Documente Academic
Documente Profesional
Documente Cultură
Informe Ejecutivo
Ruben Recabarren
Rossana Ludea
Leandro Leoncini
rrecabarren@snsecurity.com
rludena@snsecurity.com
lleoncini@snsecurity.com
Caracas - Venezuela
Sinopsis
El presente informe contiene los resultados obtenidos del anlisis del
Reto Forense III, 2006. El escenario se plantea de la siguiente forma:
El administrador de sistemas de una pequea empresa ha notado que
existe una cuenta que l no cre en su sistema de ERP, por lo que
sospecha de algn ingreso no autorizado, del que desconoce el
alcance.
En el servidor donde se ejecutaba la aplicacin tena instalado el
sistema operativo Windows 2003, cuya principal funcin era
proporcionar acceso al sistema ERP a travs de la Web. Hace poco
tiempo que haban migrado al uso de este servidor.
Segn el administrador, trataba de mantener el sistema actualizado
por lo que no sabe cmo pudieron ingresar a su sistema. Sin embargo,
tambin mencion que ms de una persona tiene acceso a cuentas
privilegiadas en el sistema y acept que ocupaban a veces estas
cuentas para labores no slo administrativas, sino tambin personales
o para aplicaciones que no requeran ningn tipo de privilegio para
ejecutarse.
El desafo nos pide determinar si existi un ingreso no autorizado,
cmo ocurri y el alcance del dao al sistema y a la informacin
contenida en l.
Motivos de la Intrusin
Los motivos de la intrusin no son claros, puesto que el atacante no
tuvo demasiado tiempo para experimentar con el sistema penetrado.
Sin embargo, uno podra especular que fue una intrusin casual,
puesto que no se observa un enfoque puntual hacia un objetivo.
Adicionalmente, el intruso se limito a hacer una sola operacin,
extremadamente ruidosa, y no se observan ningn otro tipo de intento
o incidente provenientes de este mismo origen, ni relacionado.
Se puede especular que la realizacin de esta nueva cuenta, con los
mas altos privilegios, fue un intento no muy inteligente de garantizarse
una entrada alterna en caso que descubrieran que las credenciales
de acontreras haban sido comprometidas. Esto tal vez hubiera
sucedido en un sistema con muchos administradores, pero en uno con
muy un numero muy pequeo de encargados, no es posible que una
accin de este tipo pase desapercibida.
Finalmente, las tcnicas del atacante muestran una muy baja
sofisticacin, debido a que el sistema penetrado contena una gran
cantidad de vulnerabilidades que fueron desperdiciadas por el
atacante al proceder de una manera tan descuidada y ruidosa que
condujera a su deteccin.
Esto ayuda a reforzar an mas la tesis de que este fue un incidente
casual que no estaba necesariamente destinado a poner en peligro la
empresa o a sacar algn provecho particular de ella.
Desarrollo de la Intrusin
El desarrollo se produce durante el da 5 de febrero (horas y fechas
sacadas directamente de las bitcoras del sistema penetrado)
mediante los siguientes eventos:
Recomendaciones
Tomando en cuenta los hallazgos de esta investigacin, se
proponen las siguientes recomendaciones cuyo objetivo es
mejorar la postura de seguridad del sistema ERP comprometido: