Proceso de Auditoría de la

Seguridad de la
Información en las
Instituciones
Supervisadas por la CNBS

Julio 2005
 Proceso de Auditoría de la Seguridad de la
Información en las Instituciones Supervisadas por
la CNBS

 Introducción
 Descripción General de la Metodología
Utilizada
 Detalle de las tareas realizadas
 Principales vulnerabilidades de Seguridad en
el Sistema Financiero Hondureño
 Actividades a Corto Plazo
 Introducción
Objetivos:

 Brindar un servicio de consultoría en seguridad informática

de los riesgos externos (Internet) e internos en que pueden
verse involucrados los equipos de cómputo de las
Instituciones Financieras supervisadas por la CNBS.

 Determinar si la información crítica de las Instituciones en

términos de disponibilidad, integridad y confidencialidad
está expuesta y altamente en riesgo.

 Determinar si existen políticas de seguridad a nivel

institucional que protejan el activo “información”.

 Determinar si existe segmentación en las redes.

 Introducción
Objetivos:

 Determinar si la navegación en Internet por los usuarios de

la red interna se realiza de manera segura.

 Determinar si existen Procesos de Traslado de Desarrollo a

Producción.

 Determinar si existen Procesos de Respaldo y

Restauración.

 Fomentar la conciencia de Seguridad a nivel nacional.

 Introducción
Metodología:

 El análisis se desarrolla mediante la ejecución de ataques y

técnicas de penetración a sistemas informáticos (Hacking
ético).

 Lo que realmente hacemos es reproducir ataques

informáticos a los cuales pueden verse sometidas las
instituciones supervisadas y si logramos penetrar los
servidores de las instituciones podremos realizar las
recomendaciones técnicas oportunas.

Excepciones:

 Previendo no afectar el funcionamiento de los equipos y

servicios no se efectúan ataques de denegación de
servicios.
 Introducción
Información Requerida:

 Los ataques realizados desde la red interna se llevan a cabo sin ningún usuario
autorizado, únicamente con una dirección IP válida de la red.

 En cuanto a los ataques desde Internet, estos se realizan sin ningún

conocimiento previo es decir a partir de cero.

Entregable:

 Al final la auditoría se le entrega un reporte a la institución, el reporte presenta

un resumen ejecutivo de las principales debilidades encontradas en materia de
seguridad informática.

 El reporte también incluye los detalles de los puntos débiles encontrados y las
respectivas recomendaciones.
 Descripción General de la Metodología
 Es necesario conocer y tratar de pensar cómo
actúan los atacantes y piratas informáticos
para ser capaces recomendar soluciones
acerca de la seguridad de la información.

 Evaluar la configuración de la red tanto

privada como pública, determinando la forma
en como estas dos redes se interconectan,
verificar si existe segmentación.

 Identificar si existen dispositivos que garanticen la

privacidad de la red Interna de la institución ante la
amenaza de ataques externos.

 Determinar si existen Políticas de Seguridad a nivel

institucional y evaluar si están definidas y aplicadas en los
equipos de seguridad (FIREWALLS, ROUTERS, SWITCHES,
Servidores de Dominio, Filtros de Contenido, PROXY
SERVERS etc.)
 Descripción General de la Metodología
 Verificar que los equipos de seguridad estén configurados de tal
forma que no permitan transferencia de información que ponga en
riesgo la red Interna, como ser transferencias de Zonas DNS,
publicación de Direcciones IP, retransmisión de paquetes a
solicitud de ataques de HACKERS etc.

 Identificar si la institución cuenta con un Sistema de Detección o

Prevención de Intrusos, Antivirus Corporativo, Filtros de
contenido, Servidores de Actualización etc.

8vyaleh31&d ktu.dtrw8743$Fie*n3h3434234234234
Descripción General de la Metodología

 Evaluar las políticas de

acceso a información
externa, y el nivel de
monitoreo de las mismas, a
fin de establecer el nivel de
riesgo a que puede verse
expuesta la red privada.

 Identificar y evaluar los

mecanismos de alerta y
notificación de los aspectos
que se consideran
irregulares dentro de la
administración del sistema.
 Descripción General de la Metodología

Evaluación de los Dispositivos

 Verificar que los Sistemas Operativos

hayan sido instalados de acuerdo a
las recomendaciones de hardware,
configuraciones especiales y Parches
necesarios que estén definidos para
la plataforma que se ha instalado.
 Verificar que todas las versiones de software instalado, se
encuentren actualizadas a la última versión del mismo, o que
contengan todas las actualizaciones que el fabricante haya
puesto a disponibilidad de esa plataforma y versión.

 Verificar que la configuración de los servidores se encuentre

ajustada a las necesidades de la empresa, esto es que no
mantenga activo servicios y protocolos que la empresa no
pretenda usar.
 Descripción General de la Metodología

Evaluación de los dispositivos

 Verificar que hayan sido deshabilitados todos

aquellos usuarios que el sistema, base de datos u
otro software aplicativo en uso, hayan definido
por defecto, y que no serán de utilidad.

 Verificar que exista un software antivirus

corporativo actualizado, que garantice la
integridad del software y datos críticos de la
institución.

 Verificar que exista un plan de respaldo y

recuperación tanto a nivel de política establecida
así como a nivel del sistema.
 Descripción General de la Metodología

Evaluación de los dispositivos

 Evaluar si se utilizan protocolos que transmiten los

datos en claro, de ser así estos deben ser
reemplazados por protocolos que encriptan la
información.

 Verificar si existen usuarios definidos en el sistema

que no deberían existir, por ejemplo usuarios
invitados o usuarios creados por intrusos, así como
programas con código malicioso como troyanos o
puertas traseras (Informática Forense).

 Verificar si está activa la auditoría en los equipos

principales, servidores o dispositivos de red.
 Descripción General de la Metodología
Evaluación de los dispositivos

 Revisar los permisos que tienen cada uno de los usuarios

tanto a nivel de Directorios y archivos como a nivel de
comandos, servicios y protocolos.

 Verificar que existan políticas de seguridad de contraseñas

definidas en el sistema, esto es para minimizar el riesgo de
penetración, por ejemplo se debe establecer como política de
seguridad el forzar a cambiar regularmente las contraseñas y
el establecer tiempos de caducidad de las mismas

 Verificar que las contraseñas sean robustas y que se hayan

modificado las contraseñas que vienen por omisión tanto en
los sistemas operativos como en los programas de
administración instalados

 Evaluar que el acceso físico a los servidores esté restringido

 Descripción General de la Metodología

Estaciones de Trabajo

 Verificar que estén aplicados los parches de seguridad mas

recientes del sistema operativo y software instalados

 El Software antivirus debe estar actualizado

 No deben existir carpetas compartidas

 Verificar que no esté instalado software que pueda poner el

riesgo el funcionamiento de la red o la información misma
 Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna

1. Seguridad de Protocolos TCP/IP

 En esta fase se pretende obtener información sobre los

servidores de la organización que serán atacados.

 Una vez que sabemos cuáles son los servidores y sus

sistemas operativos realizamos conexiones a los mismos
utilizando usuarios y contraseñas que vienen por omisión
en cada sistema operativo, si alguno de ellos no ha sido
modificado habremos penetrado sin ningún problema.
 Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna

 Se realiza un rastreo de puertos tanto de los servidores

como de los dispositivos de comunicaciones, es a través de
estos puertos que se intenta realizar la penetración.

 Herramienta utilizada: nmap

 Una vez determinados cuáles son los puertos abiertos en

cada equipo, procedemos a explotar las vulnerabilidades
conocidas de cada puerto y servicio tcp o udp.
 Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna

 Intentamos averiguar para cada servidor y equipo de

comunicación los siguientes datos:

 las interfaces de red conectadas

 los recursos compartidos
 los servicios instalados
 cuentas de usuario
 redes conectadas
 direcciones Mac
 Rutas
 Conexiones Activas
 Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna

 Se determina si algún dispositivo tiene activo el protocolo

SNMP y si está configurado con las contraseñas de
comunidad por omisión, si es así podremos tomar control
total sobre el dispositivo.

 Herramienta utilizada: SolarWinds

 Una vez que sabemos los puertos y protocolos disponibles

procedemos a realizar ataques de diccionario y ataques de
fuerza bruta contra ciertos protocolos como Ftp, http, pop3
(Podemos averiguar la contraseña de correo de todos los
usuarios), snmp, telnet etc.
 Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna

 Herramienta utilizada: Brutus

 Un ataque de diccionario consiste en probar una

combinación de todos los usuarios y contraseñas
posibles basados en un diccionario.

 Un ataque de fuerza bruta consiste en probar una

combinación de todos los usuarios y contraseñas
posibles basados en todos los caracteres
disponibles.
 Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna
Ataques a Protocolos
Utilizar un rastreador de redes, mediante estos aplicaciones
podemos ver todo el tráfico de información que circula a
través de la red, con el objetivo de capturar información
valiosa como las contraseñas de los administradores,
también podemos capturar contraseñas de protocolos como
POP3, telnet, FTP, SNMP,Oracle SQL*Net etc.

 Herramientas utilizadas: Ethereal + Ettercap, Cain, Iris

 Recomendaciones: No utilizar protocolos que transmiten la

información en claro, utilizar por ejemplo el protocolo SSH
en lugar de FTP yTelnet, El SSH transmite la información en
forma cifrada.
 Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna
2. Información del Objetivo

 Dibujar un diagrama de la red, esto nos dará un amplio

panorama de la estructura y situación actual de la red.

 Herramientas utilizadas: Cheops, Networkview

 Si los sistemas operativos y los programas instalados en

servidores y equipos de comunicación no están
actualizados y parchados, es posible acceder al archivo de
contraseñas para luego descifrarlos localmente.
 Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna

 Existen muchos métodos para obtener estos archivos

dependiendo de la vulnerabilidad no parchada y del sistema
operativo, también existen varias herramientas para
descifrar las contraseñas.

 Herramientas utilizadas: enum, pwdump, john the ripper.

 Existe una serie de ataques que pueden hacerse contra

servidores y equipos no parchados, por ejemplo ataques de
buffer Overflow.
 Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna

 Buffer Overflow (Programas que provocan un

desbordamiento de la memoria y retornan un shell del
Sistema Operativo)

 Recomendaciones: Establecer políticas que permitan

mantener actualizados y parchados los recursos
informáticos de la red.

 Proteger los archivos importantes relacionados a la

seguridad, tanto a nivel de sistemas operativos como de
datos.

 Establecer políticas de creación y cambio de contraseñas

con el fin de dificultar la averiguación de las mismas.
 Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna

 Determinar todas las carpetas compartidas dentro de la

red, estas representan un foco de infección de virus y de
pérdida de información, utilizamos programas que además
de listar las carpetas compartidas averigua las contraseñas
en segundos.

 Recomendación: Establecer una política de seguridad que

prohíba la creación de carpetas compartidas.
 Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna

3. Ataques a Servidores

 Verificar la existencia de servicios que estén mal

configurados desde el punto de vista de la seguridad, así
como la existencia de servicios innecesarios para la
empresa, por ejemplo el IIS v5 instala programas ejemplo
que permiten navegar ( y modificar) en el disco duro del
Web Server de la compañía, o cualquier otro servidor que
tenga instalado el IIS.

 Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa,

www.securityfocus.com, Netcat, Metaexploit.
 Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna
 Recomendación: Hacer un inventario de todos los servicios
instalados a fin de determinar cuáles son necesarios y cuáles no.

 Revisar la configuración de los servicios existentes.

 Análisis de los siguientes puntos:

• Ataques vía ODBC
• Revisión de existencia de Puertas Traseras
• Emuladores de terminales (Configuración)
• Revisar los privilegios asignados a los usuarios
• Determinar si existen cuentas que pertenezcan a usuarios
que ya no trabajan en la empresa.
• Verificar si es posible que los usuarios actuales tienen la
posiblidad de Elevación de Privilegios
 Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Externa

4. Establecimiento del objetivo

 En esta fase se busca obtener la mayor información general

disponible de la víctima, información como direcciones IP
externas, nombres de los responsables técnicos de la
institución, sistemas operativos y sus versiones, etc.

 Para realizar esta actividad realizamos búsquedas en

Internet de información relacionada con la empresa, por
ejemplo podemos determinar las páginas que tengan
enlaces al sitio de la víctima o listar todas las páginas que
componen el sitio Internet de la empresa.
 Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Externa
 Otra información que podemos obtener es la lista de
servidores de la empresa, con esto podremos determinar
cuál es servidor de correo, el firewall, el DNS, el Web
Server, etc.

 Herramienta utilizada: Nslookup

 También obtenemos información como cuál es el proveedor

de Internet de la organización, el sistema operativo del
Web server, el historial de cambios de direcciones IP o de
proveedor de internet y datos acerca de un posible sitio
seguro que utilice el protocolo https.

 Herramienta utilizada: www.netcraft.com

 Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Externa
 Intentamos averiguamos para cada servidor y equipos de comunicación
datos tales como los siguientes:

• las interfaces de red conectadas

• los recursos compartidos
• los servicios instalados
• cuentas de usuario
• redes conectadas
• direcciones Mac
• Rutas
• Conexiones Activas

 También intentamos determinar si algún dispositivo tiene activo el

protocolo SNMP y están configuradas las contraseñas por omisión, si es
así podremos tomar control total sobre el dispositivo.
 Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Externa

 Una vez que sabemos los puertos y protocolos disponibles

procedemos a realizar ataques de diccionario y ataques de
fuerza bruta contra ciertos protocolos como Ftp, http, pop3,
snmp, telnet, etc.

 También se determinan las vulnerabilidades existentes para

los puertos y protocolos disponibles y se intenta penetrar a
través de las mismas.

 Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa,

www.securityfocus.com, Netcat, Metaexploit.
 Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Externa
 Ataques a las aplicaciones de Internet
• Verificar si las aplicaciones de Internet son susceptibles a ataques de:
• SQL Injection
• Cross-Site Scripting
• Secuestro de Sesiones válidas
• Ataques de diccionario y/o Fuerza bruta

 Algunas Recomendaciones:
• Validar todos los campos de entrada
• Almacenar en bitácora todas las transacciones realizadas por los usuarios
• No escribir contraseñas o claves para descifrar contraseñas dentro del
código
• Las aplicaciones no deben efectuar sentencias directamente a la base de
datos
 Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Externa
 Algunas Recomendaciones:
• El proceso de encripción de las contraseñas debe incluir una llave de encripción
propia de la institución mas datos particulares del usuario (Valor SALT), de tal
forma que la contraseña almacenada no sea simplemente el resultado del algoritmo
de encripción y de esta forma protegerla contra ataques de diccionario o fuerza
bruta.

• La identificación o administración de la sesión debe ser llevada a cabo por la

aplicación y no por el Servidor de Internet

• La base de datos debe estar en un servidor separado del Servidor de Internet o

servidor de aplicaciones.

• Las aplicaciones deben asegurar que ningún parámetro con información útil para un
posible atacante viaje a través del navegador del cliente y así evitar que estos
parámetros puedan ser manipulados, esto incluye las consultas a nivel de URL.
Principales debilidades de Seguridad encontradas en
el
Sistema Financiero Nacional

• En general no existe conciencia de Seguridad Informática a nivel nacional

• No existe un Área de Seguridad dedicada a tiempo completo a proteger

la disponibilidad, integridad y confidencialidad de la información

• No existen políticas de seguridad a nivel institucional que protejan el

activo “información”

• No existe segmentación en la arquitectura de la red, los servidores de

producción están en el mismo segmento de red que las estaciones de
trabajo.

• No existe control sobre las carpetas compartidas en la red

Principales debilidades de Seguridad encontradas en el
Sistema Financiero Nacional

• En algunas instituciones no existe un sistema automatizado que permita las

actualizaciones de seguridad en los sistemas operativos

• La navegación a Internet se realiza desde la red interna lo cual expone tanto la red
interna como todas las redes a las cuales esté conectado el usuario

• En algunas instituciones no están instalados Sistemas de Prevención o Detección de

Intrusos a nivel de red.

• No existe una correcta separación de los ambientes de desarrollo y producción

• Configuraciones de servidores y equipos de comunicación sin controles de seguridad

• En algunas instituciones es posible que un atacante ingrese a la red interna desde Internet
Principales debilidades de Seguridad encontradas en el
Sistema Financiero Nacional

• Lo anterior conlleva un sinnúmero de riesgos entre los que se

destacan la sustracción, eliminación o modificación de la
información sensitiva del banco, por ejemplo es posible obtener el
archivo de contraseñas de los usuarios de la aplicación de banca
electrónica, descifrarlas e ingresar al sistema con usuarios válidos,
habilitando al atacante a realizar transferencias bancarias o
cualquier servicio disponible en el sitio de la institución.

• Se utilizan protocolos a nivel de red que envían información en

claro la cual puede ser interceptada por cualquier usuario y de esta
forma obtener contraseñas o cualquier tipo de información que
ponga en peligro la seguridad de la información de la institución
 Actividades a Corto Plazo

• Actualmente la CNBS está creando la primera Normativa para el Sistema

Financiero en relación a la Seguridad Informática, la normativa pretende regular
los aspectos mas relevantes de la seguridad informática en las instituciones del
sistema financiero nacional:

 Crear un Área de Seguridad Informática

 Regular la documentación tecnológica
 Generar registros de auditoría
 Outsourcing de Tecnologías de Información
 Generación de políticas de Seguridad
 Actividades a Corto Plazo
 Regular la confidencialidad de la información:
• (1) Identificación y autentificación,
• (2) Privacidad y confidencialidad,
• (3) Integridad y disponibilidad, y
• (4) No-repudio.
 Regular la Arquitectura de Red
 Regular la Banca Electrónica
 Respaldo y Recuperación
 Actividades a Corto Plazo

• Actualmente la CNBS está creando el Área de Seguridad Informática que se encargará entre otras funciones
de:

 Generar políticas de Seguridad a nivel de la CNBS:

• Uso de Internet
• Uso del Correo Electrónico
• Uso de las estaciones de Trabajo
• Proceso Antivirus
• Adquisición de Hardware y Software
• Seguridad de Contraseñas
• Seguridad de la Información Sensitiva
• Seguridad de Servidores
• Seguridad de equipos de comunicación
• Seguridad en redes inalámbricas (Si existen)
• Seguridad en Redes con Terceros
• Acceso y Configuración remotos.
 Actividades a Corto Plazo

 Entregar prototipos de Políticas de Seguridad a las

instituciones del Sistema Financiero Nacional.

 Desarrollar Normativa hacia las Instituciones del Sistema

Financiero Nacional referente a los controles de Seguridad
mínimo en el proceso de Comercio Electrónico y
arquitectura de Redes.

 Llevar a cabo pruebas de penetración periódicas (Hacking

ético) a las redes externas e internas de la CNBS y de las
Instituciones para descubrir vulnerabilidades de Seguridad
y realizar las recomendaciones respectivas.
 Actividades a Corto Plazo
 Involucrase en el diseño de los Sistemas de Información
Internos de la CNBS para garantizar que el código de los
programas se desarrolle tomando en cuenta la Seguridad
de la Información.

 Reacción, en conjunto con la División de Operaciones, ante

incidentes de Seguridad dentro de las redes de la CNBS y
las Instituciones del sistema Financiero Nacional.

 Crear un ambiente y una cultura de Seguridad a nivel del

Sistema Financiero Nacional y la CNBS, para esto se deben
llevar a cabo campañas de concientización a los usuarios
en el tema de la importancia de la Seguridad de la
Información.
 Taller Demostrativo

Servidor de Agencia
20.0.0.3

HS1 HS2 OK1 OK2 PS

COL-
ACT-
STA-
1 2 3 4 5 6 7 8 9101112 CONSOLE

Switch de Agencia
20.0.0.2
20.0.0.1

ROUTER
Servidor de Base de Datos
10.0.0.3
10.0.0.1

HS1 HS2 OK1 OK2 PS COL-

ACT-
STA-
1 2 3 4 5 6 7 8 9101112 CONSOLE

Switch de Oficina Principal

10.0.0.5

PC del Administrador de la Red

Controlador de Dominio 10.0.0.4
10.0.0.2
 Taller Demostrativo
Conexión TCP

Syn

Syn tAck

Ack PC B
PC A
Muchas Gracias
por su Atención!