Documente Academic
Documente Profesional
Documente Cultură
• Obtención de credenciales
• Vulnerabilidad: Se obtiene las credenciales de acceso de todos los usuarios del sistema TREP.
Nombre de Usuario y Contraseña de 7000 usuarios.
• Causa: Uso de MD5; algoritmo de cifrado depreciado debido a la facilidad en romperlo.
14 15 16
• Obtención de credenciales
• Vulnerabilidad: Pese al cambio de Cifrado aplicado por NEOTEC; es aún vulnerable.
• Causa: El cambio a Cifrado Simétrico permite nuevamente obtener las credenciales
despues de 30 min.
26
22 23 24 25
EHC Group
Entrega el reporte
de Análisis de Como resultado de una 29
Pese a la instrucción de Sala
28
EHC-REP-Infraestructura-de-Red- reunión entre NEOTEC, Plena; NEOTEC no accedió a
Seguridad de la
OEP-No-04.pdf EHC GROUP, Presidenta la instalación del Agente de
infraestructura de
red del Sistema y Vocales del TSE donde Monitoreo, argumentando un
de Cómputo. se expusieron las quiebre a la confidencialidad
Se incluyen recurrentes de la información en el
recomendaciones. vulnerabilidades y por proceso de Monitoréo.
decisión de Sala Plena se
instruye la instalación EHC Group demostró que
del Agente de Monitoreo independientemente a fallas
en la infraestrucura de del código desarrollado; el
27
Sistema de Cómputo y Monitoréo no accede a dicha
TREP. información por lo que
NEOTEC instaló y configuró
dicho Agente.
17/10 17/10
Protocolo de Cereado de Base de Datos
18/10 19/10
Protocolo de Cereado de Base de Datos
19/10 19/10
Linea de Tiempo durante el TREP
Incidente de Seguridad 2
Incidente de Seguridad 1
05:30 se desconectan los
34 23:20 se enciende una alerta 35 Agentes de Monitoreo del
de acceso por SSH al Servidor Servidor del TREP.
TREP.
Se recibe un email de Marcel Se modifica el Código de 3 Archivos
Cuenta de acceso pertenece a Guzmán indicando que encontró
Marcel Guzmán. una ”falla de código en TREP” Se Compila el Software nuevamente
en el boton de VALIDAR ACTA.
En comunicación con la
Se genera un nuevo HASH
persona indica que esta Esta falla no permite seguír Criptográfico
“Cereando” las Bases de Datos. validación a GOLPE 2.
19/10 20/10
Linea de Tiempo durante el TREP
Incidente de Seguridad 3
20/10 20/10
Linea de Tiempo durante el TREP
EHC Group
Recibe la lista de
direcciones IP de la
Red Confinada de NEOTEC A solicitud del
cada TED (Tribunal 39 Envía la lista de Director de
Electoral Servidores permitidos Tecnología del DNTIC,
dentro la EHC Group
Departamental). se genera un reporte
Infraestructura de Recibe la lista de
de conexiones
Monitoreo y direcciones IP de
Desde estas realizadas a servidores
Comunicaciones del equipos autorizados
direcciones IP se del TREP por el
TREP. para el envío de
enviarán las Actas usuario de NEOTEC
Actas del exterior
al Sistema de “ec2-user” en la nube
Cualquier otro del país.
Cómputo. de Amazon.
Servidor o dirección
38
IP fuera de esta lista 41
40
y que genere datos se
considera una alerta
de seguridad.
EHC Group
Detecta a las
EHC Group 18:49 una gran
42
NEOTEC
43
Detecta y reporta un cantidad de
(Marcel Guzmán) en Desde el punto de vista de ataque de DoS errores
seguridad y auditoría; en provenientes de
descargo al un tema tan delicado como
(Denegacion de
cuestionamiento Servicio) originado la misma
Elecciones, NADIE debería
referente a las en Colombia. Aplicación TREP.
conectarse al Servidor.
conexiones realizadas
por Ramiro Quispe y Mas 1 millon de Se notifica a
por él al servidor Según el Protocolo solicitudes en NEOTEC para
durante las establecido, todos estos menos de 1 hora al revisión.
elecciones; responde y accesos debían ser realizados Servidor de
en presencia de la DNTIC. 44
justifica que son Resultados
conexiones para Perimetrales TREP.
monitoreo del LOG.
NEOTEC
45 46 47
EHC Group No explica el motivo 30,000 peticiones cada 30 segundos.
Detecta a las 18:49 de la crecida EHC Group
una gran cantidad de cantidad de errores Detecta a las 19:30 Se dispara Alerta Máxima al NO
errores provenientes en la Base de Datos. una cantidad de reconocer el origen de peticiones.
de la misma tráfico excesivo
Aplicación TREP. Envía unicamente Se detecta que son Verificaciones de
desde una dirección Actas (Golpe 2).
un listado de Bases IP desconocida y NO
Se notifica a de Datos de un monitoreada DNTIC tampoco tiene conocimiento
NEOTEC para Servidor (10.1.0.222) de este Servidor.
revisión y Desconocido.
explicación del Se intenta en 2 ocasiones contactar
comportamiento. a Marcel Guzmán; sin respuesta.
NEOTEC
Explica que fue su
48 49
error no informar la 50
Se presentan los existencia de este
Vocales, Presidenta Servidor. EHC Group
del TSE, Marcel Explica que ese Presidenta del TSE y Vocales (no
António C.) instruyen detener TREP.
Guzmán y minutos Explica que lo hizo Servidor no estaba
después Ing. Antonio para cumplir una en el rango de Este evento fue el 5to. Acceso no
Costas. solicitud de la Monitoreo y al autorizado y sin supervisión.
Presidenta y los redirigir todo el
EHC Group vocales del TSE. tráfico del SERECI Se extraen Log de SO, Web server y
Muestra el hallazgo e para la verificación MySQL para revisión a detalle.
implicaciones de Ellos querían ver de Actas; se rompe
esta brecha de primero los con el esquema de
seguridad. resultados antes de Seguridad preparado.
ser publicados.
17:02 llega una notificación 17:22 llega un correo de NEOTEC indica que se
51 del director de DNTIC 52 NEOTEC donde indica que dará de baja los
autorizando un cambio que problema de Código genera un Servidores que reciben
debía hacerse directamente error de ”FLAT de Computo” la transmisión de los
sobre la Base de Datos. debe ser corregido. Teléfonos móviles.
54 55
NEOTEC 56
Reporta que se hizo el NEOTEC
cambio solicitado a las Realiza una
Incidente de Seguridad 7 06:50. actualización de
mesas computadas.
12:25 llega una nueva A las 12:22 NEOTEC
solicitud para realizar mas reporta que se hicieron No sabemos el
cambios en la Base de nuevos cambios sobre la porque de este
Datos. Base de Datos. procedimiento y
tampoco se hizo con
Ambos cambios fueron presencia de
realizados sin la observadores.
supervición de la DNTIC
ni EHC Group.
Incidente de Seguridad 8
57 59
Se recibe una
22:45 NEOTEC identifica Se procede a
notificación de falla
una falla (bug) en el continuar el Cómputo
de Visualización de
Coódigo. en el SIRECI de
municipios de Potosí.
Llallagüa, Potosí.
El director de DNTIC
NEOTEC notifica al día
autoriza la modificación a Se reciben la lista de
siguiente que ya se
la Aplicación. Direcciones IP dentro
resolvió el problema.
del Confinamiento.
El problema esta con los
nombres de municipios 58
con “apóstrofe”
NEOTEC notifica
08:25 se reportan nuevamente un Ataque DoS
NEOTEC notifica errores en la (Denegación de Servicio)
63 65
sobre un Ataque DoS visualización de Actas iniciado el 25/10 a las 06:30
(Denegación de del TREP via web. sobre el Servidor de
Servicio) iniciado el Resultados.
23/10 a las 21:33 EHC Group solicita
sobre el Servidor de información a NEOTEC NEOTEC solicita a EHC
Resultados. sobre la falla. Group el bloqueo de IP`s
atacantes.
El ataque estuvo NO se obtuvo
persistente hasta el respuesta. EHC Group indica que DNTIC
25/10 a las 01:00. administra el Servicio de
64
Cloudflare y son ellos
quienes deben realizar el
bloqueo.
Se reportan
Inconsistencias que
10:24 se notifican afectan más de 4000
66 67 68
Inconsistencias en el Se notifican nuevas votos.
TREP y en el Sistema Inconsistencias en el
de Cómputo. Sistema de Cómputo. No se muestran las
actas de las mesas
Al realizar una Existe inconsistencia entre 72341 hasta
consulta en TREP o en la Base de Datos; 72385.
en Sist. De Cómputo Los resultados en
y llenar Datos al pantalla son Se solicita la revisión
azár; se muestra una diferentes a los del debido a la presión de
Imagen de Acta Excel. los votantes.
Incorrecta,
perdiendo la NEOTEC responde que NEOTEC responde que
validación. No hay inconsistencia. NO hay inconsistencia.
NEOTEC solicita la
desactivación de
76 78
NEOTEC inicia el Generadores de
procedimiento de Backup Resultados en servidores
Se solicita a de Base de Datos e bo2, bo3, bo4, bo5 y
NEOTEC realizar un EHC Group solicita oep2.
informa que el acceso a que se realice una
Backup (respaldo) la misma estará
de la Base de Datos copia del Backup y Se solicita el apagado de
bloqueada en lo que dura que se genere el
del Cómputo y del el proceso. servidores bo4 y bo51.
TREP. HASH de integridad.
Toda la información presentada en este informe es real, no ha sufrido ninguna alteración y fue
elaborada siguiendo una metodología científica, respetando todos los aspectos concernientes a
Seguridad Informática y procesos de auditoría de seguridad.
Este informe solo representa un consolidado de la línea de tiempo desde el inicio de nuestra
participación con el TSE y el OEP para las elecciones presidenciales Bolivia 2019. Todos los
informes de nivel técnico ya fueron entregados a la comisión receptora y evaluadora dentro de
los tiempos que estipulaba nuestro contrato.
Conclusiónes
En cuanto al corte del TREP, si bien se concluyó que fue un error de omisión del
protocolo y no debería haberse realizado ese cambio sin autorización, está claro
que ese servidor no estaba en nuestro rango de monitoreo y al redirigir todo el
tráfico del SERECI para la verificación de actas, una tarea tan importante y
delicada a un servidor externo totalmente fuera del rango de monitoreo,
nosotros no podemos dar fe de toda la información que se ingresó en ese
momento y el proceso electoral pierde toda credibilidad al violarse el protocolo
de seguridad.
Conclusiónes
En cuanto al error en el algoritmo de TREP que Neotec denomina “Flat de Cómputo”, al ser un
error identificado de su algoritmo el cual nos mencionaron que se viene dando en todas las
elecciones (más de 4 años), nos demuestra que el TREP no es un sistema fiable y con errores de
programación que deberían haberse solucionado hace tiempo. Estos errores obligan a que se
tenga que acceder a la base de datos en producción durante la ejecución de las elecciones y
realizar cambios manuales lo que posteriormente cae en violación de la integridad.
Conclusiónes
En cuanto a las Inconsistencias con los datos de las actas que en ciertos
momentos daban una información y en otros momentos una diferente, las cuales
fueron observadas por la misma OEP y debido a la cantidad de cambios directos
a las bases de datos y sin supervisión de la DNTIC o de nuestra empresa, no
podemos certificar la integridad de la información que reposa actualmente en
los backups entregados por Neotec.
Conclusiónes