En Internet Security Auditors creemos que una auditoría puede ser mucho más que el ejercicio de examinar sistemáticamente

 

En Internet Security Auditors estamos especializados en procesos de auditoría de seguridad, y colaboramos con entidades financieras en la revisión de sus sistemas de seguridad desde hace más de diez años. Dentro de las plataformas ATM de cajeros de entidades financieras, tenemos experiencia auditando sistemas de los mayores fabricantes del mercado.

Ámbito de Actuación

Los test realizados incluyen tanto pruebas de hacking ético como validaciones técnicas y los resultados son útiles de cara a evaluar o mantener el cumplimiento de las normas PCI DSS/PA DSS o la certificación ISO27001.

Ámbito de las Pruebas

Una auditoría de plataformas ATM engloba los siguientes 10 puntos:

  1. Análisis de arquitectura y protocolos
    • Comprende los propios cajeros dispersos por la red de oficinas, la red y dispositivos de comunicación, y los servidores.
    • Se revisan los siguientes aspectos:
      • Validación a nivel teórico de dicha arquitectura.
      • Revisión de seguridad de los servidores.
      • Visibilidad de la red desde un cajero automático.
      • Tráfico externo que llega a los cajeros.
      • Información recibida de la red.
      • Análisis de protocolos de comunicación, captura de datos sensibles, manipulación de peticiones, uso de protocolos/servicios inseguros.
      • Evaluación del riesgo e impacto en el negocio de un incidente de seguridad.
  2. Análisis de la configuración
    • Una incorrecta configuración del sistema operativo puede, en ocasiones generar la aparición de problemas de seguridad en el propio sistema operativo o en alguna de las aplicaciones en ejecución.
    • Se revisan aspectos como los siguientes:
      • Configuración de: Usuarios, Sistema de ficheros, Niveles de seguridad, Servicios, Reglas de firewall personal, Acceso a herramientas administración.
      • Bastionado de PCI DSS.
      • Alteración de la configuración de la aplicación del cajero para registrar información en logs.
  3. Revisión PCI DSS
    • Revisión de los requisitos de PCI DSS a cumplir por el entorno.
    • Revisión de los controles implantados para cumplir los requisitos de PCI DSS siguiendo los procedimientos de evaluación de seguridad.
  4. Revisión de seguridad de la aplicación del cajero
    • Interfaz aplicativa: ofuscación de la información, mantenimiento de la confidencialidad y de la integridad de la información, análisis de la disponibilidad.
    • Transmisión de la información.
    • Almacenamiento.
    • Tratamiento de datos en memoria.
    • Seguridad de los servicios utilizados.
    • Posibles manipulaciones de la aplicación desde el host.
    • Análisis PCI DSS según se ha descrito en el apartado anterior.
  5. Análisis de vulnerabilidades de la aplicación cliente
    • Detección de posibles atajos aplicativos que puedan existir mediante la manipulación del interfaz de cliente.
    • Detección de vulnerabilidades de la aplicación o de los distintos objetos de software que interactúan con la interfaz cliente y que puedan suponer un riesgo para la disponibilidad del cajero, un acceso a componentes locales del cajero o de la red.
    • Análisis de las posibles debilidades de la aplicación mediante el uso de teclados conectados al cajero, con acceso físico al interior del mismo.
  6. Protecciones contra ejecuciones de código ilícito
    • Se revisarán los aspectos relacionados con el riesgo de ejecución de código ilícito, contemplando específicamente pruebas orientadas a corroborar o superar la protección que aporten los sistemas de protección específicos como el white-listing.
      Protecciones contra ejecuciones de código ilícito
  7. Procedimiento de actualización del software
    • Los sistemas de cajero tienen componentes de software que deben ser actualizados de forma regular para garantizar la corrección de defectos y vulnerabilidades de seguridad que van apareciendo.
    • En el caso de los cajeros automáticos, según requerimientos de normas como PA-DSS es necesario asegurar que estos procesos garantizan la integridad de los archivos de actualización y la imposibilidad de realizar un ataque al tráfico o las fuentes de manera que pudiera llegar a alterarse los archivos que se emplearán para las actualizaciones tanto del Sistema Operativo como de la propia aplicación del cajero.
  8. Análisis del disco duro
    • Alguien que se apodere del disco duro usado en un cajero (hurto, reutilización del disco sin una correcta eliminación de los datos) podría llegar a analizar el contenido del disco, especialmente si no se utilizan mecanismos criptográficos para protegerlo.
    • Se evalúa la información que se puede obtener a partir del disco duro de un cajero, no sólo en ficheros existentes, sino también en ficheros borrados.
    • Búsqueda de PAN, PINBLOCK, pista, etc. en el disco duro para verificar la escritura y/o borrado seguro de datos en el HD según requerimientos de PCI DSS.
  9. Revisión de procesos de monitorización y gestión remota
    • Análisis teórico de debilidades que puedan ocasionar las herramientas de gestión remota del entorno:
      • Protecciones contra alteración de la información por parte de terceros.
      • Accesibilidad a las herramientas desde la red.
      • Requerimientos para la autenticación de los usuarios.
    • Revisión del posible impacto de un uso inapropiado de los procesos de soporte a clientes:
      • Autenticación requerida para ejecutar esos procesos.
      • Filtro de los orígenes que puedan ejecutarlos.
      • Auditoría de las acciones (logs).
      • Control de integridad de los mensajes.
  10. Criptografía de la aplicación cajero
    • Se deberá revisar que en el proceso actual no se puede obtener la Master Key del cajero ni de las claves que se le comunican.
    • Se deberá evidenciar técnicamente que mediante la utilización de las claves que hay en el cajero no se pueden descifrar datos como el PIN o las bandas cuando se cifren.

Resultados

Como resultado de esta auditoría, se proporciona la siguiente documentación:
Informe
Se elabora un informe detallado donde se incluye:

  • Informe ejecutivo
  • Ficheros con los resultados.
  • Informe específico de escenarios conceptuales de riesgos.
  • Incluye todos los resultados técnicos de las pruebas de explotación de las vulnerabilidades.