Parcial Auditoria.pdf

Full Transcript

Parcial 2 -auditoria de sistemas
Contenidos Wiki
Autopsy
Herramienta de software forense digital de código abierto que se utiliza para
analizar discos duros, sistemas de archivos y dispositivos de almacenamiento en
investigaciones relacionadas con delitos informáticos. Permite recuperar archivos
borrados o dañados y permite analizar sistemas de archivos diferentes tales como
NTFS, FAT, EXT, etc. Asimismo permite rastrear las actividades de los usuarios en
estos dispositivos para investigaciones de delitos cibernéticos.
Sintaxis
sudo dd if=/dev/sdb1 of=/home/kali/Documents/prueba

Comando df -h
El comando df -h en Linux es utilizado para mostrar el estado del uso del espacio
en los sistemas de archivos, presentando la información en un formato legible
para humanos, como GB o MB.

Netdiscover

Parcial 2 -auditoria de sistemas 1
 Herramienta de escaneo que viene preinstalada con Kali Linux, que permite
identificar la dirección IP interna, la dirección MAC, el número de solicitudes ARP
capturadas, hosts únicos y nombres de dispositivos de hardware de los host
activos en una red local (solo para redes IPv4 y redes locales). Su propósito
principal es identificar direcciones IP y MAC de dispositivos conectados a la
misma red.
Sintaxis
netdiscover [parametros]

ejemplo: netdiscover -i eth0 -r 172.19.20.14/23

Netcat
Permite realizar escaneos como lo hacíamos con nmap, permite leer, escribir y
transferir datos en la red usando los puertos TCP y UDP, escaneo de puertos, por
IPV4 y IPV6. Netcat Puede utilizarse para diagnosticar errores y problemas que
afecten a la funcionalidad y la seguridad de una red (nativa de kali)
Sintaxis
nc [opciones] [hostname/IP] [puerto]

Wireshark
Herramienta de análisis de paquetes de red que permite capturar y examinar el
tráfico de red en tiempo real. Es una herramienta de código abierto distribuida
bajo la Licencia Pública General de GNU (GNU GPL) v2.

Sintaxis
tshark [opciones] [Filtro de captura]

Ejemplo: tshark -i eth0

Airmon-ng (Aircrack-ng)
Este script puede usarse para activar el modo monitor de las tarjetas wireless. Si
escribimos el comando airmon-ng sin parámetros veremos el estado de nuestras
tarjetas, este es el paquete donde podemos encontrar aircrack,

Aircrack-ng herramienta diseñada para descifrar claves WEP y WPA/WPA2-PSK.
El parámetro -w le permite realizar un ataque de diccionario, es decir, prueba
contraseñas de una lista hasta encontrar la correcta.

Parcial 2 -auditoria de sistemas 2
 En el caso de una red WPA/WPA2, la clave no se puede descifrar directamente.
Primero debes capturar el "handshake" (apretón de manos) entre un dispositivo
conectado y el punto de acceso Wi-Fi. Luego, usando aircrack-ng -w, intentas
descifrar la clave mediante un ataque de diccionario, donde el programa compara
las claves generadas desde la lista de palabras con el hash del handshake
/user/dell# airmon-ng start wlp5s0

$ sudo airodump-ng wlp5s0mon

Link: https://docs.google.com/document/d/14THRdKjTrtZv8yDROJIGkr-
kbjuBazJGNZ1NES7-gDs/edit?usp=sharing

Comandos (Clase)
nmap
Es una herramienta de código abierto que se utiliza para escanear direcciones IP
y puertos en una red y para detectar aplicaciones instaladas.
Nmap —script “vuln” -p80 10.10.10.10

wpscan
herramienta poderosa diseñada específicamente para escanear sitios web de
WordPress en busca de vulnerabilidades. Se utiliza como técnica de sombrero
blanco.
wpscan —url www.url. com

sqlmap
Herramienta de código abierto utilizada para detectar y explotar vulnerabilidades
de inyección SQL en aplicaciones web.
sqlmap —url http://172.17.0.2/ --dbs--batch --form

-u url

-data Se utiliza para enviar datos POST

-dbs Solicita que enumera las bases de datos disponibles en el servidor

-d Seleccionar la base de datos

-t Seleccionar una tabla

Parcial 2 -auditoria de sistemas 3
 -c Seleccionar columna

-dump Extrae los datos de una tabla específica

--batch Permite ejecutar automáticamente acciones sin pedir confirmación al
usuario

--form Buscará los parámetros que se envían a través del formulario, en lugar de
tratar la URL como un simple GET

Auditoria de seguridad en la nube
Auditar los entornos en la nube es crucial para asegurar la seguridad, el
cumplimiento y la eficiencia de los recursos y servicios utilizados

La computación en nube es la entrega de servicios
informáticos a través de Internet ("la nube").

1. IaaS

Proporciona recursos de infraestructura de TI virtualizados a través de
Internet.

Flexibilidad para escalar recursos según la demanda.

Control total sobre la infraestructura de TI.

Pago por uso.

Ejemplos: Amazon Web Services (AWS) EC2, Microsoft Azure, Google Cloud
Compute Engine.

2. PaaS

Ofrece una plataforma que permite a los desarrolladores crear, probar y
desplegar aplicaciones sin preocuparse por la gestión de la infraestructura
subyacente.

Entorno de desarrollo completo y listo para usar.

Herramientas y servicios integrados para el desarrollo y la gestión de
aplicaciones.

Parcial 2 -auditoria de sistemas 4
 Facilita la colaboración y la eficiencia en el desarrollo de software.

Ejemplos: Google App Engine, Microsoft Azure App Service, Heroku.

3. SaaS

Proporciona aplicaciones de software a través de Internet

Aplicaciones accesibles a través de navegadores web.

Actualizaciones y mantenimiento gestionados por el proveedor de
servicios.

Modelos de suscripción flexibles.

Ejemplos: Microsoft Office 365, Google Workspace, Salesforce

Consideraciones Especiales para la Auditoría de Entornos en la
Nube
Auditar entornos en la nube presenta desafíos y consideraciones únicas debido a
la naturaleza distribuida y dinámica de estos servicios. A continuación, se
describen las principales áreas de enfoque para los auditores de TI:

1. Seguridad de la Información

a. Protección de Datos

b. Controles de Acceso

c. Gestión de Identidades y Accesos (IAM)

d. Protección contra Amenazas Avanzadas (ATP)

2. Cumplimiento Normativo

a. Regulaciones y Estándares (por ejemplo, GDPR, HIPAA, ISO 27001)

b. Auditorías Externas

3. Gestión de la Configuración y Cambio

a. Configuración Segura (Seguir las mejores prácticas de seguridad)

b. Control de Cambios

4. Disponibilidad y Recuperación ante Desastres

Parcial 2 -auditoria de sistemas 5
 a. Planes de Continuidad del Negocio

b. Acuerdos de Nivel de Servicio (SLA)

5. Monitorización y Registro (Logging)

a. Monitoreo Continuo

b. Registro y Auditoría

❗ (Resumen) La computación en nube ofrece numerosas ventajas, pero
también introduce nuevos desafíos. Para los auditores de TI, es crucial
comprender los modelos de servicio en la nube (IaaS, PaaS, SaaS) y
enfocarse en áreas clave como la seguridad, el cumplimiento normativo,
la gestión de la configuración, la disponibilidad y la monitorización.

Auditoria de seguridad en plataformas IoT
ISACA - Information Systems Audit and Control
Association (Asociación de Auditoría y Control de Sistemas de
Información)

Auditando el internet de las cosas
Determinar el objetivo (tema) de auditoría

ISACA ha definido IoT como cualquier persona o cosa que lleve software
integrado que permita la interacción con otros objetos animados o inanimados a
través de redes, incluida Internet. La interacción implica compartir y procesar
información para influir en la toma de decisiones y/o acciones con o sin
intervención humana.

Definir el objetivo de la auditoría

Desde la perspectiva de un auditor, es aconsejable adoptar una visión basada en
el riesgo (categorizada en negocio, operacional y técnico)

Establecer el alcance de la auditoría

Parcial 2 -auditoria de sistemas 6
 En otras palabras, ¿Cuáles son los límites de la auditoría? Es más fácil decirlo que
hacerlo.

Realizar la planificación previa a la auditoría
Ahora que se han identificado los escenarios de riesgo, se deben evaluar para
determinar su importancia. La evaluación de riesgos es fundamental para
establecer el alcance final de una auditoría basada en riesgos.

Finalmente, el auditado debe ser entrevistado para preguntar sobre actividades o
áreas de preocupación que deben incluirse en el alcance del compromiso de
auditoría.

Determine los procedimientos de auditoría y los pasos para la recopilación de
datos

El equipo de auditoría debe tener suficiente información para identificar y
seleccionar el enfoque o la estrategia de la auditoría y comenzar a desarrollar el
programa de auditoría.

Es importante reiterar que IoT no tiene una definición aceptada universalmente;
por lo tanto, no existen estándares universalmente aceptados de calidad,
seguridad o durabilidad. Del mismo modo, no hay programas de
auditoría/aseguramiento universalmente aceptados.

❗ (Conclusión) Desafortunadamente, la tecnología, se ha desarrollado
antes de muchos de los controles deseados, por lo tanto, es aconsejable
adoptar un modelo de auditoría genérico y seleccionar los controles
aplicables de la documentación disponible.

Regulaciones, marco de referencia, seguridad, riesgo y analítica

Etapa de temor, incertidumbre y duda (FUD) de las cosas de
Internet (IoT)

Parcial 2 -auditoria de sistemas 7
 IOT FUD se refiere a vulnerabilidades de IoT que conducen a la pérdida de datos,
servicio y posiblemente vida. El mismo FUD se aplica a la seguridad de IoT,
aunque involucra múltiples variables que deben ser consideradas. La resolución
de abordar la seguridad de dispositivos IOT en varios niveles—hardware y
software, gobierno y empresa, servicios—es generalizada. Esta resolución en
aumento se debe principalmente a la gran cantidad de dispositivos IoT que están
disponibles y la facilidad con la que estos dispositivos pueden ser comprometidos
y convertidos en thingbots.

Thingbots son botnets de dispositivos IoT infectados que
pueden ser utilizados para lanzar ataques

Seguridad IoT—El plan del juego
El plan de juego para la seguridad IoT proporciona una visión general del
ecosistema IoT y aborda las normas, marcos y propuestas de regulación que se
han desarrollado recientemente. Algunas de estas directrices (…para IoT por el
Departamento de Seguridad Nacional DHS) son mantras bien conocidos para la
mayoría de los profesionales de seguridad en el juego:

Aprovechar la seguridad de la fase de factibilidad.

Aplicar actualizaciones de seguridad, correcciones y gestión de
vulnerabilidades.

Seguir las prácticas de seguridad probadas.

Priorizar los controles basados en la magnitud o el impacto.

Proporcionar supervisión y adecuada gobernanza de la IOT.

Conecte el dispositivo fuera de la red si no hay una necesidad absoluta de
negocio.

También en 2016, se aprobaron exenciones a la Ley de Derecho de Autor de EEUU
que permiten a los investigadores independientes ser capaces de hackear casi
cualquier dispositivo IoT, aunque se aplican numerosas limitaciones.
El Consorcio Industrial de Internet, compuesto principalmente por empresas
relacionadas con IoT, desarrolló el IISF (Industrial Internet Security Framework),

Parcial 2 -auditoria de sistemas 8
 que describe las mejores prácticas para ayudar a los desarrolladores y usuarios
finales a evaluar el riesgo de IoT y posiblemente defendiendo contra este riesgo.
Propuestas Regulatorias

Bruce Scheiner (investigador de seguridad cibernética y profesor de Harvard)
presentó la comparación del costo frente al incentivo y el impulso para que los
fabricantes de dispositivos IoT corrigieran las vulnerabilidades periódicamente.
Señaló que la mayoría de los dispositivos IoT ofrecen beneficios más bajos y que
los dispositivos más frecuentemente reemplazados, como los teléfonos
inteligentes, son parchados con más frecuencia, en comparación con los
dispositivos que rara vez se reemplazan, como termostatos y refrigeradores.

El juego de la seguridad IoT

La Arena de IoT
Los dispositivos IoT caen generalmente en una de dos categorías: un tipo de
dispositivo interactúa con un pórtico y el otro tiene un pórtico integrado en el
dispositivo (incluye principalmente dispositivos que necesitan estar en
movimiento constante)

Defensa

Comienza a nivel de chip o hardware, donde comienza el ciclo de vida de
un dispositivo IoT y es también el momento adecuado para dirigir el
proceso en el camino correcto. Las principales amenazas son que puede
ser robado, modificado físicamente, reemplazado y clonado.

La Fundación para la Seguridad de Internet de Cosas (IoTSF), ayuda a los
fabricantes, vendedores y usuarios finales de IOT a proteger los
dispositivos IoT. Sin embargo, la mejor contramedida para combatir las
vulnerabilidades de hardware es regular el proceso de fabricación de un
dispositivo IoT.

Las principales amenazas al software o al firmware en los dispositivos IoT
son: que el software puede modificarse o descompilarse para extraer
credenciales y apalancarse para realizar los ataques DDoS. Las
vulnerabilidades en el nivel de software son:

Código inseguro

Parcial 2 -auditoria de sistemas 9
 Contraseñas predeterminadas codificadas en disco duro

Pruebas inadecuadas de software que conducen a puertas traseras

Ausencia de autenticación fuerte durante M2M

A nivel de empresa/ red son los ataques de escucha espontánea, man-in-
the-middle (MiTM) y el robo de ancho de banda. Por ello se recomienda la
segmentación de todos los dispositivos IoT en una zona de red separada.

Ofensiva

La detección temprana y la prevención de ataques en tiempo real es la
prioridad de los equipos de seguridad.

Pruebas
La autonomía, conectividad e impulso son los tres factores que hacen que las
pruebas de calidad de software IoT difieran de las pruebas de software
tradicionales.
El concepto de que la seguridad es un proceso y no un complemento es bien
conocido. Las pruebas de software IoT para contraseñas más débiles,
vulnerabilidades de desbordamiento de búfer, etc., deben seguir las mejores
prácticas de OWASP. Los dispositivos IoT también deben probarse en puertos
de bus serie universal (USB) para vulnerabilidades. La clave es reducir la
superficie de ataque del dispositivo IoT en la máxima medida posible. Además,
al igual que cualquier otro sistema de TI que esté cerca de Internet, se debe
almacenar, transmitir y procesar sólo la cantidad mínima de información
confidencial

Gestión de riesgos de IOT
Forescout categoriza los dispositivos IoT en tres niveles:

Desastroso—Dispositivos conectados a IP que conectados directamente a
Internet están en alto riesgo. Pueden causar daños a la empresa al
obtener acceso a información confidencial o causar deterioro de la
infraestructura crítica.

Disruptivo—Los sistemas interconectados, como los teléfonos e
impresoras de voz sobre Protocolo de Internet (VoIP), pueden provocar
interrupciones en las operaciones del negocio.

Parcial 2 -auditoria de sistemas 10
 Perjudicial—Los dispositivos inteligentes pueden usarse para husmear
alrededor de la red de la empresa para obtener acceso a Metadatos sobre
la red

Análisis y detección

Los recientes avances en el análisis de datos improvisan la métrica de
inteligencia accionable para la seguridad. Determinar el punto en el que
realmente ocurrió una intrusión después de detectar que sucedió es la clave

Gobernanza del equipo IOT
El riesgo de un dispositivo IoT inseguro es relativo en función del dominio en el
que se opera y de la jurisdicción en la que se desarrolla. Los cuatro factores
críticos de éxito que contribuyen a un proyecto eficaz de IOT son: un equipo de
gestión de proyectos de IOT eficiente, un stakeholder del proyecto que tiene la
autoridad para impulsar el proyecto IoT, datos e Infraestructura de
telecomunicaciones para apoyar IoT, y expertos en la materia para mantener la
alta calidad de datos y problemas de integración.

A nivel de gestión de proyectos, los ocho pasos que ayudan a las empresas a
implementar un programa de seguridad IOT sostenible son:

1. Identificar información

2. Priorizar los dispositivos

3. Evalúe el riesgo de pérdida de datos

4. Evalúe el riesgo de acceso de IoT

5. Realizar planificación de respuesta a incidentes de IOT

6. Formular una gran estrategia de datos para gestionar la vasta cantidad de
datos de IoT generados

7. Elaborar políticas para la privacidad de los datos de los sensores

8. Proteja los dispositivos IoT

Parcial 2 -auditoria de sistemas 11
 ❗ (Conclusión) A medida que las empresas avanzan en IoT, necesitan
tener una estrategia que abarque todo el ciclo de vida del dispositivo IoT
(desde la adquisición hasta el final de la vida útil), construir estrategias
que evalúen y manejen el riesgo. Considerar IoT como parte general de
seguridad y gestión de riesgos, tener un enfoque dedicado a evaluar
continuamente, monitorear el riesgo de IoT y la adopción temprana de la
seguridad en el ciclo de vida del dispositivo IoT, a nivel de hardware y
software.

Seguridad para fabricantes de dispositivos de Internet de las
cosas
El Internet de las cosas (IoT) ha introducido nuevos factores de riesgo de
seguridad que no tienen precedentes en alcance y escala.

LAS VULNERABILIDADES DE SEGURIDAD EN LOS PRODUCTOS DE IOT PUEDEN
EXPONER A LOS FABRICANTES A GRAVES RIESGOS DE CIBERSEGURIDAD, LO
QUE PUEDE RESULTAR EN DAÑOS A LA REPUTACIÓN Y FUERTES MULTAS.

El estado actual de la seguridad de IoT
Las vulnerabilidades de seguridad en los productos de IoT expone a los
fabricantes a riesgos de ciberseguridad, daños a la reputación, fuertes multas y
falsificación.
Los productos falsificados representan una amenaza inmediata y tangible en
términos económicos. Debido a la incertidumbre del comportamiento de estos
productos, la tríada de confidencialidad, integridad y disponibilidad (CIA) puede
verse afectada cuando los datos almacenados, transmitidos o procesados en el
sistema pueden estar sujetos a almacenamiento, procesamiento, acceso,
destrucción, alteración, pérdida o falta de disponibilidad accidentales o no
autorizados durante el ciclo de vida de los componentes de IoT.
Uno de los retos a los que se enfrentan los expertos en seguridad y los
fabricantes es que el ecosistema de IoT es complejo y presenta una gran
superficie de ataque.
Reglamentos y directrices

Parcial 2 -auditoria de sistemas 12
 (Figure 1—US and EU Cybersecurity Laws) - resume varias leyes y regulaciones
de ciberseguridad en Estados Unidos y la Unión Europea

1. US IoT Cybersecurity Improvement Act of 2019 (Pendiente)
Alta visibilidad, involucramiento a nivel de dirección, no vulnerabilidades
conocidas, firmware autenticado (Afecta contratistas y vendores IoT)

2. California Senate Bill No. 327 (1 de enero 2020)
Responsabilidad en protección de dispositivos, nueva autenticación requerida

3. US Food and Drug Administration Premarket and Postmarket Management of
Cybersecurity (2014, 2016)
Puntos clave: Requisitos de seguridad en diseño y operación, verificación de
actualizaciones (Afecta a Fabricantes de dispositivos médicos)

4. Regulation (EU) 2019/881 on ENISA and on Information and Communications
Technology Cybersecurity Certification (27 de juenio 2019)

Puntos clave: Esquema de certificación europeo, protección de datos, acceso
autorizado, mecanismos de actualización segura (Afecta a: Fabricantes o
proveedores de productos, servicios o procesos de IoT)

Marco de seguridad de IoT
Sería muy deseable adoptar un marco de seguridad básico, pero
desafortunadamente, no existe una solución única para la seguridad de IoT. El
marco de seguridad adoptado por la mayoría de los profesionales es el Marco de
Ciberseguridad (CSF) del NIST
Cinco principios clave de la seguridad

1. Asegúrese de que los dispositivos funcionen solo como se especifica

2. Evitar que las falsificaciones se ejecuten en el sistema

3. Garantice la seguridad y la privacidad

4. Garantizar un funcionamiento sostenible

5. Garantizar un buen conocimiento de la situación

Protección de la cadena de confianza

Parcial 2 -auditoria de sistemas 13
 La infraestructura de clave pública (PKI) permite la autenticación mutua de
dispositivos y códigos. Esto garantiza que solo los dispositivos autorizados, el
firmware y los códigos de aplicación puedan ejecutarse en un sistema. La idea es
que cada entidad del sistema (esto incluye el hardware de IoT, el arranque, el
firmware y el código de la aplicación) reciba un certificado digital único firmado
por una parte de confianza.
El proceso de firma generalmente se realiza durante la etapa de fabricación
utilizando la clave privada del fabricante. Cuando un dispositivo necesita una
actualización el firmware y el dispositivo se autentican mutuamente. Del mismo
modo, las comunicaciones entre dispositivos están protegidas criptográficamente.

PROTEGER LA CADENA DE CONFIANZA Y LAS CLAVES DE
FIRMA CRIPTOGRÁFICAS ES FUNDAMENTAL EN CUALQUIER
SISTEMA IOT.

❗ (Conclusión) La seguridad a nivel de dispositivos IoT es alcanzable y la
prevención es la mejor opción. Proteger la cadena de confianza, IoT
puede defenderse a sí mismo, y los fabricantes y operadores pueden
minimizar las pérdidas por falsificaciones, lograr el cumplimiento
normativo, minimizar el uso indebido y facilitar el mantenimiento futuro
en hardware, firmware, códigos de aplicación y los datos que procesan.
Por último, los factores de riesgo de ciberseguridad y privacidad deben
evaluarse y mitigarse a lo largo del ciclo de vida del producto.

DDoS (Denegación de Servicio Distribuida)- un tipo de ciberataque en el que
múltiples sistemas comprometidos inundan un sistema objetivo con tráfico,
sobrecargándolo y haciéndolo inaccesible para los usuarios legítimos.
Firmware - actualización de sistema que va directo al hardware de la
computadora (no tiene app intermedia)
Actuador - Switch, es el que genera la accion

Parcial 2 -auditoria de sistemas 14
Parcial 2 -auditoria de sistemas 15