AUDITORA INFORMTICA www.umgchiquimula.

con

INTEGRANTES
LUIS ALBERTO ROLDN LPEZ JENNIFER FABIOLA MORALES CORTEZ CRYSTIAN ALEXANDER LEN GALLARDO

OBJETIVO GENERAL
Realizar un anlisis veraz y objetivo del portal web de la Universidad Mariano Glvez extensin Chiquimula, para incrementar la satisfaccin de los usuarios, asegurar una mayor integridad y confidencialidad de la informacin. Analizar las actividades y esfuerzos necesarios para lograr los objetivos propuestos; conocer su situacin actual y colaborar en la toma de decisiones.

REAS A ESTUDIAR
Al analizar y realizar estudios previos a llevar a cabo el proceso de auditora se determin que los principales puntos necesario de evaluar son:

1)
2) 3)

Integridad de los Datos. Seguridad Informtica orientada a internet. Adaptabilidad y Funcionamiento de las aplicaciones.

Por lo que consideramos que lo ideal es llevar a cabo tres tipos de auditoras de sistemas, delegando las tareas de la manera siguiente:

Luis Alberto Roldn Lpez Jennifer Fabiola Morales Cortez Crystian Alexander Len Gallardo

Auditora de Seguridad Orientada a Web Auditora de Aplicacin Web Auditora de Base de Datos

AUDITORA DE APLICATIVOS
Encargada de la Auditora Jennifer Fabiola Morales Cortez

Fecha Informe: 01/11/2013 Nombre de la Entidad Auditada: Pgina Web www.umgchiquimula.com Objetivos de la Auditora Determinar la funcionalidad y adaptabilidad de la aplicacin de acuerdo a las necesidades de los usuarios. Verificar el nivel de seguridad que se maneja de la aplicacin, tanto para proteccin de datos como para la interaccin con sus usuarios. Analizar el crecimiento que ha tenido el portal a lo largo del ciclo de vida para conocer sus avances Lugar: Hosting www.umgchiquimula.com Encargado Auditora: Jennifer Fabiola Morales Cortez Supervisor: Luis Alberto Roldn Lpez Fecha de Inicio de Auditora: 21/10/2013 Fecha Fin de la Auditora: 31/10/2013 Tiempo Estimado: 30 horas.

Investigacin Previa 1. Inventario del Software (CMS Joomla) 1.1 Plantilla 1.2 Plantilla para Mviles 1.3 Mdulos de Joomla (muchos mdulos no utilizados) 1.4 Plugins Complejidad del Sistema Pruebas de Verificacin Previas Versiones del Portal (4)

Planificacin

Herramientas de Auditora Utilizadas

1. Cuestionario 2. CheckList 3. Software Grendel Scan v1.0 junto al Sistema Operativo backtrack 5 R3

CheckList para Aplicativos

Software Grendel Scan

CONTROLES
Datos Fuente Operaciones Asignacin de Trabajo Medios de Almacenamiento Masivo Mantenimiento Versiones (pauprrimo) Acceso a la Aplicacin (perfiles)

DEBILIDADES
No se le ha dado continuidad Problemas con la plantilla en mviles Mdulos instalados que no se usan Inexistencia de polticas para manejo de perfiles No hay un control de Versiones No est bien definida la Estructura Organizacional Plugins y Mdulos mal configurados (Twitter, Kunena) No hay distribucin de tareas No hay la documentacin necesaria Debilidades propias de Joomla Saturacin en el Almacenamiento

CONCLUSIONES
El abandono y discontinuo control de la aplicacin es el principal problema. Mejorar las Medidas de seguridad aumentara el nivel de confianza de los usuario. Documentar cada uno de los proceso le dara un valor extra al portal Mejorar y hacer prueba de rendimiento en mviles, sobre todo por el crecimiento del mvil en la actualidad

RECOMENDACIONES
Involucrar a ms semestres y carreras, e ir rotando responsabilidades; para que todos se sientan parte del equipo. Buscar Asesora Legal, ya que se tiene debilidad en este aspecto y podra generar problemas en el futuro. Implementar Firewall de Software o Certificado Digital, para que mejore el nivel de seguridad. Desarrollar plantillas para sistemas operativos mviles especficos. Documentar cada uno de los procesos.

AUDITORA DE SEGURIDAD WEB

Encargado de la Auditora Luis Alberto Roldn Lpez

Nombre de la Entidad Auditada: Pgina Web www.umgchiquimula.com Objetivos de la Auditora Verificar los niveles de seguridad del portal www.umgchiquimula.com y si stos se encuentran en el nivel aceptable, as como comprobar si existen vulnerabilidades y debilidades de seguridad. Establecer los parmetros adecuados que garanticen la seguridad de la informacin del portal.

Investigacin
Para realizar la auditoria de seguridad web al portal www.umgchiquimula.com, se solicit la documentacin existente sobre el portal, la consta de los manuales de usuario, manual tcnico y el estudio de factibilidad, realizado anteriormente por los administradores del sitio. Se realizaron diferentes investigaciones a travs de cuestionarios y checklist, para recabar la mayor cantidad de informacin sobre el nivel de seguridad con el que cuenta dicho portal.

PLANIFICACIN

HERRAMIENTAS UTILIZADAS
Cuestionarios. Checklist Software de auditora
OWASP ZAP NMAP

OWASP ZAP
ADVERTENCIA:La pgina incluye uno o ms archivos de script de un dominio de terceros. SOLUCIN: Asegurar que los archivos de cdigo JavaScript se cargan a partir de fuentes fiables, y las fuentes no pueden ser controlados por el usuario final de la aplicacin ADVERTENCIA: Atributo Autocompletar no est inhabilitado en forma / INPUT elemento que contiene la entrada tipo de contrasea HTML. Las contraseas pueden ser almacenados en los navegadores y recuperados. SOLUCIN: Desactive el atributo AutoComplete en los elementos de entrada de formulario o individuo que contengan contrasea mediante AUTOCOMPLETE = 'OFF'

ADVERTENCIA: Cabecera X-Frame-Options no est incluido en la respuesta HTTP para proteger contra 'ClickJacking' ataques. SOLUCIN. Navegadores web ms modernos soportan el X-Frame-Options cabecera HTTP, asegrese de que est establecido en todas las pginas web que devuelve su sitio (si espera que la pgina se enmarca nicamente por pginas de su servidor. ADVERTENCIA:Una cookie se ha establecido sin la bandera HttpOnly, lo que significa que la cookie se puede acceder por JavaScript. Si un script malicioso puede ser ejecutado en esta pgina, entonces la cookie ser accesible y puede ser transmitido a otro sitio. Si se trata de una cookie de sesin a continuacin, secuestro de sesin puede ser posible. SOLUCIN: Asegrese de que el indicador HttpOnly se establece para todas las cookies.

NMAP
Se identific que existen puertos abiertos en el servidor, los cuales deben de ser cerrados.

CONCLUSIONES

El servidor de hosting y el CMS de Joomla no se encuentran actualizados a las versiones ms recientes, lo que hace que no tengas las correcciones de seguridad dadas por los proveedores ni los nuevos servicios de seguridad. El portal de la universidad tiene un administrador general, pero no cuenta con administradores especficos que se encarguen de dar el mantenimiento respectivo a cada rea, adems se identific que cada semestre se le realizan cambios pero al no tener a nadie a cargo impide que el sitio se mantenga en constante mantenimiento.

CONCLUSIONES

Actualmente no se cuenta con ningn firewall lgico que permita tener la informacin resguardada de ataques de personas externas. Se identific que se tienen puertos abiertos los cuales deben de estar cerrados, ya que esto implica estar vulnerables a los ataques informticos utilizando como medio algn puerto abierto. Se est utilizando el protocolo http y no un https, lo que hace que el portal no garantice a sus usuarios un mejor nivel de seguridad, de la misma forma no cuenta con certificado de seguridad el cual complementa el uso del protocolo https.

RECOMENDACIONES

Actualizar el CMS y el servidor del hosting permitira al portal tener los parches de seguridad que los fabricantes hacen a sus aplicaciones, por consiguiente se tendran un portal con mayor seguridad.

Asignar un administrador a cada rea de trabajo del portal, teniendo varios administradores peros solo un sper administrador, que asigne los permisos a cada usuario, a la vez proponer cada semestre exista un responsable de la actualizacin de la informacin del portal como de su mantenimiento.

RECOMENDACIONES

Instalar en el servidor un firewall lgico que permita tener una mejor administracin del flujo de informacin entrante como la saliente, a fin de que toda la informacin que se maneje sea la correcta, adems garantiza un mejor nivel de seguridad al portal.

Deshabilitar los puertos que se encuentran abiertos del portal ya que generan vulnerabilidades, hacer un estudio de que puertos se consideran necesarios para habilitarlos. Utilizar el protocolo https y tener un certificado de seguridad para que el portal pueda garantizar la informacin a sus usuarios y resguardarla de toda persona ajena.

AUDITORA DE BASE DE DATOS

Encargado de la Auditora Crystian Alexander Leon Gallardo

Nombre de la Entidad Auditada: Pgina Web www.umgchiquimula.com Objetivos de la Auditora Analizar el rendimiento del servidor de base de datos, de la entidad www. umgchiquimula.com. Verificar la integridad de los datos contenidos en el portal www. umgchiquimula.com

Investigacin
Se pidi la documentacin existente, acerca de la base de datos, dichas investigaciones dieron como resultado que la base de datos, es usada por defaul por el CMS Joomla, versin 2.5. Se carece de un diagrama entidad relacion asi tambien se nos fue indicado que se desconocen ciertas tablas, funciones y disparadores

PLANIFICACIN

HERRAMIENTAS UTILIZADAS
Cuestionarios. Checklist Software de auditora
MONyog Embarcadero ER

MONyog (Seguridad de Datos)

MONyog (Seguridad de Datos)

La seguridad de la base de datos, cumple con los requerimientos para calificarla como segura al carecer de: Wildcars Usuarios Anonimos habilitados Usuario Root habilitado

MONyog (Seguridad de Datos)

MONyog (Seguridad de Datos)

MONyog (Rendimiento)

MONyog (ndices)

MONyog (Replicacin)

CONCLUSIONES

Se cuenta con las polticas de seguridad adecuadas en la base de datos, las cuales permiten garantizar el acceso a la informacin seguro a cada usuario. Se tienen un promedio de una consulta lenta, esta ocurre al menos cada 10 minutos. Se comprob que el 50% de las consultas realizadas se hace a travs de ndices, la otra mitad carece del uso de estos.

CONCLUSIONES

Se carece completamente de un sistema de replicacin en donde se puedan recuperar los datos, si colapsa el servidor actual No se cuenta con diagrama ER

RECOMENDACIONES

Mantener las polticas de seguridad que se han implementado hasta la fecha, ya que estas permiten garantizar el acceso a los datos. Realizar pruebas que permitan encontrar la consulta que ocasiona problemas, esto podra ser mediante deshabilitar /habilitar los plugin y mdulos de Joomla

RECOMENDACIONES

Analizar qu tablas de la base de datos podra necesitar ndices, y crear los mismos. Habilitar un servidor de replicacin de datos, mediante el cual se pueda garantizar el acceso a la informacin en caso de un siniestro en el servidor principal. Modelar y documentar el Diagrama ER, asi como los posibles cambios que este pueda sufrir