TALLER MANUEL ARROYAVE HENAO PRESENTADO A:

Transcripción

1 TALLER DESCUBRIENDO OTRAS HERRAMIENTAS DE SW AUDITORIA MANUEL ARROYAVE HENAO JHON FREDY GIRALDO PRESENTADO A: CARLOS HERNAN GÓMEZ INGENIERO DE SISTEMAS UNIVERSIDAD DE CALDAS FACULTAD DE INGENIRIAS INGENIERIA DE SISTEMAS Y COMPUTACION MANIZALES, 24 DE NOVIEMBRE DE 2010

2 WINAUDIT. Winaudit es un programa de software que audita las computadoras personales basadas en Windows. Esta se encarga de examinar cada aspecto relacionado con el inventario del equipo. El programa WinAudit genera una consulta general de cada rincón del ordenador, desde información tan simple como qué sistema operativo se esta usando hasta parámetros de seguridad y detalles sobre el hardware. No importa qué plataforma Windows se posea o qué tan antiguo sea el ordenador, WinAudit permite conocer que se tiene en este y salvar o guardar las configuraciones mas importantes. Los reportes pueden ser visualizados como una pagina web y pueden ser almacenados en una variedad de diferentes formatos estándar como.doc,.xls,.pdf, entre otros. Estos resultados se pueden enviar a una base de datos para procesos de archivo y también pueden ser enviados por correo para procesos de soporte. Cuando se usa en conjunto con su funcionalidad de líneas de comandos, se puede automatizar la administración de auditoria al nivel de la red, además de que soporta el uso del escritorio remoto. Los procesos de auditoria que cumple winaudit se enfocan en examinar los principales elementos de los equipos de cómputo, yendo desde el hardware hasta el software, pasando por aspectos de seguridad y errores en estos. A continuación se describe de forma general los distintos reportes arrojados: Vista General: Allí se presenta información general del equipo, como la descripción del procesador, la cantidad de memoria, de disco duro entre otras. Software Instalado: Información relevante a todos los programas informáticos instalados, así como también información relevante de sus configuraciones actuales. También se encuentra información sobre las actualizaciones realizadas a dichas herramientas. Sistema Operativo: Información de configuración del sistemas operativo actual del equipo. Periféricos: Descripción general de los periféricos conectados por cualquier medio al equipo. Seguridad: Información sobre el software de internet, como navegadores o clientes de correo electrónico. Descripción general y estado de los puertos abiertos en el sistema. Permisos otorgados a periféricos, registros de seguridad

3 y configuraciones de las mismas. Permisos compartidos entre diferentes usuarios, privilegios de usuario y configuraciones del firewall de Windows. Grupos y Usuarios: Reportes de los usuarios configurados para acceder al equipo, así como también descripción de los grupos a los cuales este hace parte (redes de área local). Tareas programadas: Información correspondiente a actualizaciones o procesos programados por diferentes aplicaciones para la ser ejecutados en un momento específico. Estadísticas desde arranque: Despliega información de las veces que ha sido utilizado el equipo, en cuanto a estadísticas de prendido y apagado. Error Logs (Sucesos): Despliega información de suprema utilidad pues son datos relacionados con errores encontrados en aplicaciones, sesiones de usuarios provenientes directamente del sistema operativo, errores de seguridad y errores del sistema tanto a nivel de hardware como de software. Variables de Entorno: Despliega las configuraciones con las que cuentan todas las variables de entorno. Configuraciones Regionales. Red de Windows: Configuraciones actuales de las redes de Windows encontradas en el equipo. Red TCP/IP: Directamente relacionada con la tarjeta de red, allí se muestra información sobre las características de la conexión a internet. Dispositivos: Información relevante a los dispositivos hardware con los que cuenta el equipo como tarjetas de red, de video, de sonido, discos duros, periféricos, controladoras, procesadores, puertos, y en general todos los dispositivos encontrados en el Administrados de Hardware de Windows. Características de la pantalla y Adaptadores Display: Información relevante sobre estos elementos. Además de las anteriores características examinadas, también se obtienen reportes sobre las impresoras instaladas, las características del BIOS, la gestión que se hace del sistema por parte de los distintos módulos y chips, descripción de procesadores, memoria, discos físicos y lógicos, puertos de comunicación, los programas de arranque y aquellos que arrancan por orden previa del sistema, archivos de sistema entre otras características importantes. Resultados de las pruebas realizadas. A continuación se despliegan algunas imágenes correspondientes a las pruebas realizadas en un computador de escritorio con las siguientes características generales.

4 La información del sistema operativo se muestra a continuación. Algunas especificaciones sobre la seguridad del sistema con respecto al software de internet y a los puertos abiertos.

5 Entre los resultados de los sucesos se observan distintos errores causados por aplicaciones en el equipo.

6 Por otro lado, se muestra información de errores en el sistema identificados, los cuales son de suma importancia al momento de realizar una auditoria sobre el hardware y software. En este caso, la información corresponde a errores en bloques defectuosos en la partición del disco duro con nombre D:. La información de los dispositivos se despliega de forma ordenada permitiendo diferenciar las principales características de cada uno de ellos.

7 De igual forma, la información mas importante de los elementos mencionados mas arriba son tenidos en cuenta para desplegar dicha información al ente auditor, lo que le permite adquirir un conocimiento mas amplio y en muy poco tiempo sobre el estado actual de los equipos de computo, así como también del uso que se haga de este y las herramientas que se encuentren bajo políticas de uso legales. Observaciones y Conclusiones. WinAudit se muestra como una herramienta eficaz e importante para realizar una auditoria integral a los equipos de computo, pues despliega de una forma ordenada y de fácil entendimiento, las características y descripciones mas importantes a la hora de definir los elementos mas característicos que hacen parte de un equipo de computo, atravesando desde los elementos mas triviales como periféricos y dispositivos de pantalla, hasta aquellos elementos críticos para el funcionamiento del sistema como lo es el manejo de puertos y de configuraciones de seguridad que en ultimas pueden estar mas relacionadas con funciones de software y funciones del sistema operativo. A pesar de sus funcionalidades, le hace falta la capacidad de personalización con respecto a las intenciones del usuario, pues muestra la información de forma muy plana y en ocasiones incompleta, lo que podría conllevar a emitir reportes o recomendaciones erradas por parte de los auditores, ya que no se cuenta con la información necesaria para establecer un criterio valedero EZSBenford Herramienta software de Auditoria que se basa en el test de la Ley de Benford para la detección de errores y fraudes.

8 La ley de Benford, también conocida como la ley del primer dígito, asegura que, en los números que existen en la vida real, la primera cifra es 1 con mucha más frecuencia que el resto de los números. Además, según crece este primer dígito, más improbable es que se encuentre en la primera posición. Esta ley se puede aplicar a hechos relacionados con el mundo natural o con elementos sociales: facturas artículos en revistas direcciones de calles precios de acciones número de habitantes tasas de mortalidad longitud de los ríos Física constantes matemáticas números primos EZSBenford de EX-R Stats, LLC, realiza un análisis aplicado esta ley a un conjunto de valores representados en tablas para determinar que cifras podrían no concordar con los valores correctos, comparando según sus proyecciones cuales son los dígitos que mas se repiten, prestando especial atención a la cantidad de cifras indicada, las cuales corresponden con los dígitos de mayor valor (mas a la izquierda o mas a la derechas según se indique). La herramienta, luego de realizado el análisis arroja los resultados y algunas recomendaciones sobre que cantidades deben ser revisadas, así como también un grafico estadístico comparativo entre los valores esperados y los realmente encontrados. Los tipos de análisis Benford posibles son: F1: Evalúa el primer digito. F2: Evalúa los primeros dos dígitos. F3: Evalúa los primeros tres dígitos. L1:Evalua el ultimo digito. L2: Evalúa los últimos dos dígitos D2: Evalúa el Segundo digito. Para iniciar la aplicación se debe tener la información de los reportes a analizar en formato.tab. Primero se selecciona la ubicación del archive a analizar en el primer campo de texto (INPUT). Posteriormente se ubica el archivo en el cual queremos almacenar el reporte, en este caso se guarda en el escritorio con cualquier nombre.

9 El campo nombre de Variables permite seleccionar la columna a la cual se le realizara el análisis (según el INPUT). AL lado izquierdo se encuentra la opción para el tipo de análisis Benford a realizar, los cuales se mencionan mas arriba. Finalmente en la parte inferior aparecen los resultados luego de realizado el análisis, los cuales corresponden con los datos en el archivo de salida y la grafica arrojada Resultados de pruebas realizadas Análisis Benford del primer digito

10

11 Prueba con los dos primeros dígitos.

12 Observaciones y conclusiones. EZSBenford es una herramienta simple que permite observar de forma rápida cuales son las estadísticas mas relevantes con respecto a la ley de Benford, permitiendo realizar una auditoria especifica a valores financieros, contables, estadísticos y demás con el fin de comprobar correspondencias y posibles fallas en la recolección o estandarización de los datos relevantes para cualquier análisis. Rat Auditoria (RAT_2.2.win32-native-installer) Analiza las vulnerabilidades en sistemas Cisco. Herramienta para realizar auditorías de seguridad a dispositivos perimetrales Cisco. Debido a que el 60 porciento del mercado de routers pertenece a Cisco, estos productos son objetivos muy populares de ataques cibernéticos, especialmente si los dispositivos están mal configurados. Para ayudar a reducir la preocupación, un grupo de firmas de seguridad de internet incluyendo la SANS (Administración de Sistemas, Redes y Seguridad) liberaron una herramienta libre para la auditoria de Routers RAT. La iniciativa fue lanzada como una respuesta al Presidente Bush para la colaboración en los problemas de seguridad. RAT lee la configuración interna del router, determina automática e inmediatamente, en cualquier router Cisco corriendo con sistema operativo versión 11 o 12, si este es un objetivo fácil para hackers, para luego indicar como protegerlo mejor si es necesario. Además provee una puntuación de 1 a 10 que mide la seguridad de cada router cisco.

13 La herramienta también esta diseñada para direccionar las vulnerabilidades del Protocolo Simple de Gestión de Redes (Simple Network Management Protocol SNMP), el cual es utilizado para administrar remotamente routers, switches y sistemas de gestión de redes. En adición a la herramienta de evaluación automática, el equipo de desarrollo completo una comparación de soporte que lista los pasos necesarios para proteger los router cisco, explicando porque es necesario cada paso. Problemas resueltos Falta de referencia con respecto al Cisco IOS Carencia de herramientas de auditoria para el Cisco IOS Dificultad de mantener la consistencia. Dificultad detectando cambios. Necesidad para resolver rápidamente configuraciones incorrectas Necesidad de reportes y personalización Necesidad de verificar dispositivos sin IOS. Problemas no resueltos. Problemas de Administración Pobres practicas operativas Problemas en el código del vendedor. Problemas inmersos en los protocolos Problemas de Hosts (virus, códigos rojos.) Ataques basados en DoS del ancho de banda. Nuevas vulnerabilidades. Opciones de configuración local. La necesidad para vigilancia y competencia. Conclusiones y Observaciones. Rat para dispositivos Cisco permite obtener un análisis de las vulnerabilidades de los equipos de red con los que cuenta una empresa para conectarse a la web, por lo tanto representa una herramienta de suma importancia, pues en general no existe una certificación para detección de errores en dispositivo Cisco, lo que ayuda enormemente a que la herramienta sea ampliamente usada por equipos técnicos y de auditoria para revisar, validar y controlar la seguridad en la red de las empresas, evitando la corrupción o robo de la

14 información mas susceptible, que constantemente esta siendo atacada por hackers y demás. Referencias Cisco-Routers.htm Nombre de la solución. RUSecure Descripción Seguridad de la Información se ocupa de proteger la información crítica, valiosa y confidencial, junto con sus sistemas asociados. La mayoría de la gente tiende a reconocer el impacto y la gravedad de la pérdida o el robo de diseños confidenciales de un nuevo producto, pero no siempre reconocen el riesgo potencial, y el resultado consecuente, de aparentemente "inocentes" actividades, como el software de copia o la copia la base de datos corporativa en su computador portátil Funciones de auditoría que cumple Este software aborda la cuestión de la conciencia la información sobre amenazas de seguridad y cumplimiento de políticas. Además se enfoca en: Asegurar hardware, periféricos y otros equipos. Control de Acceso a la Información y Sistemas. Tratamiento de la información y documentos. Compras y Mantenimiento de Software Comercial. Desarrollo y mantenimiento software. Lucha contra el Delito Cibernético. El cumplimiento de Requisitos Legales y Políticas. Planificación de la Continuidad del Negocio.

15 Resultado de las pruebas realizadas Observaciones y conclusiones respecto al producto

16 RUSecure Security Suite proporciona asesoramiento experto a todos en la organización y ofrece soluciones para garantizar que no sólo cuentan con políticas completas, sino que se entregan eficaz y profesional a todos los interesados a través de un conjunto único de herramientas. Nombre de la solución. ng_scoring_tool-gui Descripción Este software genera reportes, que verifican el estado de seguridad de la maquina.la instalación del software es estándar, los resultados de la verificación son guardados en la carpeta de resultados, cuyo nombre es de salida a los resultados de carpeta cuyo nombre es basado en el nombre del equipo Funciones de auditoría que cumple Proporciona información sobre la evaluación tanto de Evaluación de la configuración del punto de referencia definido como Servicios identificados en el sistema de servicios identificados en el sistema. Servicios de Informe Reporte Benchmark Resultado de las pruebas realizadas

17 Observaciones y conclusiones respecto al producto Este tipo de software ayuda en gran medida a manejar toda la información de una maquina, agilizando la creación de reportes los que pueden ser muy útiles a la hora de una auditoria. Nombre de la solución. RAT_2.2.win32-native-installer Descripción El Router Audit Tool (RAT) es una utilidad de línea de comandos para realizar auditorías de seguridad. En particular, RAT determina las deficiencias de seguridad en las configuraciones de los dispositivos de red de Cisco Systems: routers, switches, cortafuegos, etc Esta versión proporciona soporte para los routers Cisco IOS y firewalls Cisco PIX. Funciones de auditoría que cumple Lee los archivos de base de reglas y de configuración y proporciona una salida en un texto. Genera reportes y crea las páginas HTML para mostrarlos Resultado de las pruebas realizadas Observaciones y conclusiones respecto al producto

18 Este software es muy importante ya que apoya una parte vulnerable de una red la cual es el router, gracias a los resultados arrojados por este programa podemos mejorar la seguridad de los que transitan por la red