Incident Response, Security and Forensics"

.

lunes, 16 de noviembre de 2009

Un caso incomodo.

Hola lectores,

Lamento el haber tardado tanto en escribir, pero tengo un inmenso 'Tsunami' de trabajo.

Quiero comentar algo que es importante en uno de los casos en los que he participado y que quiero compartir con todos vosotros.


Hace un tiempo intervine en un caso muy extraño por las particularidades de las empresas que participaban.

Una empresa (vamos a llamarla A) contrata una auditoría de seguridad en redes a otra empresa (vamos a llamarla B). La empresa A quiere constatar el nivel de seguridad que dispone, dado que trabaja en el marco regulado de PCI-DSS. Es decir trabaja con datos de titulares de tarjetas de crédito.

La empresa B entre muchas de las acciones de control que realiza hace una captura de tráfico en la red local con objeto de ver que se transmite y si cumple uno de los requisitos de control. Esa información se almacena en un fichero '.PCAP'

Tras un tiempo (dos meses después de finalizar la auditoría) la empresa A denuncia a la empresa B por fuga de información de datos personales y datos financieros. Como veis el caso es muy, pero que muy complejo.

Tras pedirme colaboración se detectan las siguientes irregularidades que expongo a continuación:

  • La empresa A debería de haber realizado en el contrato de los trabajos a realizar, unas cláusulas de 'contrato de prestación de servicio' regulado en el ámbito de LOPD. También una cláusula de confidencialidad dado que se van a auditar 'zonas' criticas de información. Estas cláusulas no son complicadas y siempre está reguladas por lo que marca la ley.
  • La empresa A y B deberían de especificar y reflejar en el contrato el ámbito de trabajo a realizar, los detalles especiales que afecten a la intimidad de las personas si se produjera (como fue el caso) y la devolución de toda la información resultante de los trabajos de auditoría al finalizar esta.
  • La empresa A debería de disponer de una política que regulara o avisará a los empleados de que en los ámbitos de auditoría se puede revisar esta información
  • La empresa A si es conocedora de este trabajo de auditoría debería de haber avisado a la representación sindical o un representante de los trabajadores de la realización de estos.
  • La empresa B no explico en detalle los trabajos que iba a realizar , entre ellos la captura de tráfico.
  • La empresa B se llevo información que afecta a la intimidad de las personas y además de no quedar reflejada en el contrato .
  • La empresa B debería de disponer de protocolos de cadena de custodia en el caso de que fuera necesario llevarse información.

Este punto es muy importante por varias causas:

Derecho a la intimidad.

El principal y el que más énfasis se enmarca en derecho judicial. En este caso no se realizó correctamente dado que se capturo la información y se la llevo el auditor sin aplicar ninguna cadena de custodia. Es decir sin mala causa se llevo:

  • Transcripciones completas de correo electrónico
  • Datos de tarjetas de crédito
  • Conversaciones de Messenger
  • Otro tráfico de red

En estos casos el procedimiento debería de haber sido el siguiente:

  1. Se recopila la información y se filtra en busca de los datos necesarios que impone PCI-DSS, es decir datos de tarjeta de crédito, excluyendo todo lo demas. (Es decir el resultado es un fichero con los datos a buscar)
  2. Tres copias de este fichero PCAP y se comprueba la integridad. Original para la empresa, copia para los auditores y copia (si es necesaria) para la explotación y análisis fuera de la empresa ( es decir en la empresa que hace la auditoría)
  3. El análisis de los datos se debería de realizar dentro de la propia empresa auditada
  4. Si ha de salir algún dato de la empresa auditada para su verificación por la empresa auditora este debe de estar cifrado y autorizado expresamente por la empresa auditada
  5. Debe quedar constancia escrita (normalmente en el contrato) de la destrucción de los datos obtenidos por los auditores una vez finalizados los trabajos.

No he entrado en detalle como se produjo la fuga de información (de momento) ya que me falta los análisis previos en ambas empresas, pero prometo manteneros informados.

Ahora visto lo visto, tenemos que poner las alarmas, los ID's e IP's mentales al 100% y cuando vayamos a realizar una auditoría poner todas las cartas sobre la mesa con objeto de cubrirnos las espaldas.

4 comentarios:

Grácias, me ha ayudado a clarificar el tema.

Ecrawler

Pedro, ya veo lo que querías decir en el comentario...
Como siempre, un gran post

Coincido con lo dicho hasta ahora, sin duda un gran mensaje que pone de manifiesto que, llevar a cabo una auditoria de seguridad no es moco de pavo.

Saludos