Od Mi 010701

Informe Final
de Seguridad de la Informacin
Convenio entre SIGEN

y el Registro Nacional de las Personas
para la Auditora
del Centro de Produccin de DNI
Julio de 2001
CONTENIDO
I.
OBJETO
II.
ALCANCE
III.
CONCEPTOS DE SEGURIDAD DE LA INFORMACIN
IV.
MARCO METODOLGICO UTILIZADO
V.
HALLAZGOS
VI.
RECOMENDACIONES
VII.
CONCLUSIONES
Sindicatura General de la Nacin
Registro Nacional de las Personas

Informe Final de Seguridad de la Informacin
OBJETO
Identificar y evaluar las polticas, los procedimientos y dems prcticas establecidas en

materia de seguridad informtica para la produccin de DNI en el Centro de Produccin de
Documentos, ubicado en Montesquieu 425 de la Capital Federal, con el alcance que a
continuacin se indica.
II
ALCANCE
Controles de seguridad establecidos sobre los componentes informticos instalados,

tendientes a asegurar la integridad, confidencialidad y disponibilidad de la informacin .
Esta evaluacin comprende los siguientes componentes:
Hardware
Software de base (Sistemas Operativos, Base de Datos, productos de SW de apoyo)
Comunicaciones
Organizacin y administracin de la seguridad
Pistas de auditora
Plan de contingencias y recuperacin ante desastres
Prcticas existentes tendientes a evitar el uso indebido de la informacin, incluyendo :
Verificacin del cumplimiento de las clusulas relativas a Seguridad de la

Informacin que integran el contrato entre el Estado Nacional y Siemens IT Services
S.A.
Relevamiento, anlisis y evaluacin de la Organizacin de la funcin de Seguridad

Informtica.
Relevamiento, anlisis y evaluacin de las polticas y procedimientos vigentes

vinculados a la Seguridad de la Informacin, su actualizacin y mantenimiento.
Pg. 3

Evaluacin de la suficiencia de los controles de Seguridad de la Informacin, su

actualizacin y mantenimiento.
Asignacin de la responsabilidad sobre Seguridad de la Informacin respecto de

los activos tecnolgicos.
Verificacin en campo, de la implementacin de controles formales e informales

sobre Seguridad Informtica aplicados a los activos tecnolgicos.
La revisin se llev a cabo sobre la base de la informacin entregada por el Registro

Nacional de las Personas y por Siemens IT Services, a partir de las pruebas,
documentacin suministrada y evidencia testimonial obtenidas del personal involucrado
del Registro Nacional de las Personas y de la contratista Siemens IT Services S.A.
Las tareas realizadas se iniciaron en el mes de enero de 2001 y se extendieron hasta el

mes de mayo de 2001.
Cabe destacar que el estado de seguridad de un sistema es dinmico, por lo cual los
hallazgos que integran este informe deben interpretarse como las vulnerabilidades que
presentaba el sistema en la fecha y hora en que se llev a cabo la prueba, excepto que
se especifique lo contrario.
La auditora no incluy la evaluacin de los algoritmos y funciones implementados por el

RENAPER para la encripcin de la informacin segn el mtodo 2D.
III. CONCEPTOS DE SEGURIDAD DE LA INFORMACIN

La informacin es un activo que, como el resto de los recursos importantes de la
organizacin, tiene valor para la misma y por consiguiente debe ser debidamente
protegido.
La seguridad de la informacin resguarda a este activo de una amplia gama de
amenazas, a fin de garantizar la continuidad del negocio, minimizar el riesgo de posibles
daos y maximizar el retorno sobre las inversiones y oportunidades.
Pg. 4

La informacin puede existir en muchas formas. Cualquiera sea la forma que adquiere, o
los medios por los cuales se distribuye y almacena, siempre debe ser protegida en forma
adecuada.
La seguridad de la informacin se define aqu como la preservacin de las siguientes
caractersticas :
confidencialidad : se garantiza que la informacin es accesible slo para aquellas
personas autorizadas
integridad : se salvaguarda la exactitud y totalidad de la informacin y los mtodos de
procesamiento
disponibilidad : se garantiza que los usuarios autorizados tienen acceso a la
informacin y a los recursos relacionados con la misma, toda vez que se requiera
La seguridad de la informacin se logra implementando un conjunto adecuado de
controles,
que
comprenden
polticas,
prcticas,
procedimientos,
estructuras
organizacionales y funciones relativas al software. Estos controles deben ser establecidos

para garantizar que se logren los objetivos especficos de seguridad de la organizacin.
Por ltimo, es necesario resaltar que la Seguridad de la Informacin es un proceso
continuo cuya calidad est determinada por la del componente con menor grado de
seguridad.
IV. MARCO METODOLGICO UTILIZADO

Con el fin de verificar el estado de la Seguridad Informtica en el Centro de Produccin
de Documentos Pedro Chutro, se utiliz como marco de anlisis el establecido por el
Estndar Britnico de Seguridad de la Informacin BS 7799, en conjunto con las Pautas de
Seguridad Informtica elaboradas por esta Sindicatura.
Se realizaron las siguientes actividades:
Anlisis de la documentacin que a continuacin se detalla:

a)
Pliego de Bases y Condiciones, Oferta y finalmente Contrato con sus
correspondientes anexos celebrado entre el Estado Nacional, a travs del

Ministerio del Interior, y la empresa Siemens IT Services S.A. con fecha 6 de
Pg. 5

Octubre de 1998, Decreto del Poder Ejecutivo N 1342 del 16 de Noviembre de

1998.
b)
Modelo operacional de funcionamiento presentado por la firma
Siemens IT Services S.A.

c)
Documentacin
elaborada
por
Siemens
IT
Services
RENAPER
entregada durante el proceso de esta auditora:

i)
Estructura organizacional de la funcin de Seguridad.
ii)
Evaluacin
de
riesgos
que
resulta
necesaria
para
la
implementacin de los controles de seguridad adecuados.
iii)
Estudios independientes sobre Seguridad Informtica.
iv)
Poltica General de Seguridad Informtica.
v)
Polticas Particulares de Seguridad Informtica.
vi)
Procedimientos de Seguridad Informtica.
vii)
Plan de contingencias y Plan de continuidad de las operaciones.
Identificacin de los controles requeridos para garantizar la seguridad de la

Informacin en los siguientes componentes:
a) Sistemas operativos instalados (Microsoft Windows NT 4.0 Server y
Workstation, COMPAQ UNIX Tru 64 4.0 y Sun Solaris 2.7).
b) Software de Base de datos (Oracle 8.05 y Sybase System XI).
c) Equipos de Comunicaciones (Routers, Firewalls, Switches, Sistemas de
Acceso Remoto)
Clasificacin de Vulnerabilidades segn el siguiente criterio:

a) Criticidad Alta:
Aquellas
que
afectan
la
confidencialidad,
integridad o disponibilidad de la informacin mediante un proceso

conocido.
b) Criticidad Media:
Aquellas
que
pueden
afectar
los
controles
establecidos.
c) Criticidad Baja:
Aquellas que involucran deficiencias en las tareas
de apoyo a la seguridad.
Pg. 6

Verificacin de controles implementados en el Centro de Produccin en

comparacin con las buenas prcticas concernientes a Seguridad de la
Informacin, segn se especifican en la citada bibliografa.
Realizacin de pruebas para verificar la existencia de controles adecuados y

suficientes en cuanto a la Seguridad de la Informacin. En este contexto se
utilizaron las siguientes tcnicas:
Envo de Paquetes ICMP (Ping)
Escaneo de puertos TCP
Escaneo de puertos UDP
Evaluacin de Servicios TCP
Evaluacin de Servicios Telnet
Anlisis del protocolo NFS
Anlisis de Web Servers Activos
Anlisis de Archivos de Configuracin inetd.conf
Anlisis de demonios de UNIX para detectar programas troyanos
Anlisis de configuracin de usuarios
Anlisis de permisos de acceso a directorios crticos del Sistema
Anlisis de los registros de auditora (logs)
Evaluacin de los archivos setuid
Evaluacin de TCPWrappers
Anlisis del estado de actualizacin del sistema
Anlisis de procesos pendientes
Elaboracin del Informe respectivo conteniendo los hallazgos detectados.
HALLAZGOS
Criticidad alta debido a la Falta de Cumplimiento del Nivel C2 de la Norma DOD

5200.28-STD
El Anexo IV del Contrato suscripto entre el Estado Nacional y Siemens IT Services S.A.
establece en el punto 9 Criterios de Calidad Complementarios, las siguientes
pautas de calidad que por similitud debern ser tenidas como referencias mnimas en
la elaboracin de la solucin: (...)
Pg. 7

Para la seguridad en el software y en los sistemas de Gestin de Base de

Datos: como mnimo debe cumplimentarse el Nivel C2 de la Norma DOD
5300.28-STD (Libro Naranja) del Departamento de Defensa de los EEUU o su
equivalente a Nivel F-C2, E2 de la calificacin del TCSEC (Trusted Computer
System Evaluation Criteria), documento de criterios de evaluacin y
seguridad de TI elaborado por la Junta de Editorial de Criterios Comunes,
conformada por varios pases incluidos EEUU, Alemania, Francia, Reino
Unido, etc.
Para las redes de comunicaciones y transferencia de informacin:
Enlaces encriptados
Las normas DSS de firma digital para identificacin de dispositivos
donde se intercambien claves pblicas.
Algoritmos de encriptamiento del tipo DES, RSA, sus combinaciones, o
superiores a los mismos.
El criterio adoptado ha sido el correspondiente al Nivel C2 de la Norma DOD 5300.28STD (Libro Naranja) del Departamento de Defensa de EEUU y el mismo debe
cumplimentarse para el Software y Sistemas de Gestin de Base de Datos.
Dentro del software utilizado deben considerarse los siguientes programas: Windows NT
Servidor 4.0 con Service Pack 4, Windows NT Workstation 4.0 con Service Pack 4, Sun
Solaris 2.7, COMPAQ Unix Tru 64 4.0, todos ellos Sistemas Operativos.
Dentro de los sistemas de Gestin de Base de Datos, quedan dentro del alcance de
este punto del contrato todos los sistemas de dichas caractersticas, esto es: Oracle
8.05 y Sybase System XI.
El criterio de evaluacin C2 y su correspondiente certificacin implica una lista de
tareas a llevar a cabo en los laboratorios del NCSC (National Computer Security
Center), entre las cuales figuran la instalacin de todos los componentes a evaluar,
esto es, el Hardware, el Sistema Operativo, las actualizaciones al mismo, las relaciones
de confianza entre servidores, la lista de control de acceso y los roles de cada uno de
los componentes entre otras. Luego de realizadas las pruebas e implementadas las
modificaciones requeridas para su aprobacin, NCSC extiende el certificado
correspondiente para la instalacin y configuracin evaluadas.
En el caso del Centro de Produccin de Documentos, no se ha certificado la
configuracin instalada.
Pg. 8

La incorporacin de componentes de software y hardware a una instalacin

certificada deja sin efecto la mencionada calificacin puesto que se trata de una
nueva configuracin no probada.
Una aproximacin al nivel de seguridad C2 (que no garantiza su cumplimiento),
supone duplicar el hardware y software utilizado en una certificacin C2. Esto es utilizar
los mismos componentes y configuraciones originales aunque sin realizar el proceso de
evaluacin.
WINDOWS NT 4.0
Para los sistemas Windows NT Servidor 4.0 y Windows NT Workstation 4.0 implementados
como servidores y estaciones de trabajo, su fabricante Microsoft ha elaborado una
serie de guas y pasos de configuracin a llevar a cabo en la implementacin de la
seguridad. Sin embargo, los mismos tienen el carcter de necesarios pero no
suficientes como para garantizar dicho nivel de seguridad C2. Esta gua puede ser
consultada en la siguiente direccin de Internet:
http://www.microsoft.com/technet/security/c2config.asp?a=printable
En el caso del Centro de Produccin de Documentos, tampoco se ha utilizado esta
aproximacin ya que los componentes de Hardware y Software implementados no se
corresponden con los certificados por el NCSC. Basta como ejemplo la utilizacin de
hardware Siemens en lugar de COMPAQ y de revisin de sistema operativo (Service
Pack) SP4 en lugar de SP6a con su correspondiente actualizacin C2 (C2 update),
segn figura en el Paso 4 (Step 4) del documento Windows NT 4.0 C2 Configuration
checklist.
Por ltimo, lejos del cumplimiento del nivel C2, se puede mencionar la situacin en la
que una instalacin implementa parte de la medidas de seguridad que forman parte
del criterio de evaluacin C2 sin la utilizacin de los componentes base certificados
(hardware y sistema operativo).
En esta situacin se encuentra el Centro de produccin de documentos DNI, en lo
relativo a Sistemas Operativos Windows NT, los cuales soportan la identificacin y
validacin de usuarios sin cumplimentar los dems requerimientos para calificar C2.
Pg. 9

SUN SOLARIS 2.7

En el caso del sistema operativo de Sun, el documento de SITS denominado Principios
de Seguridad con fecha de emisin 7-06-2000, menciona en su captulo 13 Estndares
Tcnicos las siguientes afirmaciones:
...
13.1.1.
Unix Sun Solaris
13.1.1.1.Introduccin
Este captulo tiene por objetivo realizar una identificacin de polticas de
seguridad para el servidor principal de Workflow ubicado en el centro de
cmputos del Centro de Procesamiento de Datos del Registro Nacional de
las Personas, que utiliza el sistema operativo Solaris de Sun Microsystems, a fin
de proveer una herramienta eficaz de consulta en el desarrollo de medidas
tendientes a mejorar el acceso y traslado de informacin en una forma ms
controlada teniendo en cuenta la criticidad y la privacidad de la
informacin que este servidor maneja.
Teniendo esto en cuenta, SITS proveer toda la informacin y herramientas
adicionales que fuera necesario para cumplimentar los requisitos que esta
tarea demande, respetando en todo momento la poltica en materia de
seguridad genrica desarrollada por el Gobierno.
13.1.1.2.Medidas Generales de Seguridad en Solaris
Solaris es un sistema operativo relativamente seguro considerando que es un
sistema multiusuario y de propsitos generales. A pesar de esto, Sun
Microsystems activamente repara los errores de seguridad que este sistema
operativo pueda presentar.
Especficamente, Solaris ha sido diseado para alcanzar el nivel de
seguridad TCSEC, de acuerdo a las certificaciones internacionales de Sun
(2.4 SE ITSEC E2/F-C2).
...
Sin embargo, SITS ha instalado la nica versin del sistema operativo que no ha sido
evaluada por el criterio NTSEC C2, por cuanto no se puede asegurar su conformidad
con dicho criterio.
(Referencia : http://www.sun.com/software/solaris/trustedsolaris/7/ts_eval.html)
Tampoco ha instalado SITS las correcciones a los errores de seguridad divulgados por
SUN.
BASE DE DATOS
Pg. 10

En el punto Accountability Audit de la normativa donde se caracteriza el nivel C2, se

requiere asegurar la imposibilidad de afectar el audit trail de la aplicacin. Este
aspecto, siendo analizado desde la Base de Datos, es decir evitando la restriccin de
accesos impuesta por el Sistema Operativo, no se cumple, ya que un usuario que
llegue a la Base de Datos puede realizar cualquier accin sobre la misma y alterar los
datos, sin dejar rastro.
En el punto Security Policy Discretionary Access Control, se requiere mantener ACLs
(Access Control List) entre usuarios y objetos para indicar qu usuarios tienen los
distintos tipos de acceso sobre los objetos. Este punto, al igual que el anterior, tampoco
se cumple, ya que todos los objetos tienen acceso pblico (GRANT to PUBLIC).
Por lo tanto, la configuracin de la Base de Datos ORACLE no est de acuerdo con el

criterio C2.
Por lo expuesto precedentemente, el nivel de seguridad implementado en el Centro
de produccin de documentos DNI no cumple con el criterio de evaluacin de
seguridad C2 definido en el Anexo IV del contrato, punto 9 Criterios de Calidad
Complementarios.
Criticidad alta debido a la falta de encripcin de las comunicaciones segn lo

establecido en el Anexo IV del Contrato.
El Anexo IV del Contrato suscripto entre el Estado Nacional y Siemens IT Services S.A.
establece en el punto 9 Criterios de Calidad Complementarios, las siguientes
pautas de calidad que por similitud debern ser tenidas como referencias mnimas en
la elaboracin de la solucin: (...)
Para las redes de comunicaciones y transferencia de informacin:

Enlaces encriptados.
Las normas DSS de firma digital para identificacin de dispositivos donde se
intercambien claves pblicas.
Algoritmos de encriptamiento del tipo DES, RSA, sus combinaciones o
superiores a los mismos
Pg. 11

La falta de cumplimiento se encuentra evidenciada en todos los Sistemas UNIX

evaluados, puesto que los mecanismos de conexin se encuentran implementados a
travs de conexiones telnet o ftp (adems de las aplicaciones).
Al iniciarse el proceso de validacin de usuario contrasea, estos protocolos de
comunicaciones envan a travs de la red el usuario y clave del mismo sin encriptar.
Un intruso puede instalar un programa del tipo sniffer (programa que utilizan los intrusos
para capturar usuarios y claves de acceso que son transmitidos por la red) y obtener la
clave del administrador (root) o de cualquier usuario que ingrese al sistema.
La alta criticidad de este hallazgo deviene tanto del incumplimiento contractual,
como de la posibilidad real de vulnerar los esquemas de seguridad previstos poniendo
en compromiso la continuidad de las operaciones en el Centro de Produccin de
Documentos DNI.
Criticidad media debido a la existencia de un Servidor WEB activo en el equipo SUN

Enterprise 3500
En el Servidor SUN Enterprise 3500, denominado database, se encuentra funcionando
un Servidor WEB al cual se puede acceder a travs de un puerto de comunicaciones
predeterminado, pudiendo hacerlo un intruso en forma remota.
Presenta un nivel de criticidad medio puesto que un intruso podra explotar
vulnerabilidades del Web Server para acceder a la informacin contenida en la Base
de Datos de Trmites en Curso.
Criticidad alta debido a la existencia de un segundo Servidor WEB activo en el

equipo SUN Enterprise 3500
En el Servidor SUN Enterprise 3500, denominado database, se encuentra funcionando
un Servidor WEB al cual se accede a travs de un puerto de comunicaciones
predeterminado.
Pg. 12

Presenta un nivel de criticidad alto ya que se han detectado dos vulnerabilidades de

seguridad informtica que lo afectan y que permiten que :
a) un intruso pueda crear en forma remota cuentas de administracin y
acceder a visualizar los registros de auditora del sistema.
b) un intruso pueda lanzar un ataque de denegacin de servicio contra el
Servidor, deteniendo la produccin de Documentos en el CPD.
Criticidad media debido a la inexistencia de Filtrado de acceso a los 8 Sistemas

COMPAQ Unix Tru 64, que administran la base de datos Afis Back - End
La totalidad de los 8 (ocho) Servidores sobre los que recae la administracin de Afis
Back - End carece de la implementacin de un mecanismo de seguridad que permita
el filtrado de paquetes TCP-IP. El mismo debe implementarse mediante la utilizacin de
TCPWrapper.
Este mecanismo de proteccin mediante el filtrado del protocolo TCP/IP a nivel de
Servidor permite al mismo protegerse en forma autnoma. Se ha comprobado la falta
de utilizacin de este tipo de herramientas de seguridad en los ocho equipos
COMPAQ UNIX Tru 64.
Representa un nivel de criticidad medio, ya que permite que cualquier intruso pueda
intentar conectarse al Sistema.
Criticidad alta debido a la existencia de servicios inseguros activos en los 8 (ocho)

Sistemas COMPAQ Unix Tru 64, que administran la base de datos Afis Back - End
Se detect que se encuentran activos los servicios de conexin remota denominados
rsh y rexec, que permiten que un intruso en forma remota, si logra comprometer un
equipo UNIX, pueda ingresar en el resto sin la necesidad de utilizar una clave de
acceso.
Esta relacin de confianza que se encuentra activada en los ocho equipos
mencionados es considerada de alta criticidad y debe eliminarse.
El nivel de criticidad es alto, ya que un potencial intruso puede utilizar la tcnica de
Pg. 13

ataque spoofing para poder ingresar en un equipo COMPAQ Unix Tru 64 y lograr
ejecutar comandos con los privilegios del usuario administrador dentro del sistema
UNIX.
Criticidad alta debido a la existencia del servicio Insight Manager en los 8 (ocho)
Equipos COMPAQ Unix Tru 64, que administran la base de datos Afis Back - End
Se ha comprobado que en los 8 (ocho) Servidores COMPAQ Unix Tru 64 se encuentra
instalado y ejecutndose el producto COMPAQ Insight Manager. Este programa es
una herramienta para administrar y controlar en forma remota la operacin de los
Servidores
COMPAQ.
Posee
un
Servidor
Web
activo
sobre
un
puerto
de
comunicaciones determinado, el cual tiene configurados los usuarios estndar.

El nivel de criticidad es alto, ya que a travs de dos vulnerabilidades detectadas en
este producto, un intruso puede administrar, controlar y apagar en forma remota la
totalidad de Afis Back - End.
Criticidad alta debido a la existencia del servicio de Correo Electrnico (Sendmail)

en los ocho Servidores AFIS Back-End
Se encuentra instalado y activo el servicio de Correo Electrnico. El mismo no se utiliza
y posee tres vulnerabilidades de seguridad, las cuales son de alta criticidad.
Dichas vulnerabilidades son consideradas de alto riesgo, ya que las mismas permiten a
un intruso dejar fuera de servicio el subsistema AFIS Back-End.
Criticidad alta debido a que se comparte el Sistema de Archivos del Servidor

Advanced Data Server Back Up, de AFIS Back-End.
Existe un alto riesgo en el equipo Advanced Data Server Back Up, ya que posee
informacin que se comparte a cualquier usuario en la red sin restriccin alguna.
Esto significa que cualquier persona desde la red, mediante la utilizacin del protocolo
RPC, puede acceder en forma remota y sin autorizacin al sistema de archivos
exportado.
Pg. 14

Todo el contenido de los directorios exportados se encuentra compartido sin

restricciones.
Adems, estos son directorios origen (HOME) de usuarios reales del sistema; es decir
que el intruso puede lograr acceder al Servidor en forma remota con los privilegios de
usuarios predeterminados, entre ellos el de administrador de base de datos ; con lo
cual existe el peligro de que intrusos (incluyendo personal no autorizado) realicen una
o varias de las siguientes actividades:
Borrar o modificar la Base de Datos de Huellas Dactilares contenida en
dichos servidores.
Copiar la Base de Datos de Huellas Dactilares contenida en dichos
servidores.
Criticidad alta debido a la existencia de un usuario sin clave en el Servidor de

Trmites en Curso (SUN Enterprise 3500)
Se detect la existencia de un usuario sin clave de acceso.
El nivel de criticidad es alto ya que si un intruso intenta ingresar a este Servidor con
dicho usuario, el mismo no le pedir clave de acceso, validndolo. A partir de ese
instante el intruso podr aprovechar las vulnerabilidades existentes para poner en
peligro la estabilidad de la base de datos de Trmites en Curso y, por ende, la
continuidad de la produccin de documentos DNI.
Criticidad alta por existencia de permisos de acceso configurados de forma

insegura en el Servidor de Trmites en Curso
Existen permisos de acceso, configurados de manera insegura, que le permitiran a un
intruso ejecutar comandos y programas con los mismos privilegios y caractersticas del
administrador de la base de datos Oracle de Trmites en Curso.
El nivel de criticidad es alto ya que permite a un usuario modificar la configuracin
establecida para la base de datos de Trmites en Curso, poniendo en peligro las
caractersticas deseadas de confidencialidad, integridad y disponibilidad.
Pg. 15

Criticidad alta por falta de actualizacin tecnolgica, la cual pone en riesgo la

seguridad de la Base de Datos de Trmites en Curso y AFIS Back End
De acuerdo con las evidencias testimoniales recibidas de los administradores de los
nueve equipos UNIX, en el servidor Sun que administra los Trmites en Curso y ocho
Servidores COMPAQ que administran la Base de datos de AFIS Back-End, no se han
implementado las nuevas actualizaciones del sistema operativo que resuelven
problemas de seguridad conocidos, desde la instalacin original de dichos sistemas.
Este riesgo es de alta criticidad ya que existen varias vulnerabilidades de seguridad
que pueden ser explotadas por un intruso interno que haya logrado acceder con
privilegios bajos, logrando de esta forma obtener los privilegios del administrador del
sistema. A partir de all pondr en riesgo la continuidad de las operaciones del Centro
de Produccin de Documentos.
En el sistema Digital UNIX OSF v4.0 se han detectado seis vulnerabilidades de
seguridad, mientras que en el sistema UNIX SUN Solaris v7 se han detectado sesenta y
dos vulnerabilidades de seguridad.
Criticidad alta por inexistencia de un Procedimiento de auditora y monitoreo de

seguridad
Todos los equipos UNIX (SUN Solaris y los ocho Digital UNIX) generan y almacenan los
registros de auditora (logs) de conexiones vlidas y fallidas.
Se desconoce la existencia de un procedimiento de auditora de seguridad para
monitorear intentos de intrusin.
Asimismo se carece de Sistemas de deteccin de intrusiones. En una red de estas
caractersticas y confidencialidad de la informacin es imprescindible contar con una
herramienta de deteccin de intrusiones que controle constantemente la red para
detectar dicha actividad.
Este hallazgo es de alta criticidad puesto que deja abierta la posibilidad de intentos
de intrusin sin que se tomen inmediatamente las acciones del caso.
Pg. 16

Criticidad alta por deficiencia en la efectividad de los equipos Firewall

No se encuentran instalados equipos firewall especficos, que permitan garantizar la
seguridad entre las distintas redes virtuales. En lugar de ello se ha implementado un
nivel de proteccin que consiste en la utilizacin de funcionalidades bsicas sobre los
Routers que permiten una segmentacin a nivel de rango de direcciones IP.
El nivel de criticidad es alto, puesto que la debilidad del firewall pone en peligro la
seguridad de los servidores, en
particular
la
confidencialidad, integridad
disponibilidad de la informacin.
Criticidad alta debido a la posibilidad de acceso por parte de la contratista a los

datos de ciudadanos y a los trmites en curso
El sector Help Desk (Mesa de Ayuda) tiene acceso irrestricto al resto de la red a nivel
de protocolo NetBIOS y TCP/IP.
Este tipo de acceso se considera de alto riesgo debido a que cualquier intruso que
tenga acceso a una estacin de trabajo del Help Desk tendr, por consiguiente,
acceso a toda la red del Centro de Produccin de Documentos, incluyendo el Centro
de Escaneo de Paseo Coln.
Criticidad alta debido al bajo nivel de seguridad en el Sistema de Acceso Remoto

El sistema de acceso remoto tiene por objeto activarse ante la falla de los enlaces de
comunicaciones principales. Sin embargo, se encuentra activo en forma permanente.
Este sistema utiliza un dispositivo denominado TOTAL CONTROL para permitir que las
dependencias se conecten y transmitan la informacin correspondiente, realizndose
la validacin de las mismas a travs de un Servidor Windows NT, denominado
EDGEServer, el cual utiliza a tal efecto el protocolo RADIUS. Dicho Servidor carece de
las actualizaciones de seguridad correspondientes.
Pg. 17
El
anlisis
de
dicho

Servidor
concluye
su
inadecuado
nivel
de
seguridad
fundamentndose lo antedicho en la existencia de usuarios definidos por defecto y

recursos compartidos. Asimismo, toda la informacin relativa a la identificacin y
contrasea de las dependencias se encuentra almacenada en dicho servidor en una
base de datos access que carece de encripcin.
El riesgo es alto puesto que un intruso que ingrese a dicha base de datos obtendr
toda la informacin necesaria para acceder en forma remota, va el TotalControl, a la
Red del Centro de Produccin de Documentos DNI, poniendo en riesgo la seguridad
del sistema.
Criticidad alta por posibilidad de acceso externo indebido desde las instalaciones
de Paseo Coln (Centro de Escaneo) al Data Center del Centro de Produccin de
Documentos DNI
Segn lo informado por personal de la Contratista y del Renaper, no existe posibilidad
de acceso al Datacenter desde las instalaciones del Centro de Escaneo de Paseo
Coln. Sin embargo, las pruebas realizadas desde este ltimo centro determinaron la
posibilidad de acceso al Help Desk a travs de protocolos TCP IP y Netbios.
Esta vulnerabilidad es de criticidad alta, debido a que se desconoce esta posibilidad,
por lo que no se han tomado las medidas de seguridad informtica adecuadas. La
seguridad fsica del Centro de Escaneo de Paseo Coln es inferior a la del Centro de
Produccin de Documentos DNI y, sin embargo, se puede considerar lgicamente
como una sola red ; por ltimo, debido a la vulnerabilidad establecida en el punto
Posibilidad de acceso por parte de la contratista a los datos de ciudadanos y a los
trmites en curso, desde el Help Desk se puede acceder a la informacin
almacenada en el Data Center, con lo que un intruso que explote esta condicin
insegura de acceso desde el Centro de Escaneo de Paseo Coln podr hacerse del
control de una estacin de trabajo del Help Desk y, desde all, acceder a la
Informacin del Data Center.
Criticidad alta por inadecuada configuracin de las conexiones a los Routers y

switches telnet y http
Pg. 18

El sistema que se utiliza para el acceso a la configuracin de los routers y switches se

basa en los protocolos telnet y http.
Dicho hallazgo presenta un nivel de criticidad alto, debido a que dichos protocolos
son inseguros, puesto que transmiten la informacin en modo de texto plano; por ello,
si un intruso instalara en la red un programa de tipo sniffer, podra obtener los usuarios y
contraseas de configuracin de los equipos de comunicaciones, pudiendo luego
tener acceso a los mismos.
Una vez que accede al equipo de comunicaciones en modo configuracin, podra
eliminar la proteccin establecida a travs del mismo, o borrarla, dejando al Centro
de Produccin de Documentos totalmente permeable a ataques o incomunicado.
Criticidad alta por autenticacin dbil sobre los equipos de comunicaciones,

basada en Direcciones IP
El acceso a los mdulos de configuracin de los routers y switches se encuentra
configurado para que slo pueda accederse desde direcciones IP especficas.
Este hallazgo presenta un nivel de criticidad alto debido a que, como se mencionara
anteriormente, resulta relativamente sencillo impostar direcciones IP. Un intruso
calificado podra utilizar esta tcnica de ataque para conseguir una conexin a la
configuracin del equipo de comunicaciones y, una vez obtenida, utilizar tcnicas
como la ya mencionada de Sniffing, a fin de capturar el usuario y la contrasea de
configuracin del equipo de comunicaciones.
Criticidad alta por falta de implementacin de un proceso de administracin de la

continuidad operativa y de anlisis de riesgo sobre estrategias de recuperacin
Si bien los documentos elaborados contemplan la definicin de escenarios de
desastre (incendio, amenazas, etc.), no se obtuvo evidencia de la realizacin de un
anlisis de carcter integral que contemple los siguientes aspectos:
-
definicin de las principales funciones y objetivos del negocio
identificacin y definicin de los distintos escenarios de desastre posibles y cmo
Pg. 19

dichos escenarios afectan el cumplimiento de los objetivos planteados

-
definicin de las estrategias globales de recuperacin y de los costos que implica

cada una de ellas
estimacin de prdidas intangibles y otras prdidas cuantificables ocasionadas por

el tiempo de carencia de servicios
elaboracin de informacin para la toma de decisiones respecto de la estrategia

definitiva mediante anlisis de costo / beneficio
Cabe destacar que en la documentacin analizada se hace referencia a la

realizacin de una evaluacin de riesgos y a la identificacin de puntos crticos a fin
de elaborar los procedimientos ante emergencias. Sin embargo, no se ha obtenido
documentacin relacionada con dicho anlisis.
La situacin descripta evidencia la falta de implementacin de un proceso controlado
para el desarrollo y mantenimiento de la continuidad de las operaciones de todo el
proyecto.
La criticidad de este hallazgo es alta debido a que ante la ocurrencia de los eventos
mencionados no existen procedimientos que permitan continuar la operacin.
Criticidad alta por inadecuados planes de continuidad operativa
De acuerdo con el anlisis de los documentos existentes vinculados con la
continuidad de las operaciones (Plan de Contingencias RNP y Plan de Seguridad para
Siemens IT Services, Captulo 8) se observan los siguientes aspectos:
No se ha elaborado un Plan de Contingencias nico para todo el proyecto que

contemple la definicin de diferentes fases (fase de retorno, recuperacin,
reconstruccin, etc.). Esto se evidencia en la existencia de los dos documentos
mencionados precedentemente, de los cuales el primero se refiere nicamente a
situaciones de emergencia originadas por fallas en el funcionamiento del
equipamiento y el segundo, a otros eventos como incendios, amenazas, huelga,
etc.
No se define claramente lo que se considera como una situacin de desastre. Al

respecto cabe destacar que se describen procedimientos para actuar frente a
situaciones de emergencia, entre los cuales se mencionan incendios, amenazas,
Pg. 20

etc., as como la cada del equipamiento.

-
No se contempla la definicin de:
Procedimientos de emergencia a seguir por parte de usuarios finales durante el

tiempo de recuperacin.
Procedimientos de comunicacin con los proveedores o subcontratistas.
Procedimientos y planes de actualizacin y mantenimiento del plan.
Plan de entrenamiento del personal involucrado y materiales de capacitacin.
Un sitio alternativo de procesamiento, en caso que una situacin de desastre

impida continuar las operaciones en el CPD de Pedro Chutro.
Por otra parte, los documentos analizados no hacen referencia a las pautas mnimas
que debern considerarse en relacin con los procedimientos de copias de
resguardo.
La situacin descripta dificulta el conocimiento de los usuarios finales sobre cmo
proceder ante contingencias y acerca de las responsabilidades y funciones a cubrir.
Asimismo, se incrementa la posibilidad de que al momento de la ocurrencia del
desastre no se cuente con todos los recursos necesarios para efectuar una
recuperacin del negocio con el mnimo impacto posible.
Por otra parte, el plan podra no ser efectivo debido a la falta de prueba y / o
actualizacin del mismo.
La criticidad de este hallazgo es alta debido a que ante la ocurrencia de los eventos
mencionados no existen procedimientos que permitan continuar las operaciones.
Criticidad alta debido a inadecuados procedimientos de revisin e investigacin y

seguimiento de los registros de los eventos de seguridad
De acuerdo con la documentacin analizada se observa que no se ha elaborado un
procedimiento completo y detallado que describa las actividades relacionadas con
los procesos de revisin de los registros de auditora (logs) de los eventos de seguridad.
A continuacin se mencionan algunos ejemplos de las observaciones detectadas.
-
Pasos a seguir para el seguimiento del log
Frecuencia de su revisin
Pg. 21

Acciones a seguir en caso de deteccin de irregularidades
Responsable del mantenimiento del log, y de la ejecucin del procedimiento

correspondiente
Perodo de retencin
Presentacin de informes y escalamiento
Restricciones de acceso
Por otra parte, no se han desarrollado procedimientos especficos para la posterior

investigacin y seguimiento de los eventos de seguridad que revelen situaciones no
contempladas en las polticas de acceso a los sistemas y que surjan como resultado
de la revisin de los registros de auditora (logs).
Este riesgo se considera de criticidad alta debido a que impide la toma de decisiones
inmediatas ante la ocurrencia de violaciones a la seguridad.
Criticidad alta por inadecuado procedimiento de actualizacin de software

antivirus
Si bien el documento Principios de Seguridad y el Anexo A06 Antivirus contemplan la
actualizacin del Software Antivirus, no se incluye la definicin de la frecuencia de
actualizacin del mismo.
En el caso de utilitarios alternativos, como por ejemplo McAfee, utilizados por la Mesa
de Ayuda, se establece una frecuencia de actualizacin mensual, la cual resulta
insuficiente.
Se considera de criticidad alta debido a que atenta contra la proteccin de la
integridad del software y de la informacin.
Criticidad alta debido a una Inadecuada administracin de la Seguridad

Informtica
Las medidas de seguridad existentes no se encuentran agrupadas en un cuerpo
orgnico suficientemente claro y detallado que permita definir la estrategia en cuanto
a la seguridad. De acuerdo con el relevamiento realizado y el anlisis de la
documentacin existente en materia de seguridad, se observan los siguientes
aspectos:
Pg. 22

No se ha definido dentro de la estructura organizacional un rea responsable de la

administracin de la seguridad, que tenga a su cargo la preparacin y mantenimiento
de la poltica y de los procedimientos y planes de seguridad, as como la
implementacin de la seguridad en el Organismo.
La estrategia de seguridad implementada no contempla ni especifica los siguientes
aspectos:
La realizacin de un anlisis de riesgo formal, teniendo en cuenta que el riesgo tiene
diversos
componentes:
activos,
amenazas,
vulnerabilidades,
protecciones,
consecuencias y probabilidad. Si la estrategia de seguridad no es precedida por un

anlisis formal de riesgos, sta podra contemplar amenazas que pueden no ser reales
o crticas para la organizacin.
La formulacin y documentacin de planes detallados para implementar la estrategia
de seguridad. Si la estrategia es global y no hace referencia a planes de seguridad de
sistemas, programas de entrenamiento, planes de contingencia, manejo de incidentes
y resultados de auditora ms detallados, su efectividad se ver reducida.
La definicin de un proceso para comunicar la estrategia y los planes, polticas y
procedimientos. Cuando no existe un proceso de comunicacin definido, la poltica
deja de ser perceptible y no se asegura que los mandatos, funciones y
responsabilidades se mantengan actualizados a medida que se modifica el entorno.
Las responsabilidades de seguridad de los funcionarios y empleados de todos los
niveles no estn claramente definidas ni formalizadas. La falta de formalizacin de
estas responsabilidades hace que el Organismo se vuelva ms vulnerable a posibles
violaciones a la seguridad.
No existe un programa de concientizacin en materia de seguridad. Esto hace que los
empleados carezcan del conocimiento necesario sobre las polticas y procedimientos
de seguridad del Organismo, poniendo en riesgo la seguridad del mismo.
No se han establecido lineamientos para la asignacin de las responsabilidades de
propiedad de los recursos ; tampoco se han definido las funciones y las
responsabilidades de los propietarios. Si la propiedad no es asignada, los propietarios
no conocern sus responsabilidades. Por lo tanto, no podrn ser cuestionados por la
eventual falta de seguridad en la implementacin de las prcticas y procedimientos y
Pg. 23

el eventual incumplimiento de la estrategia de seguridad.

Finalmente, cabe mencionar que la poltica de seguridad informtica y las medidas
de seguridad especificadas, una vez implementadas, debern ser revisadas
peridicamente analizndose la necesidad de cambios o adaptaciones para cubrir
los riesgos existentes.
Criticidad media por ausencia de control de bloqueo de cuentas ante intentos

fallidos de conexin por parte de usuarios en los sectores de Firma Holgrafa,
Autorizaciones y Resolucin de Problemas
Del muestreo al azar realizado en estaciones de trabajo ubicadas en los mencionados
sectores surge la falta de control en el proceso de autenticacin de usuarios. La
opcin Bloqueo de Cuentas no se encuentra activada cuando debera estarlo
segn el procedimiento establecido en el documento NTWstation2000_e. Esta opcin
bloquea la cuenta del usuario una vez que se ingresa tres veces una clave errnea.
El riego es medio debido a que un intruso podra intentar acceder al sistema desde
dichas estaciones de trabajo probando diferentes combinaciones de usuario y clave
hasta obtener la adecuada. Desde ese momento, el intruso tendra acceso a las
funciones asignadas al sector, poniendo en riesgo los controles establecidos para el
circuito de aprobacin de trmites.
Criticidad alta debido a que el Controlador Primario de Dominio y Controlador de

Backup de Dominio, en el sector Boldt, no se ajustan a las polticas de seguridad
elaboradas por Siemens IT Services
Esta situacin se considera de criticidad alta, debido a que ante una falla de dichos
sistemas SITS podra reemplazar los equipos configurndolos de acuerdo con sus
polticas y no de acuerdo con la poltica utilizada por Boldt. Esta circunstancia podra
impedir la continuidad operativa, dado que no existen garantas de que los
Pg. 24

subsistemas de Boldt funcionen en el entorno de las restricciones de seguridad

establecidas por SITS.
Criticidad alta debido a la falta de registro, en los registros de auditora, de los

eventos realizados por los administradores Windows NT
Eventos tales como el inicio y cierre de sesin, uso de derechos de usuario, reinicio y
apagado del sistema, borrado de directorios y seguimiento de procesos, no dejan
pistas de auditora en los registros correspondientes. Esta situacin se considera de alto
riesgo, debido a que un administrador mal intencionado podra modificar la
configuracin del sistema tornando insegura la operacin del mismo, ya sea
eliminando controles de seguridad o instalando software malicioso.
Criticidad alta debido a la existencia de la cuenta invitado en servidores y

estaciones de trabajo, en particular el servidor que opera el acceso a la base de
datos histrica
La cuenta invitado es una cuenta de usuario que se instala automticamente cuando
se configura el sistema operativo y que originalmente fue destinada a ser utilizada por
aquellas personas que deben acceder ocasionalmente al sistema. Sin embargo, trae
consigo el riesgo asociado a no dejar pistas sobre la identidad del usuario que utiliza el
sistema. Dichas cuentas deben ser eliminadas o, como mnimo, bloqueadas. La
criticidad alta se debe a la posibilidad de que un intruso acceda al sistema utilizando
dicha cuenta para explotar otras vulnerabilidades del sistema operativo y, de esta
forma, atentar contra la integridad, confidencialidad y disponibilidad de los datos.
Criticidad alta debido a la inexistencia de controles horarios para la conexin al

sistema por parte de los administradores del Data Center
Las cuentas correspondientes a los administradores del Data Center no tienen
configurado el control horario para acceso al sistema. Esta situacin se considera de
criticidad alta debido a que un administrador malintencionado o un intruso podra
aprovechar esa caracterstica para ingresar al sistema e impostando la identidad de
otro administrador ausente utilizar esta ltima identidad para cometer irregularidades
Pg. 25

impunemente.
Criticidad baja debido a la falta de control de las cuentas de usuarios por parte de
los mismos
La falta de verificacin por parte de los usuarios de la utilizacin de sus propias cuentas
limita la posibilidad de hallar intentos de violacin a la seguridad del sistema. En
efecto, en aquellas instalaciones donde se muestra a los usuarios, al inicio de la sesin,
el ltimo registro de acceso, se permite que los mismos informen del uso de sus propias
cuentas por parte de intrusos y que se tomen las medidas necesarias para su solucin.
Criticidad alta debido a que los usuarios con rango de administrador tienen acceso
a la modificacin de los registros de auditora
Esta situacin es considerada de alta criticidad debido a que administradores mal
intencionados pueden borrar las pistas de auditora correspondientes a violaciones del
sistema. Esta situacin imposibilita garantizar la integridad, confidencialidad y
disponibilidad de la informacin.
Criticidad alta debido a que los comandos del sistema operativo y utilitarios
restringidos no dejan registros de auditora
Esta situacin se considera de criticidad alta puesto que los comandos del sistema
operativo y utilitarios de uso restringido que son definidos como aquellos que permiten
alterar el ambiente controlado de la estacin de trabajo, no dejan rastros en el registro
de auditora. De esta forma podra suceder que las estaciones de trabajo queden
fuera de operacin por la utilizacin de dichos comandos y que la responsabilidad de
los hechos no pueda establecerse claramente.
Criticidad alta debido a que las reglas de acceso de los usuarios a los recursos no se
encuentran verificadas por el Estado
Las reglas de acceso de los usuarios a los recursos se encuentran definidas por el
contratista sin la participacin del Estado en su definicin. Siendo el Estado el
responsable
de
la
custodia
de
los
datos,
de
garantizar
la
integridad,
Pg. 26

confidencialidad y disponibilidad de los mismos, resulta inaceptable que no se le d

participacin en la definicin de dichas reglas. Podra darse el caso de que una mala
interpretacin de la funcionalidad pretendida de la aplicacin d por resultado que
usuarios que no lo necesitan accedan a datos sensibles y se violen de esta manera los
atributos de confidencialidad, integridad y disponibilidad.
Criticidad alta debido a la posibilidad de utilizacin de sesiones simultneas

El sistema operativo utilizado (Windows NT) impide el control de sesiones simultneas.
Esta situacin es considerada de criticidad alta puesto que la falta de control en este
sentido posibilita que distintos usuarios desde diversas estaciones utilicen la misma
cuenta de usuario. Al no verificar el sistema esta situacin, ante una violacin a la
seguridad del mismo, resultara difcil identificar al responsable.
Criticidad alta debido a que los usuarios con rango de administrador poseen
autoridad suficiente para otorgar permisos de acceso a los recursos, y para crear y
eliminar cuentas de usuario
La autoridad de los administradores para crear y eliminar cuentas de usuario, asignar
derechos de acceso y modificar registros de auditora, conspira contra los objetivos de
control de la seguridad informtica. De producirse adrede un ilcito por parte de un
administrador, no existirn rastros de auditora que permitan establecer lo acontecido.
Criticidad media debido a la falta de un registro que contenga las cuentas de

usuario y sus respectivos permisos de acceso
Esta situacin se considera de criticidad media, debido a que la documentacin
mencionada es de suma utilidad para la operacin de los cambios de configuracin
de los usuarios, cambios de funciones asignadas y restauracin de la continuidad de
las operaciones.

seguridad del acceso a los sistemas de produccin de documentos
Pg. 27

De acuerdo al relevamiento efectuado sobre los servidores y estaciones de trabajo, no

se han implementado las nuevas actualizaciones del sistema operativo que resuelven
problemas de seguridad conocidos, desde la instalacin original de dichos Sistemas.
Este riesgo es de alta criticidad ya que existen varias vulnerabilidades de seguridad
que pueden ser explotadas por un intruso interno que haya logrado acceder con
privilegios bajos, logrando de esta forma obtener los privilegios del administrador del
sistema. A partir de ese momento, pondr en riesgo la continuidad de las operaciones
del Centro de Produccin de Documentos.
En el sistema Windows NT Server versin 4.0 sp4 existen no menos de doscientas fallas y
vulnerabilidades corregidas en la actualizacin denominada Service Pack 6a.
Criticidad alta debido a la falta de revisin del cumplimiento de las medidas de

seguridad
Esta situacin se considera de alto riesgo, debido a que es la responsable de la actual
falta de seguridad mnima en la que se encuentra el Centro de Produccin de
Documentos.
VI. RECOMENDACIONES
Criticidad alta debido a la Falta de Cumplimiento del Nivel C2 de la Norma DOD
5200.28-STD
Se considera de alto riesgo la situacin actual. Se recomienda actualizar los sistemas
operativos a sus ltimas versiones verificadas segn dicha norma y aplicar los criterios
de seguridad por ella establecidos. De esta forma se mejorar sensiblemente la
seguridad del sistema, dotndolo de mayor robustez en este sentido.
BASE DE DATOS
Pg. 28

Se considera de alto riesgo la situacin actual. Se deben restringir los derechos de

acceso al audit trail a los efectos de garantizar que el registro de auditora contenga
los eventos reales y no pueda ser modificado por los usuarios.
Asimismo, se deben restringir los derechos sobre objetos asignados a usuarios. Debe
evitarse la asignacin Grant to Public
Criticidad alta debido a la falta de encripcin de las comunicaciones segn lo

establecido en el Anexo IV del Contrato.
Esta situacin se considera de alto riesgo. Deben implementarse los mecanismos de
encripcin de las comunicaciones, entre servidores y estaciones de trabajo.
Criticidad media debido a la existencia de un Servidor WEB activo en el equipo SUN

Enterprise 3500
Se considera medianamente crtica esta situacin. Debe desinstalarse el servidor Web
mencionado.
Criticidad alta debido a la existencia de un segundo Servidor WEB activo en el

equipo SUN Enterprise 3500
Esta situacin se considera de alto riesgo, puesto que existen formas de explotar la
vulnerabilidad mencionada. Se recomienda desinstalar este segundo servidor Web.
Criticidad media debido a la inexistencia de filtrado de acceso a los 8 Sistemas

COMPAQ Unix Tru 64, que administran la base de datos Afis Back - End
Debe implementarse un mecanismo de proteccin mediante TCPWrapper o software
similar.
Pg. 29

Criticidad alta debido a la existencia de servicios inseguros activos en los 8 (ocho)

Sistemas COMPAQ Unix Tru 64, que administran la base de datos Afis Back - End
Deben desactivarse los demonios rsh y rexec en los 8 (ocho) servidores Unix
pertenecientes a AFIS BACK END.
Criticidad alta debido a la existencia del servicio Insight Manager en los 8 (ocho)
Equipos COMPAQ Unix Tru 64, que administran la base de datos Afis Back - End
Deben aplicarse las correcciones al programa COMPAQ Insight Manager en los 8
(ocho) servidores Unix. De no ser posible aplicar dichas correcciones, o de no ser
necesaria la utilizacin de este programa, se recomienda la desinstalacin del mismo
en los 8 (ocho) servidores Unix de Afis Back End.
Criticidad alta debido a la existencia del servicio de Correo Electrnico (Sendmail)

en los ocho Servidores AFIS Back-End
Debe desactivarse el sistema Send Mail en los 8 (ocho) servidores Unix.
Criticidad alta debido a que se comparte el Sistema de Archivos del Servidor

Advanced Data Server Back Up, de AFIS Back-End.
Esta situacin se considera de alta criticidad debido a la imposibilidad de asegurar la
efectiva custodia de la Base de Datos de ciudadanos. Debe dejar de compartirse el
directorio mencionado y establecerse un mtodo alternativo para reemplazar la
exportacin del directorio.
Criticidad alta debido a la existencia de un usuario sin clave en el Servidor de

Trmites en Curso (SUN Enterprise 3500)
Debe verificarse que todos los usuarios tengan clave. Asimismo, las claves deben
contener un mnimo de 8 (ocho) caracteres combinando smbolos, nmeros y letras en
mayscula y minscula. Deben ejecutarse peridicamente programas para verificar la
utilizacin de claves complejas y alertar en el caso de que no lo sean, tomando las
medidas pertinentes.
Pg. 30

Criticidad alta por existencia de permisos de acceso configurados de forma

insegura en el Servidor de Trmites en Curso
Debe realizarse la revisin de los permisos de acceso en los servidores Unix,
configurndolos en forma segura.

seguridad de la Base de Datos de Trmites en Curso y AFIS Back End
Deben actualizarse las versiones de los sistemas operativos Unix: Solaris y Digital Unix
OSF V4.0, a efectos de impedir la utilizacin de vulnerabilidades de seguridad
conocidas.
Criticidad alta por inexistencia de un Procedimiento de auditora y monitoreo de

seguridad
Debe verificarse el registro de auditora de cada servidor y realizar el seguimiento de
intentos de violacin al sistema. Asimismo, debe implementarse un mecanismo
automtico de deteccin de intrusiones.
Criticidad alta por deficiencia en la efectividad de los equipos Firewall

Deben instalarse Firewalls a efectos de proteger las distintas subredes internas. Es
deseable que los mismos implementen deteccin automtica de patrones de
intrusin.
Criticidad alta debido a la posibilidad de acceso por parte de la contratista a los

datos de ciudadanos y trmites en curso
Debe impedirse el acceso a los datos de ciudadanos por parte del sector de Help
Desk. Debe verificarse el acceso a los sistemas de produccin a efectos de impedir su
utilizacin por parte de gente no autorizada.
Pg. 31

Criticidad alta debido al bajo nivel de Seguridad en el Sistema de Acceso Remoto

Inicialmente, debe configurarse en forma segura el servidor sobre el cual funciona el
Total Control. Simultneamente debe evaluarse el reemplazo de este sistema por
vnculos de comunicaciones de backup punto a punto suministrado por un proveedor
distinto del que suministra los vnculos operativos.
Criticidad alta por posibilidad de acceso externo indebido desde las instalaciones
de Paseo Coln (Centro de Escaneo) al Data Center del Centro de Produccin de
Documentos DNI
Debe eliminarse la posibilidad de acceso desde instalaciones externas. La instalacin
de Firewalls apropiados permitir solucionar esta situacin.
Criticidad alta por inadecuada configuracin de las conexiones a los Routers y

switches telnet y http
Debe modificarse el mtodo de conexin a los equipos de comunicaciones para
realizar esta actividad en forma segura. Entre las opciones figura la utilizacin de PCs
portables para la conexin a travs de los puertos de comunicaciones o servicio del
equipo y la PC.
Criticidad alta por autenticacin dbil sobre los equipos de comunicaciones,
basada en Direcciones IP
Deben utilizarse mecanismos de autenticacin fuerte como los provistos a travs de
direcciones IP junto a las MAC Address, dispositivos criptogrficos y firma digital.
Criticidad alta por falta de implementacin de un proceso de administracin de la

continuidad operativa y de anlisis de riesgo sobre estrategias de recuperacin
Debe realizarse un anlisis completo que incluya, entre otros, los siguientes aspectos:
-
definicin de las principales funciones y objetivos del negocio
identificacin y definicin de los distintos escenarios de desastre posibles y cmo

dichos escenarios afectan el cumplimiento de los objetivos planteados
Pg. 32

definicin de las estrategias globales de recuperacin y de los costos que implica

cada una de ellas
estimacin de prdidas intangibles y otras prdidas cuantificables ocasionadas por

el tiempo de carencia de servicios
elaboracin de informacin para la toma de decisiones respecto de la estrategia

definitiva mediante anlisis de costo / beneficio
Criticidad alta por inadecuados planes de continuidad operativa

Debe realizarse un plan de continuidad operativa que contemple, entre otros, los
siguientes aspectos:
Plan de Contingencias nico para todo el proyecto que contemple la definicin de

diferentes fases (fase de retorno, recuperacin, reconstruccin, etc.).
Definicin clara y precisa de lo que se considera una situacin de desastre.
Definicin clara y precisa de:
Procedimientos de emergencia a seguir por parte de usuarios finales durante el

tiempo de recuperacin.
Procedimientos de comunicacin con los proveedores o subcontratistas.
Procedimientos y planes de actualizacin y mantenimiento del plan.
Plan de entrenamiento del personal involucrado y materiales de capacitacin.
Un sitio alternativo de procesamiento, en caso que una situacin de desastre

impida continuar las operaciones en el CPD de Pedro Chutro.
Pautas mnimas que debern considerarse en relacin con los procedimientos de

copias de resguardo.
Responsable de ejecucin del Plan.
Pruebas y simulacros.
Responsable de actualizacin del Plan.
Criticidad alta debido a inadecuados procedimientos de revisin e investigacin y

seguimiento de los registros de los eventos de seguridad
Debe definirse e implementarse un mecanismo de revisin e investigacin de los
registros de auditora. El mismo debe contener mnimamente:
-
Pasos a seguir para el seguimiento del log
Pg. 33

Frecuencia de su revisin
Definicin de Irregularidades
Acciones a seguir en caso de deteccin de irregularidades
Responsable del mantenimiento del log y de la ejecucin del procedimiento

correspondiente
Perodo de retencin
Presentacin de informes y escalamiento
Restricciones de acceso
Procedimientos de investigacin de Incidentes e irregularidades
Criticidad alta por inadecuado procedimiento de actualizacin de software

antivirus
Debe definirse una periodicidad de actualizacin no superior a los 7 (siete) das para el
software antivirus.
Criticidad alta debido a una Inadecuada administracin de la
Seguridad
Informtica
Se debe realizar una definicin formal y completa de la Estructura de Seguridad que
contemple, como mnimo, los siguientes elementos:
rea responsable de la administracin de la seguridad, que tendr a su cargo la
preparacin y mantenimiento de la estrategia, poltica, procedimientos y planes de
seguridad, as como la implementacin de la seguridad en el Organismo.
Realizacin de un anlisis de riesgo formal, teniendo en cuenta que el riesgo tiene
diversos
componentes:
activos,
amenazas,
vulnerabilidades,
protecciones,
consecuencias y probabilidad.
Formulacin y Documentacin de planes detallados para implementar la estrategia
de seguridad.
La estrategia de seguridad deber ser global y hacer referencia a:
planes de seguridad de sistemas
Pg. 34

programas de entrenamiento
planes de contingencia
manejo de incidentes
resultados de auditora
Definicin de un proceso para comunicar la estrategia y los planes, polticas y
procedimientos.
Definicin formal de la responsabilidad de funcionarios y empleados en cuanto a la
seguridad.
Programa de concientizacin de empleados en materia de seguridad informtica.
Definicin formal de asignacin de responsabilidades sobre el cumplimiento de la
seguridad informtica en la totalidad de los recursos informticos.
Definicin formal y asignacin de responsabilidad sobre el proceso de revisin
peridica de la poltica y las medidas de seguridad implementadas.
Criticidad media por ausencia de control de bloqueo de cuentas ante intentos

fallidos de conexin por parte de usuarios en los sectores de Firma Holgrafa,
Autorizaciones y Resolucin de Problemas
Debe establecerse el bloqueo de la cuenta de usuario una vez realizados tres intentos
fallidos (no necesariamente consecutivos) de ingresar la clave de acceso
Criticidad alta debido a que el Controlador Primario de Dominio y Controlador de

Backup de Dominio, en el sector Boldt, no se ajustan a las polticas de seguridad
elaboradas por Siemens IT Services
Deben configurarse ambos Controladores de Dominio de acuerdo con las polticas de
seguridad de SITS a efectos de unificar el criterio.
Pg. 35

Criticidad alta debido a la falta de registro, en los registros de auditora, de los

eventos realizados por los administradores Windows NT
Deben auditarse todos los eventos mencionados.
Criticidad alta debido a la existencia de la cuenta invitado en servidores y

estaciones de trabajo, en particular el servidor que opera el acceso a la base de
datos histrica
Debe desactivarse o eliminarse dicha cuenta de usuario.
Criticidad alta debido a la inexistencia de controles horarios para la conexin al

sistema por parte de los administradores del Data Center
Debe establecerse un control horario de acuerdo con los turnos que efectan los
administradores.
Criticidad baja debido a la falta de control de las cuentas de usuarios por parte de
los mismos
Debe establecerse que los usuarios controlen la actividad de sus cuentas mediante la
revisin de la fecha y hora de acceso a las mismas. Toda actividad anormal
detectada sobre sus propias cuentas debe ser inmediatamente informada.
Criticidad alta debido a que los usuarios con rango de administrador tienen acceso
a la modificacin de los registros de auditora
Debe eliminarse toda posibilidad de acceso a los registros de auditora por parte de
los administradores y cualquier otro usuario ajeno al sector de seguridad informtica.
Pg. 36

Criticidad alta debido a que los comandos del sistema operativo y utilitarios
restringidos no dejan registros de auditora
Los comandos, transacciones y utilitarios de uso restringido deben dejar registros de
auditora.
Criticidad alta debido a que las reglas de acceso de los usuarios a los recursos no se
encuentran verificadas por el Estado
SITS debe suministrar al Estado la informacin necesaria sobre las reglas de acceso a
los recursos, a fin de permitir la verificacin de su exactitud por parte del mismo,
responsable final de la integridad, confidencialidad y disponibilidad de la informacin.
Criticidad alta debido a la posibilidad de utilizacin de sesiones simultneas

Debe eliminarse la posibilidad de utilizacin de sesiones simultneas.
Criticidad alta debido a que los usuarios con rango de administrador poseen
autoridad suficiente para otorgar permisos de acceso a los recursos, y para crear y
eliminar cuentas de usuario
Los administradores deben carecer de autoridad para la realizacin de actividades
como alta y baja de usuarios y modificacin de permisos de acceso a los recursos
Criticidad media debido a la falta de un registro que contenga las cuentas de

usuario y sus respectivos permisos de acceso
Debe existir y mantenerse actualizado un registro que contenga todas las cuentas de
usuario y sus respectivos privilegios de acceso a los recursos.
Pg. 37

seguridad del acceso a los sistemas de produccin de documentos

Deben actualizarse los sistemas operativos Windows NT Server versin 4.0 sp4 y Windows
NT Workstation versin 4.0 sp4 mediante el Service Pack 6a y sus hotfix
correspondientes.
Criticidad alta debido a la falta de revisin del cumplimiento de las medidas de

seguridad
Debe verificarse peridicamente el cumplimiento de las polticas y medidas de
seguridad.
Pg. 38

VII. CONCLUSIONES
De lo expuesto anteriormente surge claramente la falta de cumplimiento por parte de
la contratista de los niveles de seguridad establecidos en el contrato, en particular
para la seguridad en el software y en los sistemas de gestin de Base de Datos segn
el criterio de evaluacin de seguridad C2 definido en el Anexo IV del contrato, punto
9, Criterios de Calidad Complementarios. En igual situacin se encuentra con
respecto a las redes de comunicaciones y transferencia de informacin, donde los
medios instalados, insuficientes, no fueron configurados debidamente para cumplir
con el punto expuesto.
Con respecto a la actualizacin de los Sistemas Operativos, tampoco se ha llevado a
cabo, encontrndose el sistema muy expuesto al ingreso de intrusos.
Por otra parte, la falta de un plan integral de seguridad informtica, el cual ha sido
parcialmente definido e implementado, impide el cumplimiento del objetivo del
contrato, que consiste en la emisin de documentos en forma segura, confiable y con
un alto grado de inviolabilidad.
Asimismo, lo antedicho supone la ausencia de una evaluacin de los riesgos asociados
a la tecnologa informtica instalada.
Por ltimo, se estima que el nivel de seguridad actual no fue alterado desde el inicio
de las operaciones, puesto que responde a configuraciones estndar de instalacin
de los respectivos sistemas.
Buenos Aires, 17 de Julio de 2001
Pg. 39

Od Mi 010701

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Od Mi 010701

Uploaded by

Copyright:

Available Formats

Informe Final

Convenio entre SIGEN

CONCEPTOS DE SEGURIDAD DE LA INFORMACIN

MARCO METODOLGICO UTILIZADO

Sindicatura General de la Nacin

Registro Nacional de las Personas

Identificar y evaluar las polticas, los procedimientos y dems prcticas establecidas en

Controles de seguridad establecidos sobre los componentes informticos instalados,

Prcticas existentes tendientes a evitar el uso indebido de la informacin, incluyendo :

Verificacin del cumplimiento de las clusulas relativas a Seguridad de la

Relevamiento, anlisis y evaluacin de la Organizacin de la funcin de Seguridad

Relevamiento, anlisis y evaluacin de las polticas y procedimientos vigentes

Sindicatura General de la Nacin

Registro Nacional de las Personas

Evaluacin de la suficiencia de los controles de Seguridad de la Informacin, su

Asignacin de la responsabilidad sobre Seguridad de la Informacin respecto de

Verificacin en campo, de la implementacin de controles formales e informales

La revisin se llev a cabo sobre la base de la informacin entregada por el Registro

Las tareas realizadas se iniciaron en el mes de enero de 2001 y se extendieron hasta el

La auditora no incluy la evaluacin de los algoritmos y funciones implementados por el

III. CONCEPTOS DE SEGURIDAD DE LA INFORMACIN

Sindicatura General de la Nacin

Registro Nacional de las Personas

organizacionales y funciones relativas al software. Estos controles deben ser establecidos

IV. MARCO METODOLGICO UTILIZADO

Anlisis de la documentacin que a continuacin se detalla:

Pliego de Bases y Condiciones, Oferta y finalmente Contrato con sus

correspondientes anexos celebrado entre el Estado Nacional, a travs del

Sindicatura General de la Nacin

Registro Nacional de las Personas

Octubre de 1998, Decreto del Poder Ejecutivo N 1342 del 16 de Noviembre de

Modelo operacional de funcionamiento presentado por la firma

Siemens IT Services S.A.

entregada durante el proceso de esta auditora:

Estructura organizacional de la funcin de Seguridad.

implementacin de los controles de seguridad adecuados.

Estudios independientes sobre Seguridad Informtica.

Poltica General de Seguridad Informtica.

Polticas Particulares de Seguridad Informtica.

Procedimientos de Seguridad Informtica.

Plan de contingencias y Plan de continuidad de las operaciones.

Identificacin de los controles requeridos para garantizar la seguridad de la

Clasificacin de Vulnerabilidades segn el siguiente criterio:

integridad o disponibilidad de la informacin mediante un proceso

Aquellas que involucran deficiencias en las tareas

Sindicatura General de la Nacin

Registro Nacional de las Personas

Verificacin de controles implementados en el Centro de Produccin en

Realizacin de pruebas para verificar la existencia de controles adecuados y

Envo de Paquetes ICMP (Ping)

Escaneo de puertos TCP

Escaneo de puertos UDP

Evaluacin de Servicios TCP

Evaluacin de Servicios Telnet

Anlisis del protocolo NFS

Anlisis de Web Servers Activos

Anlisis de Archivos de Configuracin inetd.conf

Anlisis de demonios de UNIX para detectar programas troyanos

Anlisis de configuracin de usuarios

Anlisis de permisos de acceso a directorios crticos del Sistema

Anlisis de los registros de auditora (logs)

Evaluacin de los archivos setuid

Anlisis del estado de actualizacin del sistema

Anlisis de procesos pendientes