Vous êtes sur la page 1sur 10

INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.

Auditoria Tcnica en seguridad de la Informacion


Primera auditoria tcnica anual
Autor: Ing. Armando Carvajal, Master en seguridad de la informacin Universidad Oberta de Catalunia, especialista en software para redes de la universidad de los Andes, ingeniero de sistemas universidad Incca de Colombia

2007

GLOBALTEKSECURITY

TECNOLOGAS GLOBALES PARA LA SEGURIDAD DE LA INFORMACIN

Tecnologas globales para la seguridad de la informacin

I n formacin Confidencial

Tipo de documento

Reporte de auditora en seguridad de la informacin para la organizacin XXXXXXXXXXXXXXXXXX, S.A

Clase de servicio

Auditoria tcnica anual en seguridad de la informacin

Fecha de creacin Versin

Mayo 9 de de 2007 1.0.0

Tecnologas globales para la seguridad de la informacin

1.0

Resumen Ejecutivo

Introduccin Basados en el principio de mejoras continuas que rige el SGSI de xxxxxxxxxx S.A, este documento de auditora tcnica de seguridad al sistema de gestin ISO 27001 implementado en esta organizacin, busca mostrar los resultados finales de la auditora finalizada el 10 de abril de 2007. Este estudio se realizo con el objetivo de disminuir los incidentes de seguridad informtica mediante la revisin de la confidencialidad del cdigo fuente de los desarrollos de software de la organizacin dado los incidentes ocurridos en el rea de desarrollo.

Visin general de la metodologa empleada El tipo de auditora elegido para esta revisin fue la auditoria Revisin de los mecanismos de control de acceso a la informacin y revisin de la gestin del ciclo de vida de los sistemas que est basada en la metodologa de controles ISO/IEC 17799, especficamente se hizo la revisin de los captulos que tienen que ver con los mecanismos de control de acceso a la informacin y como estaba la clasificacin y los controles de los activos segn la mencionada norma, adems se utilizaron las normas NIST para la elaboracin de las encuestas. Para la revisin de los controles especficos de las aplicaciones en desarrollo se utilizo NIST y OWASP dado lo particular de la auditoria.

Conclusiones principales Fortalezas La organizacin cuenta con excelentes sistemas para la deteccin de intrusos que centralizan las bitcoras o logs para hacer investigacin de incidentes. Fueron de mucha utilidad para validar en los logs los ataques realizados a las aplicaciones mediante la prueba de intrusin. El personal interno tiene una alto grado de conciencia respecto de las polticas de seguridad de la informacin (pero no el personal externo temporal) El software que ya est desarrollado e implementado cuenta con muy buenos diseos detallados. Esto no ocurre con los nuevos desarrollos. Al revisar el sistema de gestin documental se encuentra un excelente seguimiento a los incidentes porque se determinaron nuevos requerimientos para evitarlos

Tecnologas globales para la seguridad de la informacin

Se encuentra un sistema muy efectivo de seguimiento a los accesos de los usuarios pues este confirmo que un programador temporal externo usaba una cuenta con permisos mayores que no le haba sido autorizada para la red local, este usuario programador confirmo al auditor lder que lo logro con un programa no autorizado llamado sniffer que conoci en su clase seguridad informtica impartida por la universidad donde estaba por graduarse pero que l no lo hizo con mala intencin. Se cuenta con buenos controles para generar los passwords de los usuarios, pues se trato de romperlos y no se logro hacerlo en 2 semanas.

Debilidades Los empleados temporales externos no tienen la suficiente conciencia de las polticas de seguridad de la informacin. Recursos humanos no tiene registros de los resultados de las capacitaciones al personal externo respecto de las polticas de seguridad de la informacin. No existe encripcin de los datos confidenciales como son el usuario y la clave cuando se hace autenticacin del usuario contra el servidor central No se cuenta con los diseos detallados del sistema de informacin que est en desarrollo, esto se contradice con los desarrollos ya implementados que si cuentan con excelentes diseos Existen muchos servidores que no estn actualizados con los suplementos de seguridad crticos que liberan los fabricantes Los sistemas en desarrollo permiten los ataques de inyeccin de cdigo debido a la carencia de polticas de seguridad especificas para los nuevos desarrollos web multicapas

1.5

Recomendaciones Los diseadores y programadores no deben perder la base fundamental de hacer diseos formales antes de empezar a programar, ellos creen que ya no es necesario disear en forma detallada, debido a la asistencia grafica y a la rapidez del entorno integrado actual para hacer los desarrollos, adems la mayora de las encuestas muestran que hay mucha presin para la entrega de las aplicaciones, al no haber diseos detallados para los nuevos desarrollos los tiempos presupuestados siempre van a fallar. Esto es muy conocido que ocurre en las nuevas generaciones de programadores. Los programadores deben cifrar los canales entre las aplicaciones clientes y el servidor de autenticacin de los usuarios para evitar impactar la variable confidencialidad del sistema de seguridad Los programadores deben implementar un mximo de 3 intentos fallidos para una autenticacin, al fallar se debe bloquear la IP por lo menos por 5 minutos

Tecnologas globales para la seguridad de la informacin

Los programadores deben implementar unas libreras para filtrar las entradas de los usuarios en los formularios para impedir la insercin de caracteres especiales que actualmente permiten los ataques de inyeccin de datos encontrados en los logs de las aplicaciones web Se deben hacer anlisis de vulnerabilidades a las aplicaciones antes de pasar a produccin, no solamente la funcionalidad es un requerimiento importante, la seguridad de la informacin tambin es importante. Recursos humanos debe implementar evaluaciones fsicas donde se mida cuantitativamente si la capacitacin dejo el mensaje de que las polticas de seguridad de la informacin no son opcionales. Se debe implementar un sistema de actualizacin centralizada de software para no dejar esta responsabilidad en los usuarios administradores que el da a da no les permite hacerlo de forma inmediata cuando estos suplementos se liberan, en concreto se debe automatizar esa tarea repetitiva y tediosa

2.0

Descripcin de las pruebas realizadas 2.1 En general se hicieron las siguientes tareas detalladas:

Revisin de los mecanismos de control de acceso a la informacin Se revisan los mecanismos de control de acceso lgico del usuario a los recursos de la red Se hace la revisin de los mecanismos de control de acceso lgico del usuario para limitar el acceso a la informacin desde la aplicacin del usuario Se revisa en las aplicaciones la implementacin de la lgica del negocio y los controles para evitar el uso fraudulento Se comprueban las caractersticas de los procedimientos de gestin de derechos de acceso y si la organizacin los implementa Se revisa la correcta implementacin de los controles de filtrado de trfico en los cortafuegos Se verifica la seguridad en los accesos remotos a las redes corporativas Se verifica que se estn haciendo anlisis de vulnerabilidades por lo menos 2 veces al ao Se verifica que se estn haciendo las pruebas de intrusiones, por lo menos 1 al ao Se hace revisin de la seguridad perimetral

Revisin de la gestin del ciclo de vida de los sistemas Se hace revisar la planificacin del sistema en especial los requerimientos del negocio

Tecnologas globales para la seguridad de la informacin

Se revisa el anlisis del sistema en especial los requerimientos del usuario Se revisa el diseo conceptual del sistema en especial las especificaciones del sistema Se revisa la evaluacin y seleccin del sistema en especial las alternativas y cul fue la solucin final contra el sistema real contra el inventario Se revisa el diseo detallado del sistema Se revisa la programacin, instalacin y configuracin Se revisan las diferentes pruebas del sistema: Unitarias, Integracin, Aceptacin, Despliegue, postimplementacin y mantenimiento del sistema

Nota: esta en color rojo las tareas especificas que mas fallas presentaron en la evaluacin de los controles 2.2 Las anteriores tareas son parte del plan detallado que se muestra a continuacin: 1 Revisin de documentacin: Se revisan los controles propuestos por la norma para ver si estn implementados y si estos son idneos Se revisa el inventario de programas para determinar los nuevos desarrollos Documentos de diseos del sistema evaluado en especial los nuevos desarrollos Procedimientos operativos de instalacin de nuevos desarrollos Procedimientos operativos de autenticacin de los nuevos desarrollos 2 Realizacin de entrevistas: Se entrevistan al azar los programadores en especial los temporales (externos) y se obtiene una muestra de 3 personas a las que se les debe constatar incidentes informticos de uso de claves no autorizadas Se verifica que los programadores en general conozcan las polticas de seguridad informtica (externos e internos) Se verifica que los programadores aplican las polticas pero se detectan que los externos en general no las estn aplicando Se evala si los programadores estn escondiendo el modo habitual de proceder o si han olvidado las polticas, solo una persona confirma el uso de un sniffer no autorizado en la red 3 Ejecucin de pruebas tcnicas: Se prueban los controles y el uso de los accesos remotos Se buscan malas configuraciones de servidores, puestos de trabajos y elementos de la infraestructura de telecomunicaciones Se revisan las bitcoras o registros de todos los elementos activos de red del rea de desarrollo de software para verificar el incidente de uso de usuario y contrasea no autorizados Se hace un anlisis de vulnerabilidades de todos los elementos activos de red

Tecnologas globales para la seguridad de la informacin

4 Realizacin de visitas fsicas: Se comprueba en el puesto de trabajo fsico del usuario como opera el nuevo sistema de informacin en desarrollo, se encuentra un sniffer no autorizado en un puesto de trabajo. Se anexan 2 pruebas tcnicas y dos pruebas no tcnicas para un mejor entendimiento de esta auditora:

2.3

Pruebas tcnicas

Descripcin de la prueba: Se revisan las bitcoras o registros de todos los elementos activos de red del rea de desarrollo de software para verificar el incidente de uso de usuario y contrasea no autorizados Resultados obtenidos: Se encuentra que hay ataques de fuerza bruta contra el protocolo ssh El protocolo ldap no tiene configurado el certificado de seguridad y no se esta encriptando el canal de comunicaciones entre cliente y servidor en el momento de autenticacin de los usuarios Ver anexo: messages.txt

Conclusiones: Los ataques de fuerza bruta contra un protoclo como SSH en algn momento tendrn xito y es un riesgo muy alto el acceso no autorizado al cdigo fuente de los nuevos desarrollos que existen en los diferentes servidores El no encriptar los canales entre el cliente y los servidores para autenticar a los usuarios contra el directorio LDAP pone en riesgo la confidencialidad de los nuevos desarrollos porque un usuario con un sniffer en la red vera los passwords en claro de los administradores o responsables del cdigo pudiendo volver a generar incidentes por accesos no autorizados con usuarios validos

Recomendaciones: Los programadores deben cifrar los canales entre las aplicaciones clientes y el servidor de autenticacin de los usuarios para evitar impactar la variable confidencialidad del sistema de seguridad

Tecnologas globales para la seguridad de la informacin

Los programadores deben implementar un mximo de 3 intentos fallidos para una autenticacin, al fallar se debe bloquear la IP por lo menos por 5 minutos

2.3.2 Anlisis de vulnerabilidades de todos los elementos activos de red Descripcin de la prueba: Se ejecuta la herramienta nessus desde un servidor Linux backtrack 2.0 Live CD Resultados obtenidos: Se encuentran servicios como el SSL que no estn actualizados y un atacante podra ejecutar cdigo remotamente, se anexa un solo reporte para no hacer voluminoso el informe. Tambin se encuentra el servidor web en una versin muy desactualizada que permite hacer exploits y tomar el control del servidor con un usuario administrador.

Conclusiones: Un servidor con tantas vulnerabilidades es una exposicin muy alta para penetracin a la red local y de all hacia el cdigo fuente de los nuevos desarrollos. Ver anexo: Pec3ArmandoCarvajalVulnerabilidades.pdf

Recomendaciones: Urgentemente se deben poner suplementos en los diferentes servidores donde se encontraron vulnerabilidades graves. Se debe implementar un sistema de actualizacin centralizada de software para no dejar esta responsabilidad en los usuarios administradores que el da a da no les permite hacerlo de forma inmediata cuando estos suplementos se liberan, en concreto se debe automatizar esa tarea repetitiva y tediosa para el ser humano Pruebas no tcnicas

2.4

2.4.1 Entrevistas al azar a 3 programadores temporales (externos) Descripcin de la prueba: Dado que ya se conocen los incidentes ocurridos por la excelente documentacin de los casos encontrados, se procede a entrevistar personalmente a los programadores que intervinieron en los mencionados casos de violacin a la confidencialidad de los nuevos desarrollos.

Tecnologas globales para la seguridad de la informacin

Resultados obtenidos: Los programadores son personas recin graduadas de la universidad en pregrado con muchas ganas de trabajar y con alto conocimiento de herramientas de intrusin pero sin una conciencia profunda de las polticas de seguridad de la organizacin Se encuentra stress por la presin de los tiempos de entrega de los nuevos desarrollos.

Conclusiones: Se encuentran un sistema muy efectivo de seguimiento a los accesos de los usuarios pues este confirmo que un programador temporal externo usaba una cuenta con permisos mayores que no le haba sido autorizada para la red local, este usuario programador confirmo al auditor lder que lo logro con un programa no autorizado llamado sniffer que conoci en su clase seguridad informtica impartida por la universidad donde estaba por graduarse pero que l no lo hizo con mala intencin. El no tener diseos detallados para los nuevos desarrollos hace que el tiempo presupuestado nunca se cumpla, esto genera presin sicolgica sobre los programadores nuevos que son muy jvenes y se encuentra que no estn acostumbrados a la presin de entregar resultados, esta falta de experiencia se constata en sus hojas de vida.

Recomendaciones: Los diseadores y programadores no deben perder la base fundamental de hacer diseos formales antes de empezar a programar, ellos creen que ya no es necesario disear en forma detallada, debido a la asistencia grafica y a la rapidez del entorno integrado actual para hacer los desarrollos, adems la mayora de las encuestas muestran que hay mucha presin para la entrega de las aplicaciones, al no haber diseos detallados para los nuevos desarrollos los tiempos presupuestados siempre van a fallar. Recursos humanos debe implementar evaluaciones fsicas donde se mida cuantitativamente si la capacitacin dejo el mensaje de que las polticas de seguridad de la informacin no son opcionales.

Nota: No se anexan ms pruebas en este documento para no hacerlo tan voluminoso

Tecnologas globales para la seguridad de la informacin

3.0

Anexos de resultados Anlisis de vulnerabilidades al servidor web segn la herramienta nessus ejecutada sobre Windows XP, su nombre es PEC3 Armando Carvajal Vulnerabilidades.pdf Archivo de logs o bitcora de eventos del servidor web llamado messages.txt

Informe de auditora tcnica elaborado por:

Armando Carvajal Lder de auditora Tcnica Globaltek Security Consultores en seguridad de la informacin

NOTA IMPORTANTE:
El proveedor de esta auditora propone que no sea opcional el acompaamiento en la implementacin de los controles sugeridos en este documento, de hecho esa actividad adicional no tiene costo por los primeros 30 das (*) (*) Ver cotizacin de servicios en seguridad informtica de fecha enero de 2007.

Vous aimerez peut-être aussi