AUDITORIA A SISTEMAS EN AMBIENTES INTERNET

Introduccin
Junto con la popularidad de Internet y la explosin de usuarios en todo el mundo, ha venido
una creciente amenaza de ataques hacia los sistemas y la informacin de las organizaciones
pblicas y privadas.

Es importante tener en cuenta algunas caractersticas que presenta los sistemas de
informacin actuales:
Gran Importancia de la Informacin
Mayor conocimiento de los usuarios sobre estos sistemas
Gran avance de los sistemas de comunicacin y redes
Internet como medio global de intercambio de informacin y plataforma de negocios.
Cuando se realizan negocios por Internet (Comercio electrnico) se tienen cuatro piedras
angulares:
Impedir transacciones de datos no autorizados.
Impedir alteracin de Mensajes despus de envo
Capacidad determinar si transmisin es desde fuente autntica o suplantada
Manera de impedir a un emisor, que se est haciendo pasar por otro
Internet crea todas las posibilidades para hacer frgil la seguridad en el sistema: Tiempo de
exposicin, protocolos conocidos, usuarios "expertos" y la mezcla e igualdad de sistemas.
Componentes en Ambientes Internet
Navegador o Browser.
Servidor Web
Servidor de Servicios Internet (ISP)
Enrutadores
Puntos de Acceso a la Red
Enlace Usuario - ISP
Protocolo HTTP
Protocolos TCP/IP
HTML
Cdigo Mvil: ASP, Servlets, Applets, CGI...
Protocolos seguros: http-S, SSL.
Riesgos asociados a estos ambientes
Gran parte de los problemas asociados a Internet estn relacionados por un lado, con la
seguridad misma de los protocolos que lo conforman y por el otro por la disponibilidad del
sistema en tiempo y espacio para que sea examinado y eventualmente atacado. En general
estos riesgos los podemos resumir en:
Acceso no Autorizado al Sistema
Divulgacin de informacin confidencial
Robo o alterar informacin de la empresa.
Denegacin de Servicio
Espionaje o alteracin de mensajes
Transacciones fraudulentas.
Modificacin o sabotaje de Sitios Web, generando prdida de la imagen corporativa.
Prdida de recursos
Uso del sistema vulnerado para realizar ataques a otros sistemas
Virus, gusanos y troyanos.
Instalacin y uso de cdigo malicioso

Vulnerabilidades de Seguridad en Internet ms criticas
La mayor parte de los ataques en Internet, se realizan sobre un pequeo nmero de
vulnerabilidades en los sistemas y aprovechando que las organizaciones pasan por
alto las revisiones constantes de los problemas detectados en las versiones de sus
productos y por lo tanto no hacen las correcciones del caso. El Instituto Sans emite
un informe sobre las mas criticas de estas vulnerabilidades (SAN00).
- Debilidades en los servidores de Nombres de Dominio (DNS), en particular BIND.
Soluciones:
Desactivarlo en caso de no ser necesario.
Descargar y actualizar a las ultimas versiones
- Debilidades asociadas con programas CGI en los servidores, generalmente por uso
de CGIs desconocidos
Soluciones:
Uso de programas conocidos
Deshabilitar el soporte CGI, para aquellos servidores que no lo necesiten
- Problemas con llamadas a procedimientos remotos RPC
Solucin: Deshabilitar en los casos que sea posible servicios que usen RPC en
sistemas expuestos a Internet.
- Agujeros de seguridad en Servidores Web (Especialmente IIS)
Solucin: Actualizar desde sitio del fabricante y configurar segn procedimiento
recomendado.
- Debilidad en desbordamiento de Buffer en SendMail
Solucin: No usar la modalidad deamon en sistemas que no sean servidores de
correo.
Actualizacin a ltima versin parcheada.
- Problemas con comparticin de archivos (NetBios, NFS)
Soluciones:
Verificar que solo se comparten los directorios requeridos
En lo posible compartir solo con direcciones IP especificas
Usar contraseas para definir nivel de acceso
Bloquear las conexiones entrantes al servicio de sesin NetBios
- Contraseas inapropiadas
Solucin: Crear una poltica de contraseas exigente
- Configuraciones inapropiadas de Protocolos de correo
Soluciones:
Deshabilitar estos en aquellas maquinas que no son servidores de correo.
Utilizar versiones actualizadas.
Usar canales encriptados como SSH y SSL
- Nombres de comunidad por defecto en SNMP (Public, private)
Soluciones:
Si no se usa SNMP deshabilitarlo
Si se usa, usar polticas de seguridad fuertes
Usar solo los elementos requeridos y con las configuraciones necesarias.
Posibles Infractores
Crackers
Hackers
Vndalos
Empleados
Algunas definiciones que vale la pena traer son:
Hacking. Entrar en forma ilegal y sin el consentimiento del propietario en su sistema
informtico. No conlleva la destruccin de datos ni la instalacin de virus. Tambin se
puede definir como cualquier accin encaminada a conseguir la intrusin en un
sistema (ingeniera social, caballos de troya, etc.)
Cracker. Un individuo que se dedica a eliminar las protecciones lgicas y fsicas del
software. Normalmente muy ligado al pirata informtico puede ser un hacker
criminal o un hacker que daa el sistema en el que intenta penetrar.

Crackeador o crack: Son programas que se utilizan para desproteger o sacar los
passwords de programas comerciales. Pudiendo utilizarse stos como si se hubiera
comprado la licencia. Quienes los distribuyen son altamente perseguido por las
entidades que protegen los productores de software.
Entre las variantes de crackers maliciosos estn los que realizan Carding (Tarjeteo,
uso ilegal de tarjetas de crdito), Trashing (Basureo, obtencin de informacin en
cubos de basura, tal como nmeros de tarjetas de crdito, contraseas, directorios o
recibos) y Phreaking o Foning (uso ilegal de las redes telefnicas).
Ataques
- Ataques a Contraseas.
- Consecucin de direcciones IP
- Scaneo de puertos
- Cdigo Daino
- Captura y anlisis de trafico.
- Denegacin del Servicio (DOS).
- IP Spoofing (Modificacin del campo de direccin origen de los paquetes IP, por la
que se desea suplantar)
Herramientas Usadas
Aprovechar Huecos de Seguridad en Sistemas operativos y/o Servicios: Defectos en
el software, que permiten la intrusin o generan fallas graves en el funcionamiento.
Scaneo de Puertos: Siendo una herramienta que apoya la seguridad puede ser
utilizada en contra de ella. Permite conocer el estado de los puertos asociados con
los servicios disponibles en la instalacin.
Sniffer: Es un programa que intercepta la informacin que transita por una red.
Sniffing es espiar y obtener la informacin que circula por la red. Coloca la interfaz
en modo promiscuo y captura el trfico. Su misin para los ataques es fisgonear la
red en busca de claves o puertos abiertos.
Troyanos: Programas que simulan ser otros para as atacar el sistema.
Ataque de Fuerza bruta sobre claves. Forma poco sutil de entrar en un sistema
que consiste en probar distintas contraseas hasta encontrar la adecuada.
Ingeniera Social: Es una tcnica por la cual se convence a alguien, por diversos
medios, de que proporcione informacin til para hackear o para beneficiarnos.
Requiere grandes dosis de psicologa. Explota la tendencia de la gente a confiar en
sus semejantes.
Basureo o Trashing: Recoger basura. Se trata de buscar en la basura (fsica o
informtica) informacin que pueda ser til para hackear.
Ping: Ubicar equipos conectados.
Traceroute: Ver la ruta de paquetes y enrutadores en la red
Spams: No es un cdigo daino, pero si bastante molesto. Es un programa que
ejecuta una orden repetidas veces. Ampliamente utilizado por empresas de
marketing usando el correo electrnico para enviar sus mensajes en forma
exagerada.

Evaluacin de Seguridad
El auditor debe verificar que se tengan presenten y se implementen medidas que a partir de
los riesgos planteados y dada la importancia del sistema para la organizacin minimicen las
amenazas.
Medidas de Control
- Conocimiento de los riesgos a que esta expuesta la instalacin en particular.
- Conocimiento y correccin o "parcheo" de los problemas detectados y/o reportados en
versiones de - Sistemas Operativos y Servicios implementados. Este mecanismo parte de la
instalacin inicial.
- Concientizacin de los usuarios de los riesgos a que esta expuesta la instalacin y el papel
de cada uno en la proteccin. El 99% de los ataques se realizan apoyndose en fallas al
interior de la organizacin.
- Implementacin de polticas de seguridad en sistemas operativos.
- Auditoria y monitoreo a trafico, accesos y cambios en el sistema.
- Uso de sniffer y scanner para conocer el estado del sistema.
- Montaje de Firewall (Muro de Proteccin): Software y hardware de seguridad encargado de
chequear y bloquear el trfico de la red hacia y/o desde un sistema determinado. Se ubica
entre la red privada e Internet. Pueden ser enrutadores de filtracin de paquetes o gateways
de aplicaciones basados en proxy.
Utilizacin de herramientas para Deteccin de Intrusos (IDS)
Uso de protocolos seguros como SSL y HTTP-S
Requerimientos de certificados de autenticacin en los casos de operaciones de alta
importancia.
A nivel de la empresa en lo posible, tener los datos de importancia en zonas protegidas o
fuera del acceso desde Internet.
Encriptacin de los datos sensitivos.
Evaluar que los usuarios usan solo los servicios requeridos para su labor y que no exponen la
seguridad con el uso de IRC, P2P, etc.
Se debe considerar la posibilidad de apoyarse en Hacking Etico para evaluar la seguridad del
sistema.