Reporte ejecutivo informática forense

April 14, 2019 | Author: silvestre09203 | Category: Authentication, Web Server, Enterprise Resource Planning, Transport Layer Security, Cyberspace
Share Embed Donate


Short Description

Un ejemplo de como realizar un informe ejecutivo de informática forense...

Description

Reto Forense Episodio III

Informe Ejecutivo

Ruben Recabarren Rossana Ludeña Leandro Leoncini

[email protected] [email protected] [email protected] Caracas - Venezuela

Sinopsis El presente informe contiene los resultados obtenidos del análisis del Reto Forense III !""#. El escenario se plantea de la si$uiente forma% El administrador de sistemas de una pe&ueña empresa 'a notado &ue e(iste una cuenta &ue )l no cre* en su sistema de ER+ por lo &ue sospec'a de al$,n in$reso no autorizado del &ue desconoce el alcance. En el seridor donde se eecutaba la aplicaci*n ten/a instalado el sistema operatio 0indo1s !""2 cuya principal funci*n era proporcionar acceso al sistema ER+ a tra)s de la 0eb. 3ace poco tiempo &ue 'ab/an mi$rado al uso de este seridor. 4e$,n el administrador trataba de mantener el sistema actualizado por lo &ue no sabe c*mo pudieron in$resar a su sistema. 4in embar$o tambi)n mencion* &ue más de una persona tiene acceso a cuentas priile$iadas en el sistema y acept* &ue ocupaban a eces estas cuentas para labores no s*lo administratias sino tambi)n personales o para aplicaciones &ue no re&uer/an nin$,n tipo de priile$io para eecutarse. El desaf/o nos pide determinar si e(isti* un in$reso no autorizado c*mo ocurri* y el alcance del daño al sistema y a la informaci*n contenida en )l.

Resultado del análisis Los resultados de este análisis proeen suficiente eidencia para sospec'ar &ue en efecto ocurri* un incidente de se$uridad. E(iste suficiente eidencia para sospec'ar &ue una persona no autorizada in$res* al sistema ER+ con las credenciales del usuario 5lberto Contreras 6acar/as 7userid acontreras8. Estas credenciales tienen el más alto priile$io en el sistema ER+ por lo &ue el impacto de este incidente es de mayor $rado. El acceso ile$al proiene de la ciudad 9ron( de :e1 ;ordesperdiciadas? por el atacante al proceder de una manera tan descuidada y ruidosa &ue conduera a su detecci*n. Esto ayuda a reforzar a,n mas la tesis de &ue este fue un >incidente casual? &ue no estaba necesariamente destinado a poner en peli$ro la empresa o a sacar al$,n proec'o particular de ella.

3

Desarrollo de la Intrusión El desarrollo se produce durante el d/a  de febrero 7'oras y fec'as sacadas directamente de las bitácoras del sistema penetrado8 mediante los si$uientes eentos% •

  7:03:46  El







 



 





 







 

usuario acontreras inicia una cone(i*n al sistema

ER+. Esta cone(i*n se realiza desde una localidad remota a la empresa y adicionalmente se 'ace con una cone(i*n no ase$urada con cripto$raf/a fuerte. En este momento o en al$,n otro momento anterior a la mi$raci*n del sistema el lo$in y pass1ord de esta cuenta es interceptada por el intruso. 10:41:15   el usuario acontreras inicia otra sesi*n en el sistema ER+ y trabaa normalmente. Esta ez la sesi*n es iniciada desde la red local de la empresa. 13:57:51  el atacante utiliza las credenciales de acontreras para iniciar una sesion. Esta cone(i*n parece proenir de una ma&uina localizada en la ciudad del 9ron( =45. En esta cone(i*n el atacante isita la pá$ina de usuarios de la aplicaci*n ER+ &ue tambi)n proee una interfaz para crear nueos usuarios. 13:59:44  el atacante crea una nuea cuenta con userid admin y le otor$a los má(imos priile$ios de acceso. Aespu)s de esta transacci*n el atacante decide no realizar nin$una otra acci*n. 5 los pocos minutos la nuea cuenta es notada por los administradores y se 'ace una ,ltima cone(i*n al sistema ER+ desde el mismo seridor. 14:19:37  4e erifica efectiamente en el seridor la creaci*n de una nuea cuenta con priile$ios del $rupo de administradores y se procede a llear a cabo los procedimientos pertinentes en caso de un incidente de se$uridad informática.

Recomendaciones 

Bomando en cuenta los 'allaz$os de esta inesti$aci*n se proponen las si$uientes recomendaciones cuyo obetio es meorar la postura de se$uridad del sistema ER+ comprometido%

4















Forzar a un cambio de todas las credenciales de los usuarios &ue 'ayan sido usadas desde el e(terior de la red local de la empresa. Esto con la finalidad de preenir &ue otras credenciales comprometidas puedan ser puerta de entrada para otras intrusiones. Forzar a &ue al menos las cone(iones de autenticaci*n al sistema sean a tra)s de un canal se$uro. Esto se puede lo$rar con cual&uier protocolo de encriptamiento pero es particularmente adecuado utilizar 44L &ue se adapta muy bien al seridor 1eb &ue actualmente utiliza el seridor. Realizar una pol/tica de auditoria de contraseñas para detectar palabras claes d)biles o ine(istentes. Idealmente se recomienda realizar >crac
View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF