Informe Ejecutivo #754

Resumen ejecutivo El contenido de este informe fue generado por la plataforma de Auditoría Continua de Confianze, y contiene información confidencial sobre la seguridad de los sistemas de Empresa S.A. Las pruebas fueron ejecutadas por Sebastián González, entre el Miércoles 22 de Marzo del 2006 a las 9:44 y el Miércoles 22 de Marzo del 2006 a las 9:49. Se ejecutarón 2566 pruebas de seguridad sobre 2 sistemas. El nivel de riesgo de cada uno es el siguiente: Sistemas por severidad del riesgo  Servidor Web - 200.xx.xx.210 Alto (3)  Servidor Desarrollo - 200.xx.xx.10 Alto (3) Un nivel de riesgo Alto, implica que se encontraron una o mas vulnerabilidades que permitiría a un intruso obtener control parcial o acceso remoto sobre un sistema. Durante las pruebas se identificaron 28 vulnerabilidades en los sistemas auditados. Estas vulnerabilidades se clasifican de la siguiente manera: Vulnerabilidades por severidad Critica 0 Alta 8 Media 8 Baja 8 Información 0 Desconocida 4 Total 28 Vulnerabilidades por Categoría  Acceso y administración remota 2  CGI 2  Compartición y transferencia de archivos 2  Correo, mensajería y noticias 1  Desconocida 4  Dispositivos y protocolos de red 2  Puertas traseras 1  Servicios de dominio y directorio 3  Servicios web 10  Total 28 Introducción Seguridad de la información La seguridad informática involucra diferentes aspectos del manejo confiable de información. En particular, la seguridad informática se relaciona con la protección de información contenida y procesada por sistemas computacionales, y su mision es evitar la destrucción, modificación o acceso no autorizado a tal información. Lograr este objetivo supone un esfuerzo continuo y sistematico que asegure la mantencion de una plataforma computacional en línea con los siguientes principios: Confidencialidad: La información debe estar solo accesible a quienes esten autorizados. Integridad: Los datos no deben ser accidental o maliciosamente modificados, alterados o destruidos. Disponibilidad: Los sistemas deben estar operativos y listos para realizar sus tareas en cualquier momento dado. En una frase, nos referimos a la información correcta para las personas indicadas en el momento adecuado.   Evaluación de vulnerabilidades Una vulnerabilidad es un agujero en la seguridad de una aplicación o servicio, originada por un error de programación, una debilidad de diseno o una configuración deficiente. Las vulnerabilidades rompen las salvaguardas que normalmente contienen errores accidentales y permiten a usuarios maliciosos violar las medidas de seguridad existentes. La evaluación de vulnerabilidades es el proceso que permite identificar estas debilidades en los sistemas, aplicaciones y servicios existentes en una organización. En sus evaluaciones Confianze clasifica las vulnerabilidades utilizando la siguiente escala de severidad: Critica (4): Permite a los intrusos, de manera remota, obtener control completo de un sistema. Alta (3): Permite a los intrusos obtener control parcial o acceso remoto sobre un sistema. Media (2): Permite el acceso a información confidencial o la interrupción de procesos. Baja (1): Permite obtener información que permita identificar la configuración del sistema. Información (0): Exposición de información no confidencial. Desconocida: Vulnerabilidades que aun no han sido clasificadas por falta de información sobre su impacto. Alcance  La evaluación cubrió vulnerabilidades clasificadas bajo las siguientes categorías: Acceso y administración remota Aplicaciones P2P Bases de datos CGI Compartición y transferencia de archivos Contraseñas Correo, mensajería y noticias Desconocida Dispositivos y protocolos de red Miscelaneos Puertas traseras Servicios de dominio y directorio Servicios de información Servicios web Sistemas operativos Spyware y virus En total se ejecutaron 2566 pruebas sobre las aplicaciones y servicios detectados en 5 puertos TCP abiertos (de un total de 1024) y 1 puerto UDP abierto (de un total de 1024). Variables de riesgo  Existen múltiples formas de analizar el resultado de una evaluación de vulnerabilidades, varias estrictamente técnicas y por lo tanto fuera del alcance de este informe. A nivel estratégico, Confianze propone la utilización de tres indices como variables para diagnosticar y monitorear el riesgo. Severidad: Nivel de severidad mas alto encontrado entre las vulnerabilidades de un sistema. Indica el impacto potencial de un ataque exitoso y puede ser entendida como la profundidad del riesgo Exposición: Es la suma de todas las severidades asociadas a las vulnerabilidades encontradas. Indica que tan expuesto esta un sistema determinado frente a las posibles amenazas. Puede ser entendido como el área del riesgo. Vulnerabilidades: Numero de vulnerabilidades encontradas.  A continuación se detallan las variables de riesgo para cada sistema analizado: Severidad  Servidor Web - 200.xx.xx.210 Alta (3)  Servidor Desarrollo - 200.xx.xx.10 Alta (3) Cambiar vista   Exposición  Servidor Web - 200.xx.xx.210 27  Servidor Desarrollo - 200.xx.xx.10 21 Cambiar vista   Vulnerabilidades  Servidor Web - 200.xx.xx.210 17  Servidor Desarrollo - 200.xx.xx.10 11 Cambiar vista Vulnerabilidades por severidad  El siguiente es el resumen de las vulnerabilidades encontradas en la totalidad de los sistemas analizados, clasificadas por severidad. Detalle Critica 0 Alta 8 Media 8 Baja 8 Información 0 Desconocida 4 Total 28 Cambiar vista Vulnerabilidades por categoría  El siguiente es el resumen de las vulnerabilidades encontradas en la totalidad de los sistemas analizados, clasificadas por severidad. Vulnerabilidades por Categoría  Acceso y administración remota 2  Aplicaciones P2P 0  Bases de datos 0  CGI 2  Compartición y transferencia de archivos 2  Contraseñas 0  Correo, mensajería y noticias 1  Desconocida 4  Dispositivos y protocolos de red 2  Miscelaneos 0  Puertas traseras 1  Servicios de dominio y directorio 3  Servicios de información 0  Servicios web 10  Sistemas operativos 0  Spyware y virus 0  Total 28 Cambiar vista