El Precio de la Historia

Saludos amig@s lectores,

Hoy quiero darles a conocer una mas de mis:

 

 

O mas bien una de las historias de mi vida  :P

Erase una vez en un municipio muy lejano..........................

No mas!! ahora si seriedad. Por que SI no de inicio te hartas de esta historia!!

De una alcaldia me solicitaron:

 

                Antecedentes.

"Servicio de Diagnostico y revisión del Incidente de Servicio de Infraestructura correspondiente al Servidor Altos Acer  con Sistema operativo SCO Unix 5.0.4 con datos históricos de valorización, predial, Industria y Comercio, Contabilidad."

                Resultados de la intervención.

Se realizo una revisión exhaustiva inicial del Servidor para determinar su funcionamiento y estado de integridad, determinando un grave daño en el Disco duro SCSI (almacenamiento de Información), por ende el daño de la información. Se presento posteriormente la propuesta de procedimiento de revisión, recuperación y puesta en marcha del Servidor SCO Unix en servidor ACER ALTOS.

 

                Valoración el Informe.

El alcance de esta labor es dejar en funcionamiento normal el Servidor ACER ALTOS con su correspondiente Sistema Operativo SCO UNIX con la finalidad de retomar la operación normal del Dpto. o aéreas beneficiarias o propietarias de su información contenida en los archivos y Bases de Datos que almacena.

NO OBSTANTE, es importante aclarar que una vez el Servidor SCO UNIX este en su funcionamiento  normal no podemos garantizar que los aplicativos o datos se encuentren en perfectas condiciones ya que el incidente presentado tras su falla puede haber desencadenado daño de los datos y programas para tal fin deberán recurrir a el proveedor o fabricante de estos programas para su reparación e integridad de la información. O recurrir a procesos de restauración, configuración y preparación de los programas y datos para que estén disponibles para su uso normal de operación y permita guardar, recuperar y consultar la información de interés.

                PROCEDIMIENTOS.

1.    Se reviso y configuro el Servidor  Acer Altos con la finalidad de dar inicio de arranque por el Disco Duro SCSI. Logrando arrancar el sistema Operativo SCO UNIX pero presentando fallas en la identificación del programa que controla el Disco Duro SCSI, y fallas permanentes graves en el Disco.

2.    Se cambio el Disco Duro por varios tipos de Discos, los cuales a su vez presentaban fallas físicas de los mismos. Hasta lograr determinar un Disco Duro IDE y permitió continuar con la instalación del Sistema Operativo

3.    Se determina realizar una instalación limpia (fresca) del sistema operativo, es decir instalar el sistema operativo SCO Unix 5.0.7 para recuperar la información del último Backup de Datos que se tenía guardado y realizar la instalación de las aplicaciones (programas) de cada uno de los datos que se restaurarían para Valorización, Industria y Comercio,  predial, contabilidad (SCO),etc.

4.    Debido a que se trata de un equipo de muchos años atrás presenta problemas en la Unidad de Cd ROM SCSI y la Unidad de disquete (floppy), lo que implico destapar la unidad de CDROM SCSI para reparar y cambiar la unidad de disquete por una funcional.

5.    Con el equipo listo para utilizar, se realiza la instalación del sistema operativo SCO UNIX 5.0.4 (sistema base del computador), y posteriormente continuar con la instalación de las aplicaciones y la recuperación de los datos buscando dejar el servidor en su funcionamiento normal  como servidor histórico de consultas.

Haciendo uso de las licencias de Software (programas) que se tenían almacenadas (SCO Unix, FoxBase+, Unify / Accell, SCO Contabilidad,etc.

Una vez instalado y preparado el sistema operativo, se realizan tareas básicas de administración, como configuración de cuentas de usuario y perfiles, instalación de Dispositivos, Tape Backup, etc.

Se continua con la instalación de las aplicaciones de software (programas que manejan los datos), instalándose el SCO FoxBase+, Unify/Accell, Software contable SCO.

Aquí, se observa la instalación y funcionamiento de la Base de Datos Unify / Accell.

Se procede a instalar el sistema contable SCO de Innosoft Software para SCO Unix, desafortunadamente al realizar el proceso de restauración se presentaron fallas en los disquetes, se trato de efectuar algunas maniobras de recuperación de la información de los disquetes sin éxito alguno, razón por la cual el sistema contable no sube totalmente, es decir no funciona totalmente.

Habiéndose instalado las aplicaciones que se dejaron recuperar e instalar, se procede a recuperar la información con base en Tape Backups (Cintas de respaldo) con la última información guardada, se probaron varias cintas hasta poder dar uso de una de ellas y recuperar la información y subirla al sistema operativo SCO UNIX 5.0.7

Logrando recuperar la información se procede a configurar las aplicaciones, el gestor de base de datos y a consultar su información.

Se realizaron intentos de autenticación (ingresos) a la aplicación con varias claves facilitadas por los funcionarios de valorización sin éxito alguno,  ya que estas no correspondían  y no daban el acceso a la información por la aplicación que estaba gestionando la información.

Consulta de los registros de información. 

Consulta del ambiente de la Base de Datos y los aplicativos.

Debido a:

•    que no se puedo gestionar la información
•    no se pudo manipular haciendo uso de los programas
•    no se tienen los programas fuentes de toda la aplicación
•    no se pudo acceder a las aplicaciones por falta de credenciales de autenticación (nombres de usuario y contraseñas validas.
•    Se determino copiar la información por medio de un servicio de transferencia de archivos FTP que se instalo en el servidor para pasar la información de las copias a uno de los equipos de Sistemas,  con la finalidad de lograr de alguna forma especifica el uso de los datos, como por ejemplo realizar programas en FoxPro versión actualizada al día de lo que constituía la Base de Datos y programa de aplicaciones Fox Base+.

Se presenta la evidencia de imágenes del equipo de trabajo responsable de ejecutar el procedimiento de recuperación normal del servidor Acer Altos con sistema Operativo SCO UNIX 5.0.4 destinado a la consulta de datos históricos de la Alcaldía.

Director de Sistemas Alcaldía XXXXXXX (Cesar XXXXXX  XXXXXX) y Consultor de Compulink-JJH (Jhon Jairo Hernández).

Asistente de Sistemas Alcaldía XXXXXXXXXXX (Felix) y Consultor de Compulink-JJH (Jhon Jairo Hernández).

                CONCLUSIONES.

1.    No se pudo recuperar el Disco Duro SCSI
2.    Se configuro servidor, Controladoras y Unidades de almacenamiento
(CdROM, disquetes).
3.    Se reinstalo el Software en un nuevo Disco (Sco Unix, FoxBase+, Unify /
Accell, Programa contable SCO, etc)
4.    Se restauraron los datos de una de las copias del Tape Backup
5.    Se configuraron aplicaciones para su uso
6.    Se reviso la información recuperada de las cintas de respaldo
7.    Se preparo la información para su uso
8.    No se pudo realizar la autenticación de las aplicaciones
9.    La aplicación contable SCO no se pudo instalar completamente
10.    Se copio la información a equipo de Sistemas para ser gestionada por
otros programas actuales y resolver requerimientos de valorización.
11.    Se recomienda generar copias de todos los sistemas de información.

Como pueden ver, si hacen Sipnasis de sus viejas neuronas, con viejos recuerdos aun puede ser lucrativo y generar algunos buenos ingresos...

Este es el precio de la historia que nos permite revivir bonitos recuerdos, lograr algunos pesos y contribuir a continuar soportando la informacion que algunos aun necesitan como datos historicos.

Definitivamente, "Mas sabe el Diablo por viejo que por Diablo"

Bytes



Dino.

TEST DE INTRUSION INTERNO (Taxonomia de un ataque)

Cordial saludo,

Amigos lectores de este espacio de conocimiento compartido.

Hoy quiero mostrarles las fases o el camino que seguimos en el momento de realizar un test de intrusion interno, simulando el rol de un atacante interno  (Insider) quien tiene como minimo un punto de contacto, conexion de red o estacion de computo asignado.

Las pruebas de seguridad se desarrollarán de acuerdo a la metodología OSSTMM (Manual de la Metodología Abierta de Testeo de Seguridad. ISECOM – Instituto para la Seguridad y las Metodologías Abiertas) del ISECOM.

No pretendo explicar o enseñar la Sección C “Seguridad en las Tecnologías de Internet”,  los cuales se dividen en la ejecución de pruebas (Test de Verificación) y Recolección de Datos.

Solo presentare las evidencias tomadas en algunas (no todas) de las fases:

Esto se inicia tomando como base esta labor inicial  NETWORK MAPPING / Black Box  

Si no lo has leido, te invito a hacerlo puesto que es el punto de partida de todo el proceso.

SONDEO  DE RED.

Mapa Infraestructura Tecnológica.

Equipos con funcionamiento actual en la Red.

Las dos siguientes fases entregan como producto dos matricez que no incluire en este  articulo.

Identificación de puertos y servicios.

En esta actividad se envían mensajes a los puertos de un Host conectado a una red, con la finalidad de analizar su estado actual (open, closed, filter), como también determinar qué servicios está ofreciendo sobre el puerto. Cada servicio está asociado a un puerto.

Es importante aclarar que para las fases del sondeo de red y descubrimiento de puertos y servicios es necesario ejecutar las herramientas con sistemas de evasión de firewall e IDS´s

Búsqueda y verificación de vulnerabilidades.

Obtención de Documentos.

Se realizan malas prácticas de exposición de información sensible, un atacante puede tomar esta información para informarse y conocer lo que va a atacar, a continuación se presentan imágenes de información que debería resguardarse y no ser publica.

Testeo de Servicios Privilegiados.

Se tiene servicio de correo Interno POP3, debido a su configuración sin seguridad (no se cifran los protocolos de correo interno) este pasa las credenciales de autenticación en texto plano, las cuales pueden ser capturadas por un atacante con solo activar un Sniffer en la red (programa que captura datos que van a los computadores). El atacante hará uso de esta información para acceder a la información de los buzones de correo, logrando información sensible del negocio y privada, como también lograr suplantar identidad del usuario.  Cabe destacar la simplicidad en el uso de las claves, no se hace uso de procedimientos de manejo de credenciales y custodia de claves que permitan asegurarlas  y tener contraseñas mas robustas.

Captura de tramas de Red de diversos protocolos.

Testeo Denegacion de Servicios.

Ataque de MITM (Man In The Middle / Ataque de hombre en medio) al activarlo causa DoS (Denegacion de Servicio) en la plataforma informatica afectando la operación del negocio.

Alertas y Explotacion de Vulnerabilidades.

Haciendo uso de Sniffers para efectuar un MITM (Man In The Middle – Ataque de Hombre en medio) y herramientas de secuestro de sesiones, se logra la sesión de una funcionaria, permitiéndole al atacante explorar la información del contenido de su buzón, suplantar identidad y lograr escalar privilegios en la Red. 

No se aplican restricciones de seguridad a las carpetas compartidas, permitiendo el libre acceso a la información, se comparten las carpetas sin aplicar medidas de seguridad, un atacante solo explorando la red puede llegar a esta información que en muchas ocasiones resulta ser crítica y sensible para la Organización. Información de carpetas compartidas sin medidas de seguridad del equipo SISTEMAS.

Una rápida exploración a estos archivos le permitirá lograr información importante.

Información de carpetas compartidas sin medidas de seguridad del equipo SISTEMAS1, información de credenciales de autenticación a la VPN (red privada virtual), unidad C:\

Carpeta compartida PROGRAMAS ACTUALES.

Logrando información de los archivos XML.

Ejecutando aplicaciones desde la estación comprometida.

Se ejecutan desde la carpeta compartida scripts para ejecución.

Ahora ingresamos haciendo uso de WinSCP desde mi estación Windows 7

Y Desde mi estación de trabajo Linux Bactrack 4 R2, el LastLogon me puede estar indicando la dirección de otro servidor o de un simple Host, dato que hasta el momento no tenia (podría haber relación de confianza con este otro servidor permitiendo la entrada directamente a el)

Vamos en búsqueda de credenciales, visualización del archivo que contiene las cuentas de los usuarios /etc/passwd y grupo /etc/group

Monitoreando y explorando el Servidor.

Explorando el sistema en busca de mayor información disponible, consultando scripts con fines administrativos, que permiten conocer la BD y credenciales de autenticación

Consultando script mov_tab_datos.sql

Script de mantenimiento que exporta la BD como historyABR2010 quemando las credenciales de autenticación que le permiten al atacante acceder a la BD.

Creando usuario y asignándole el Rol de Administrador  (DBA)

Consultando scripts que insertan registros en las tablas “todo.sql” y “24.sql” en 10.30.XXX.XX3

Un atacante puede consultar el archivo VIMINFO en busca de mayor información para ampliar su superficie de ataque, en el cual encontramos  “xxxxe@cxxxxo.

Información sensible.

Dentro del sistema con el usuario oracle, este se dara a la tarea de buscar formas de escalar privilegios como superusuario o root.

Archivo TSNAMES de Oracle, el cual permite describir los SID de las BDs y SQLNET con la configuración de Oracle.

Acceso a recurso compartido en equipo 10.xx.x.x5  (lxxxxxxxas)

Indicias que hay descarga de malware y uso inadecuado del recurso de internet. Esta imagen representa la descarga de contenido XXX 

Acceso al buzon de correo auxilxxxxxxxxxmano clave 123456 via Web.

Información sensible equipo Caja2 (cuadres de caja).

Equipos Infectados con Malware.

Acceso a Maqinas Virtuales (MV) para montar la infraestructura.

Información sensible equipo de Psicología.

Accediendo a uno de los Servidores Principales por VNC.

Carpeta compartida del equipo de Talento con archivos de configuración del cliente de Oracle con información importante de configuración del servicio Oracle.

Archivo de configuración TSNAMES de un cliente (Oracle) con información valiosa como el password de la sesión de tcnames.

Ufff como cosa rara, esto se hizo extenso :¬(

Espero no les haya aburrido la lectura y la cantidad de imagenes, creo que me extendi pretendiendo mostrar lo importante del informe, recuerden que este compendio tiene como producto unos  informes Gerencial, Tecnico, Matrices y presentaciones. Analicen las imagenes y logren lo mejor de cada una de ellas para alcanzar sus procesos.

Agradezco de antemano que hallan llegado hasta aqui. Con mucho esfuerzo y voluntad.........

Bytes

Dino.

PD: Ya se aplicaron las remediaciones, el plan de aseguramiento.