaciones del antivirus cada mes es del 13%, el Porcentaje de Empleados de la cooperativa que llevan a cabo actualizaciones del antivirus cada trimestre es del 13%, y el Porcentaje de Empleados de la cooperativa que nunca efectúa actualizaciones del antivirus es el 0%, como se ilustra en la Figura

81 Como conclusión se tiene que la totalidad de los empleados realizan actualizaciones del antivirus en sus equipos, teniendo claro la gran importancia de realizarlas para combatir los actuales virus, malware o spyware. 0% 12% 13% 13% Diarias Semanales 62% Mensuales Trimestrales Nunca Fig. 40. INFORME del Porcentaje de Empleados que realizan actualizaciones del Antivirus en CAJA Según el informe el Porcentaje de Empleados de la cooperativa que utiliza sistema eléctrico continuo es del 100%, y el porcentaje de empleados que no utiliza o desconoce obre este tipo de energía continua es del 0%, como se ilustra en la Figura 45. Como conclusión se tiene que la totalidad de empleados usan sistema eléctrico continuo para proteger sus equipos de inestabilidades de voltaje en la cooperativa. 0% 100% Si No Desconoce Fig. 41. INFORME del Porcentaje de Empleados que utilizan sistemas de energía continua en CAJA. Según el informe el Porcentaje de Empleados que usan claves de usuario en los computadores de la cooperativa es del 100%, y el porcentaje de empleados que no usa o desconoce que es una clave de usuario es del 0%, como se ilustra en la Figura 46. Como conclusión se tiene que todo el personal utiliza claves en sus cuentas de usuario, siendo esto factible para la seguridad de la información

82 0% 100% Si No Desconoce Fig. 42. INFORME del Porcentaje de Empleados que usan claves de Seguridad en CAJA. Según el informe el Porcentaje de Empleados de la cooperativa que no usa claves débiles en sus computadoras es del 45%, el Porcentaje de Empleados de la cooperativa que usa claves que contienen fechas especiales en sus computadoras es del 33%, el Porcentaje de Empleados que usa claves que contienen nombres de familiares en sus computadoras es del 22%, el Porcentaje de Empleados de la cooperativa que usa claves que contienen nombres de famosos/películas en sus computadoras es del 0%, como se ilustra en la Figura 47. Como conclusión se tiene que la cantidad del personal que utiliza claves con seguridad débil en sus cuentas de usuario es más de la mitad, siendo este un punto muy crítico para la seguridad de la información. 45% 33% Fechas Especiales Nombres de Familiares 22% Nombres famosos/películas No 0% Fig. 43. INFORME del Porcentaje de Empleados que usan claves débiles en CAJA. Según el informe el Porcentaje de Empleados que no usan Mail Personal en el Trabajo es del 75%, y el porcentaje de empleados que usan Mail Personal es del 25%, como se ilustra en la Figura 48. Como conclusión en cuanto a lo que se refiere al uso de correo personal en la cooperativa, la mayoría no lo hace, siendo esto positivo para el manejo de información solamente laboral

83 25% 75% Si No Fig. 44. INFORME del Porcentaje de Empleados que usan Mail Personal en CAJA. Según el informe el Porcentaje de Empleados que no realizan actividades en su mail corporativo es del 100%, es decir que el porcentaje de usuarios que realizan actividades en su mail corporativo es del 0%, como se ilustra en la Figura 49. Como conclusión se tiene que el personal que utiliza su mail personal no realiza actividades que pongan en riesgo la seguridad de la información en la cooperativa. 0% 100% Descarga Archivos Adjuntos Abrir correos desconocidos Envío de datos de la cooperativa Ninguna Fig. 45. INFORME del Porcentaje de Empleados de CAJA que realizan actividades en su Mail Corporativo. Según el informe el Porcentaje de Empleados que no realizan actividades en los computadores de la cooperativa es del 37%, el Porcentaje de Empleados que analizan unidades extraíbles en los computadores de la cooperativa es del 27%, el porcentaje de empleados que usan redes sociales en los computadores de la cooperativa es del 18%, el porcentaje de empleados que observa videos en los computadores de la cooperativa es del 9%, el porcentaje de empleados que descargan datos ajenos al trabajo, en los computadores de la cooperativa es del 9%, como se ilustra en la Figura 50. Como conclusión se tiene que gran parte del personal realiza actividades extra laborales en sus computadores mediante internet, esto es un punto a considerar en cuanto a la saturación del ancho de banda que se pueda tener en la cooperativa

84 37% 0% 27% Instala Programas de Uso Personal Ánalisis de Unidades Extraíbles 9% 18% 9% Redes Sociales Observa Videos Descargas Datos Ajenos Ninguna Fig. 46. INFORME del Porcentaje de Empleados que realizan actividades en los computadores de la cooperativa CAJA. Según el informe el Porcentaje de Empleados que cree que existe Personal de Seguridad en la cooperativa es del 62%, el Porcentaje de Empleados que no cree que existe Personal de Seguridad en la cooperativa es del 13%, y el Porcentaje de Empleados que desconoce la existencia de Personal de Seguridad en la cooperativa es del 25%, como se ilustra en la Figura 51. Por último, como conclusión se tiene que más de la mitad del personal cree que existe una persona preparada en seguridad informática, pero en realidad no es así. 25% 13% 62% Si No Desconoce Fig. 47. INFORME del Porcentaje de Empleados que conocen la existencia de Personal de Seguridad Informática en CAJA. Como conclusión general se tiene y se hace un hincapié en la falta de preparación al personal en general sobre algo tan importante como lo es la seguridad de la información, que más que cualquier cosa, así se hagan variedad de auditorías, de nada sirven si el punto clave es la fuga de información que se pueda dar por parte de empleados sin conocimientos sobre los ataques de ingeniería social que puedan darse

85 3. APLICAR REGLAS DE SEGURIDAD EN LA RED INFORMÁTICA DE LA COOPERATIVA CAJA DE LA CIUDAD DE CUENCA 3.1. APLICAR ESTÁNDARES DE SEGURIDAD PARA EL CONTROL DE LAS AMENAZAS EXISTENTES EN LA RED INFORMÁTICA DE LA COOPERATIVA CAJA Basándose en los resultados obtenidos y de las vulnerabilidades encontradas, se detalla a continuación los cambios por realizar, y las recomendaciones pertinentes del caso. Los siguientes estándares citados son los que se aplican después de conocer las amenazas y vulnerabilidades en la seguridad de la red informática NUEVO DIAGRAMA DE RED Es menester realizar ciertas modificaciones en el diseño de la red que se muestra a continuación en la Figura 35, los cambios realizados al diagrama de la red son: Necesariamente se deben cambiar las claves de las antenas UBIQUITI que son el enlace de datos de todas las sucursales de la cooperativa con las antenas ubicadas en ICTO CRUZ, por lo que su seguridad se considera sumamente débil. Todo acceso que se quiera efectuar a la red informática de la cooperativa, pasa antes por el Check Point 4200 es por esto que su contraseña debe tener una seguridad fortísima, y ahora no cuenta con esa seguridad por lo tanto se debe modificar necesariamente. Establecer una nueva clave WPA 2 para la conexión y encriptación de la información en la red inalámbrica de la matriz de la cooperativa, debido a que no consta de la suficiente seguridad. En el Router Cisco 800 se encuentra la configuración de la interconexión entre las sucursales de la cooperativa es por esto que se debe realizar un backup de esta configuración para aplicarla en otro Router Cisco 800 espejo, para los casos en el que quede sin funcionamiento el Router original

86 Fig. 48. DIAGRAMA modificado de la Red Informática de la cooperativa POLITICAS DE SEGURIDAD Siguiendo con la metodología a continuación se detallan las debidas políticas de seguridad fundamentales para mejorar la seguridad de la red informática de la cooperativa CAJA, las cuales permitirán solucionar de forma óptima las falencias de seguridad encontradas, esto se detalla en la Tabla XXV. TABLA XXV POLITICAS DE SEGURIDAD APLICADAS A LA COOPERATIVA. Vulnerabilidad Causa Efecto Política de Seguridad Información crítica del dominio de la cooperativa publicada en internet. Métodos HTTP se encuentran habilitados en el servidor Web de la cooperativa, con los cuales se puede obtener el código de programación del sitio Web. Acceso al servidor ESMTP del Check Point de la cooperativa mediante sesiones telnet comunicándose mediante el puerto 25. Puertos abiertos en servidores, puertos en los que se puede atacar mediante troyanos. Desconocimiento de la información publicada. Configuración media de los permisos para manejar métodos HTTP de carácter crítico. En el Check Point no se filtran todos los paquetes que se relacionan al puerto SMTP # 25. La causa puede ser que se trate de algún servicio fundamental para la red, en caso de no serlo imperativamente se debe parar el servicio. Cualquier atacante puede comenzar a infiltrarse con esta información. El atacante mediante esta vulnerabilidad tiene una pauta para conseguir subir una webshell al servidor, pudiendo modificar el contenido del sitio web. Se pueden enviar correos a las cuentas mail de los usuarios de la cooperativa, de forma que se puede obtener información sensible mediante ingeniería social. La red informática puede ser atacada fácilmente mediante virus troyanos. Contactar al ISP para que elimine esta información crítica, de la nube. Asignar los métodos HTTP de carácter crítico solamente a usuarios administradores del sitio Web. Falta de actualizaciones del kernel y los paquetes del firewall, el administrador de la rede deberá realizar las debidas actualizaciones para eliminar esta vulnerabilidad. En caso de ser un servicio no autorizado por parte del administrador de red, este se debe parar de inmediato

87 Falta de actualizaciones de seguridad en WINDOWS Firewall, antivirus y antispyware deshabilitados. Virus y spyware detectados. Autorun habilitado de dispositivos extraíbles y de unidades ópticas. Configuraciones de compartición auto habilitadas. Falta de parches de seguridad de los sistemas operativos. Red inalámbrica con seguridad media. Antenas UBIQUITI para enlace de datos con usuarios y contraseñas débiles. Check Point y equipos de capa 3 con contraseñas de seguridad media y usuarios por defecto. Servicios Web en la intranet sin restricción de usuarios. Equipos de computación y cuentas de usuario con contraseñas débiles. Protocolo SNMP corriendo en equipos utilizando la comunidad public. Credenciales de inicio de sesión se encuentran en caché de Windows NT. Poco conocimiento de la importancia de este punto con respecto a la seguridad y falta de planificación. Falta de configuración de este software importante. Falta de actualización de antivirus y antispyware, ya que cada día salen nuevas amenazas y es menester que se encuentren actualizadas en la base de datos de estas aplicaciones. La mayoría de versiones de Windows tienen esta opción habilitada. Falta de conocimiento del riesgo de compartir información al área pública. Se requiere la intervención del usuario para que Windows pueda efectuar actualizaciones de seguridad, porque la herramienta AutoUpdate de Windows se encuentra habilitada en ciertos equipos. Mala configuración de las claves de los routers para WIFI en la cooperativa. Mala configuración del nombre de usuario y claves de las antenas de enlace de datos entre sucursales. Mala configuración del nombre de usuario y claves de estos equipos. Falta de configuración del acceso de usuarios a la Web. Falta de asesoramiento a los usuarios para crear claves seguras. Falta de seguridad en la administración de la red informática Falta de mantenimiento de la memoria caché del servidor. Infiltración de intrusos mediante agujeros conocidos de seguridad. Infiltración de virus, software espía, malware. Control remoto del equipo por parte de troyanos, borrado de información importante. Esto plantea un riesgo para la seguridad en caso de que una vez que se inserta un disco óptico o disco extraíble que contiene el malware, este se instala automáticamente. Obtención de información de personas extrañas a la cooperativa. La falta de parches de seguridad ocasiona agujeros de seguridad al sistema operativo. Acceso de intrusos por medio de aplicaciones como backtrack, obteniendo contraseñas mediante simples diccionarios de claves. Acceso de intrusos mediante el uso de direcciones IP y password cracking. El Acceso de intrusos puede considerarse un poco más rentable debido a la falta de seguridad en el Check Point. Saturación en el ancho de banda de la cooperativa, congestionando el tráfico para el correcto funcionamiento de la red informática. Contraseñas fáciles de desencriptar mediante un diccionario de claves. Un intruso puede obtener información de los dispositivos de red, mediante este protocolo. Como se encuentran en memoria estas credenciales cualquier intruso puede hacer uso de estas Llevar a cabo actualizaciones de Seguridad en las distintas versiones de Windows, estas actualizaciones deben ser programadas en horarios de poco tráfico. Habilitar el firewall de Windows, a la vez se requiere habilitar antivirus y antispyware en tiempo real que se encuentran deshabilitados, Establecer una política de actualización diaria de este software mencionado. Desactivar la ejecución automática, tanto para las unidades ópticas y también para las demás unidades extraíbles. Deshabilitar la compartición de archivos, carpetas e impresoras en grupos públicos. Configurar AutoShareWks y AutoShareServer Habilitar la descarga de parches de seguridad y posteriormente instalarlos en horario de poco tráfico. Modificar la clave de los routers por una de alta seguridad, es decir letras, números y signos de puntuación. Modificar el nombre de usuario y las claves de los routers por una de alta seguridad, es decir letras, números y signos de puntuación. Modificar el nombre de usuario y las claves de estos equipos por una de alta seguridad, es decir letras, números y signos de puntuación. Denegar el acceso a aplicaciones web que saturen el ancho de banda. Generar claves con un nivel alto de seguridad desde el Servidor de control de la Intranet. Deshabilitar el protocolo SNMP en los equipos que se encuentran usando la comunidad public. Eliminar las credenciales de inicio de sesión que se encuentran en caché de Windows NT

88 para fines maliciosos. Escasez de backups y copias de seguridad de los equipos administrativos y servidores de la cooperativa. Falta de configuración para la generación de auto backups y copias de seguridad, cada cierto período de tiempo, ya sea diario, semanal o mensual. A la larga se puede dar la Pérdida de información crítica de la cooperativa. Procedimiento de generación y restauración de copias de respaldo para salvaguardar la información crítica de los procesos significativos de la entidad. Uso de correos personales en el área de trabajo. Instalación y uso de software desautorizado por la cooperativa. En general existe el Riesgo de ataques a la seguridad de la red informática. Falta de capacitación a los empleados. Falta de conocimiento de las vulnerabilidades que puede ocasionar el uso de software desconocido. La cooperativa CAJA está expuesta a amenazas informáticas debido a que es una entidad que maneja dinero, siendo este el principal factor atrayente para los atacantes. Descarga de software malicioso en los equipos corporativos. Mediante ciertas aplicaciones se abren puertos y estos pueden ser explotados por los atacantes. Intrusos asechando la red informática, para robar información crítica. Uso únicamente del correo institucional de la cooperativa. Restringir la instalación y el uso de aplicaciones mediante GPO en Active Directory, desde los servidores. Implementación de honeypot, para atraer atacantes, siendo un honeypot un único computador que parece ser parte de la red, pero es aislado y protegido. El honeypot es configurado para parecer que almacena información que sería de valor para un atacante Entre las actualizaciones más importantes a realizar en los equipos de la cooperativa que utilizan el sistema operativo Windows, que son todos los equipos excepto el servidor UNIX, están las siguientes: Ejecutar actualizaciones de seguridad para Microsoft.NET Framework 4 en Windows Vista, Windows 7, Windows Server 2008 x86. Efectuar la Actualización de seguridad para Microsoft XML Core Services 4.0 Service Pack2. Llevar a cabo la Actualización para certificados raíz de Windows 7. Actualización de User-Mode controlador Framework versión 1.11 para Windows 7. Actualizaciones de Seguridad para Report Viewer Redistributable PROVEER DEL DEBIDO SOPORTE A LA RED INFORMÁTICA DE LA COOPERATIVA CAJA Cuando se habla de soporte se refiere a servicios que tratan de ayudar al usuario y al administrador de red, a resolver determinados problemas con algún producto. En general, el servicio de soporte técnico sirve para ayudar a resolver los problemas que puedan presentárseles a los usuarios, mientras hacen uso de servicios, programas o dispositivos [10]. Es por esto que a continuación se citan ciertas medidas de soporte exclusivo para situación

89 actual de la red informática de la cooperativa MONITOREO DE LA RED INFORMÁTICA Un sistema de monitoreo de la red informática es la solución para que la cooperativa disponga del soporte necesario como una medida de prevención de falencias en su seguridad, y para esto se instala el software Solarwinds que simplifica la detección, el diagnóstico y la resolución de los problemas de la red antes de que se produzca un corte debido a alguna intrusión, a través de mapas de red dinámicos, la interfaz de esta aplicación se puede observar en la Figura 36 [11]. Fig. 49. SOLARWINDS interfaz de monitoreo. Autor: Adrian Ordóñez IMPLEMENTACIÓN DE HONEYPOT El honeypot que se utiliza como medida de seguridad, para la red informática de la cooperativa es el Honeypot Valhala en su versión 1.8, que como se observa en la Figura 37, tiene la capacidad de simular varios servicios que a la mayoría de atacantes les interesa acceder, todos estos servicios mostrados en esta figura se configuraron exclusivamente para la red informática de la cooperativa, con esto en el transcurso del tiempo se podrá conocer pre ataques realizados a la red y podrán ser notificados de manera inmediata al administrador de la misma para que tome las debidas medidas de seguridad

90 Fig. 50. HONEYPOT Valhala implementado en la Red Informática de la Cooperativa CAJA RESPALDO DE LA CONFIGURACIÓN DEL ENRUTADOR DE AGENCIAS En la Figura 38 se ilustra la configuración que se hace en otro router Cisco 861-W como backup del Enrutador original de Agencias mediante la aplicación PuTTY usando el puerto de comunicación Serial, esta es una medida de soporte para la red informática de la cooperativa ya que este router es de vital importancia puesto que en este se encuentran las rutas para la comunicación entre las redes informáticas de las diferentes agencias de la cooperativa. Fig. 51. BACKUP del Enrutador de Agencias