Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS

Transcripción

1 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Julio 2005

2 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Introducción Descripción General de la Metodología Utilizada Detalle de las tareas realizadas Principales vulnerabilidades de Seguridad en el Sistema Financiero Hondureño Actividades a Corto Plazo

3 Introducción Objetivos: Brindar un servicio de consultoría en seguridad informática de los riesgos externos (Internet) e internos en que pueden verse involucrados los equipos de cómputo de las Instituciones Financieras supervisadas por la CNBS. Determinar si la información crítica de las Instituciones en términos de disponibilidad, integridad y confidencialidad está expuesta y altamente en riesgo. Determinar si existen políticas de seguridad a nivel institucional que protejan el activo información. Determinar si existe segmentación en las redes.

4 Introducción Objetivos: Determinar si la navegación en Internet por los usuarios de la red interna se realiza de manera segura. Determinar si existen Procesos de Traslado de Desarrollo a Producción. Determinar si existen Procesos de Respaldo y Restauración. Fomentar la conciencia de Seguridad a nivel nacional.

5 Metodología: Introducción El análisis se desarrolla mediante la ejecución de ataques y técnicas de penetración a sistemas informáticos (Hacking ético). Lo que realmente hacemos es reproducir ataques informáticos a los cuales pueden verse sometidas las instituciones supervisadas y si logramos penetrar los servidores de las instituciones podremos realizar las recomendaciones técnicas oportunas. Excepciones: Previendo no afectar el funcionamiento de los equipos y servicios no se efectúan ataques de denegación de servicios.

6 Información Requerida: Introducción Los ataques realizados desde la red interna se llevan a cabo sin ningún usuario autorizado, únicamente con una dirección IP válida de la red. En cuanto a los ataques desde Internet, estos se realizan sin ningún conocimiento previo es decir a partir de cero. Entregable: Al final la auditoría se le entrega un reporte a la institución, el reporte presenta un resumen ejecutivo de las principales debilidades encontradas en materia de seguridad informática. El reporte también incluye los detalles de los puntos débiles encontrados y las respectivas recomendaciones.

7 Descripción General de la Metodología Es necesario conocer y tratar de pensar cómo actúan los atacantes y piratas informáticos para ser capaces recomendar soluciones acerca de la seguridad de la información. Evaluar la configuración de la red tanto privada como pública, determinando la forma en como estas dos redes se interconectan, verificar si existe segmentación. Identificar si existen dispositivos que garanticen la privacidad de la red Interna de la institución ante la amenaza de ataques externos. Determinar si existen Políticas de Seguridad a nivel institucional y evaluar si están definidas y aplicadas en los equipos de seguridad (FIREWALLS, ROUTERS, SWITCHES, Servidores de Dominio, Filtros de Contenido, PROXY SERVERS etc.)

8 Descripción General de la Metodología Verificar que los equipos de seguridad estén configurados de tal forma que no permitan transferencia de información que ponga en riesgo la red Interna, como ser transferencias de Zonas DNS, publicación de Direcciones IP, retransmisión de paquetes a solicitud de ataques de HACKERS etc. Identificar si la institución cuenta con un Sistema de Detección o Prevención de Intrusos, Antivirus Corporativo, Filtros de contenido, Servidores de Actualización etc. 8vyaleh31&d ktu.dtrw8743$fie*n3h

9 Descripción General de la Metodología Evaluar las políticas de acceso a información externa, y el nivel de monitoreo de las mismas, a fin de establecer el nivel de riesgo a que puede verse expuesta la red privada. Identificar y evaluar los mecanismos de alerta y notificación de los aspectos que se consideran irregulares dentro de la administración del sistema.

10 Descripción General de la Metodología Evaluación de los Dispositivos Verificar que los Sistemas Operativos hayan sido instalados de acuerdo a las recomendaciones de hardware, configuraciones especiales y Parches necesarios que estén definidos para la plataforma que se ha instalado. Verificar que todas las versiones de software instalado, se encuentren actualizadas a la última versión del mismo, o que contengan todas las actualizaciones que el fabricante haya puesto a disponibilidad de esa plataforma y versión. Verificar que la configuración de los servidores se encuentre ajustada a las necesidades de la empresa, esto es que no mantenga activo servicios y protocolos que la empresa no pretenda usar.

11 Descripción General de la Metodología Evaluación de los dispositivos Verificar que hayan sido deshabilitados todos aquellos usuarios que el sistema, base de datos u otro software aplicativo en uso, hayan definido por defecto, y que no serán de utilidad. Verificar que exista un software antivirus corporativo actualizado, que garantice la integridad del software y datos críticos de la institución. Verificar que exista un plan de respaldo y recuperación tanto a nivel de política establecida así como a nivel del sistema.

12 Descripción General de la Metodología Evaluación de los dispositivos Evaluar si se utilizan protocolos que transmiten los datos en claro, de ser así estos deben ser reemplazados por protocolos que encriptan la información. Verificar si existen usuarios definidos en el sistema que no deberían existir, por ejemplo usuarios invitados o usuarios creados por intrusos, así como programas con código malicioso como troyanos o puertas traseras (Informática Forense). Verificar si está activa la auditoría en los equipos principales, servidores o dispositivos de red.

13 Descripción General de la Metodología Evaluación de los dispositivos Revisar los permisos que tienen cada uno de los usuarios tanto a nivel de Directorios y archivos como a nivel de comandos, servicios y protocolos. Verificar que existan políticas de seguridad de contraseñas definidas en el sistema, esto es para minimizar el riesgo de penetración, por ejemplo se debe establecer como política de seguridad el forzar a cambiar regularmente las contraseñas y el establecer tiempos de caducidad de las mismas Verificar que las contraseñas sean robustas y que se hayan modificado las contraseñas que vienen por omisión tanto en los sistemas operativos como en los programas de administración instalados Evaluar que el acceso físico a los servidores esté restringido

14 Descripción General de la Metodología Estaciones de Trabajo Verificar que estén aplicados los parches de seguridad mas recientes del sistema operativo y software instalados El Software antivirus debe estar actualizado No deben existir carpetas compartidas Verificar que no esté instalado software que pueda poner el riesgo el funcionamiento de la red o la información misma

15 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna 1. Seguridad de Protocolos TCP/IP En esta fase se pretende obtener información sobre los servidores de la organización que serán atacados. Una vez que sabemos cuáles son los servidores y sus sistemas operativos realizamos conexiones a los mismos utilizando usuarios y contraseñas que vienen por omisión en cada sistema operativo, si alguno de ellos no ha sido modificado habremos penetrado sin ningún problema.

16 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Se realiza un rastreo de puertos tanto de los servidores como de los dispositivos de comunicaciones, es a través de estos puertos que se intenta realizar la penetración. Herramienta utilizada: nmap Una vez determinados cuáles son los puertos abiertos en cada equipo, procedemos a explotar las vulnerabilidades conocidas de cada puerto y servicio tcp o udp.

17 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Intentamos averiguar para cada servidor y equipo de comunicación los siguientes datos: las interfaces de red conectadas los recursos compartidos los servicios instalados cuentas de usuario redes conectadas direcciones Mac Rutas Conexiones Activas

18 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Se determina si algún dispositivo tiene activo el protocolo SNMP y si está configurado con las contraseñas de comunidad por omisión, si es así podremos tomar control total sobre el dispositivo. Herramienta utilizada: SolarWinds Una vez que sabemos los puertos y protocolos disponibles procedemos a realizar ataques de diccionario y ataques de fuerza bruta contra ciertos protocolos como Ftp, http, pop3 (Podemos averiguar la contraseña de correo de todos los usuarios), snmp, telnet etc.

19 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Herramienta utilizada: Brutus Un ataque de diccionario consiste en probar una combinación de todos los usuarios y contraseñas posibles basados en un diccionario. Un ataque de fuerza bruta consiste en probar una combinación de todos los usuarios y contraseñas posibles basados en todos los caracteres disponibles.

20 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Ataques a Protocolos Utilizar un rastreador de redes, mediante estos aplicaciones podemos ver todo el tráfico de información que circula a través de la red, con el objetivo de capturar información valiosa como las contraseñas de los administradores, también podemos capturar contraseñas de protocolos como POP3, telnet, FTP, SNMP,Oracle SQL*Net etc. Herramientas utilizadas: Ethereal + Ettercap, Cain, Iris Recomendaciones: No utilizar protocolos que transmiten la información en claro, utilizar por ejemplo el protocolo SSH en lugar de FTP ytelnet, El SSH transmite la información en forma cifrada.

21 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna 2. Información del Objetivo Dibujar un diagrama de la red, esto nos dará un amplio panorama de la estructura y situación actual de la red. Herramientas utilizadas: Cheops, Networkview Si los sistemas operativos y los programas instalados en servidores y equipos de comunicación no están actualizados y parchados, es posible acceder al archivo de contraseñas para luego descifrarlos localmente.

22 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Existen muchos métodos para obtener estos archivos dependiendo de la vulnerabilidad no parchada y del sistema operativo, también existen varias herramientas para descifrar las contraseñas. Herramientas utilizadas: enum, pwdump, john the ripper. Existe una serie de ataques que pueden hacerse contra servidores y equipos no parchados, por ejemplo ataques de buffer Overflow.

23 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Buffer Overflow (Programas que provocan un desbordamiento de la memoria y retornan un shell del Sistema Operativo) Recomendaciones: Establecer políticas que permitan mantener actualizados y parchados los recursos informáticos de la red. Proteger los archivos importantes relacionados a la seguridad, tanto a nivel de sistemas operativos como de datos. Establecer políticas de creación y cambio de contraseñas con el fin de dificultar la averiguación de las mismas.

24 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Determinar todas las carpetas compartidas dentro de la red, estas representan un foco de infección de virus y de pérdida de información, utilizamos programas que además de listar las carpetas compartidas averigua las contraseñas en segundos. Recomendación: Establecer una política de seguridad que prohíba la creación de carpetas compartidas.

25 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna 3. Ataques a Servidores Verificar la existencia de servicios que estén mal configurados desde el punto de vista de la seguridad, así como la existencia de servicios innecesarios para la empresa, por ejemplo el IIS v5 instala programas ejemplo que permiten navegar ( y modificar) en el disco duro del Web Server de la compañía, o cualquier otro servidor que tenga instalado el IIS. Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa, Netcat, Metaexploit.

26 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Recomendación: Hacer un inventario de todos los servicios instalados a fin de determinar cuáles son necesarios y cuáles no. Revisar la configuración de los servicios existentes. Análisis de los siguientes puntos: Ataques vía ODBC Revisión de existencia de Puertas Traseras Emuladores de terminales (Configuración) Revisar los privilegios asignados a los usuarios Determinar si existen cuentas que pertenezcan a usuarios que ya no trabajan en la empresa. Verificar si es posible que los usuarios actuales tienen la posiblidad de Elevación de Privilegios

27 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Externa 4. Establecimiento del objetivo En esta fase se busca obtener la mayor información general disponible de la víctima, información como direcciones IP externas, nombres de los responsables técnicos de la institución, sistemas operativos y sus versiones, etc. Para realizar esta actividad realizamos búsquedas en Internet de información relacionada con la empresa, por ejemplo podemos determinar las páginas que tengan enlaces al sitio de la víctima o listar todas las páginas que componen el sitio Internet de la empresa.

28 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Externa Otra información que podemos obtener es la lista de servidores de la empresa, con esto podremos determinar cuál es servidor de correo, el firewall, el DNS, el Web Server, etc. Herramienta utilizada: Nslookup También obtenemos información como cuál es el proveedor de Internet de la organización, el sistema operativo del Web server, el historial de cambios de direcciones IP o de proveedor de internet y datos acerca de un posible sitio seguro que utilice el protocolo https. Herramienta utilizada:

29 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Externa Intentamos averiguamos para cada servidor y equipos de comunicación datos tales como los siguientes: las interfaces de red conectadas los recursos compartidos los servicios instalados cuentas de usuario redes conectadas direcciones Mac Rutas Conexiones Activas También intentamos determinar si algún dispositivo tiene activo el protocolo SNMP y están configuradas las contraseñas por omisión, si es así podremos tomar control total sobre el dispositivo.

30 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Externa Una vez que sabemos los puertos y protocolos disponibles procedemos a realizar ataques de diccionario y ataques de fuerza bruta contra ciertos protocolos como Ftp, http, pop3, snmp, telnet, etc. También se determinan las vulnerabilidades existentes para los puertos y protocolos disponibles y se intenta penetrar a través de las mismas. Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa, Netcat, Metaexploit.

31 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Externa Ataques a las aplicaciones de Internet Verificar si las aplicaciones de Internet son susceptibles a ataques de: SQL Injection Cross-Site Scripting Secuestro de Sesiones válidas Ataques de diccionario y/o Fuerza bruta Algunas Recomendaciones: Validar todos los campos de entrada Almacenar en bitácora todas las transacciones realizadas por los usuarios No escribir contraseñas o claves para descifrar contraseñas dentro del código Las aplicaciones no deben efectuar sentencias directamente a la base de datos

32 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Externa Algunas Recomendaciones: El proceso de encripción de las contraseñas debe incluir una llave de encripción propia de la institución mas datos particulares del usuario (Valor SALT), de tal forma que la contraseña almacenada no sea simplemente el resultado del algoritmo de encripción y de esta forma protegerla contra ataques de diccionario o fuerza bruta. La identificación o administración de la sesión debe ser llevada a cabo por la aplicación y no por el Servidor de Internet La base de datos debe estar en un servidor separado del Servidor de Internet o servidor de aplicaciones. Las aplicaciones deben asegurar que ningún parámetro con información útil para un posible atacante viaje a través del navegador del cliente y así evitar que estos parámetros puedan ser manipulados, esto incluye las consultas a nivel de URL.

33 Principales debilidades de Seguridad encontradas en el Sistema Financiero Nacional En general no existe conciencia de Seguridad Informática a nivel nacional No existe un Área de Seguridad dedicada a tiempo completo a proteger la disponibilidad, integridad y confidencialidad de la información No existen políticas de seguridad a nivel institucional que protejan el activo información No existe segmentación en la arquitectura de la red, los servidores de producción están en el mismo segmento de red que las estaciones de trabajo. No existe control sobre las carpetas compartidas en la red

34 Principales debilidades de Seguridad encontradas en el Sistema Financiero Nacional En algunas instituciones no existe un sistema automatizado que permita las actualizaciones de seguridad en los sistemas operativos La navegación a Internet se realiza desde la red interna lo cual expone tanto la red interna como todas las redes a las cuales esté conectado el usuario En algunas instituciones no están instalados Sistemas de Prevención o Detección de Intrusos a nivel de red. No existe una correcta separación de los ambientes de desarrollo y producción Configuraciones de servidores y equipos de comunicación sin controles de seguridad En algunas instituciones es posible que un atacante ingrese a la red interna desde Internet

35 Principales debilidades de Seguridad encontradas en el Sistema Financiero Nacional Lo anterior conlleva un sinnúmero de riesgos entre los que se destacan la sustracción, eliminación o modificación de la información sensitiva del banco, por ejemplo es posible obtener el archivo de contraseñas de los usuarios de la aplicación de banca electrónica, descifrarlas e ingresar al sistema con usuarios válidos, habilitando al atacante a realizar transferencias bancarias o cualquier servicio disponible en el sitio de la institución. Se utilizan protocolos a nivel de red que envían información en claro la cual puede ser interceptada por cualquier usuario y de esta forma obtener contraseñas o cualquier tipo de información que ponga en peligro la seguridad de la información de la institución

36 Actividades a Corto Plazo Actualmente la CNBS está creando la primera Normativa para el Sistema Financiero en relación a la Seguridad Informática, la normativa pretende regular los aspectos mas relevantes de la seguridad informática en las instituciones del sistema financiero nacional: Crear un Área de Seguridad Informática Regular la documentación tecnológica Generar registros de auditoría Outsourcing de Tecnologías de Información Generación de políticas de Seguridad

37 Actividades a Corto Plazo Regular la confidencialidad de la información: (1) Identificación y autentificación, (2) Privacidad y confidencialidad, (3) Integridad y disponibilidad, y (4) No-repudio. Regular la Arquitectura de Red Regular la Banca Electrónica Respaldo y Recuperación

38 Actividades a Corto Plazo Actualmente la CNBS está creando el Área de Seguridad Informática que se encargará entre otras funciones de: Generar políticas de Seguridad a nivel de la CNBS: Uso de Internet Uso del Correo Electrónico Uso de las estaciones de Trabajo Proceso Antivirus Adquisición de Hardware y Software Seguridad de Contraseñas Seguridad de la Información Sensitiva Seguridad de Servidores Seguridad de equipos de comunicación Seguridad en redes inalámbricas (Si existen) Seguridad en Redes con Terceros Acceso y Configuración remotos.

39 Actividades a Corto Plazo Entregar prototipos de Políticas de Seguridad a las instituciones del Sistema Financiero Nacional. Desarrollar Normativa hacia las Instituciones del Sistema Financiero Nacional referente a los controles de Seguridad mínimo en el proceso de Comercio Electrónico y arquitectura de Redes. Llevar a cabo pruebas de penetración periódicas (Hacking ético) a las redes externas e internas de la CNBS y de las Instituciones para descubrir vulnerabilidades de Seguridad y realizar las recomendaciones respectivas.

40 Actividades a Corto Plazo Involucrase en el diseño de los Sistemas de Información Internos de la CNBS para garantizar que el código de los programas se desarrolle tomando en cuenta la Seguridad de la Información. Reacción, en conjunto con la División de Operaciones, ante incidentes de Seguridad dentro de las redes de la CNBS y las Instituciones del sistema Financiero Nacional. Crear un ambiente y una cultura de Seguridad a nivel del Sistema Financiero Nacional y la CNBS, para esto se deben llevar a cabo campañas de concientización a los usuarios en el tema de la importancia de la Seguridad de la Información.

41 Taller Demostrativo Servidor de Agencia ROUTER Switch de Agencia Servidor de Base de Datos Switch de Oficina Principal Controlador de Dominio PC del Administrador de la Red

42 Taller Demostrativo Conexión TCP Syn Syn tack PC A Ack PC B

43 Muchas Gracias por su Atención!