Linea de Tiempo previa a elecciones.

Linea de Tiempo previa a elecciones.

TSE contacta EHC Group

a EHC Group Entrega de

Propuesta

00

Formal.

Aceptaci?n del TSE

KICK OFF Asignaci?n

de Compromisos OEP/NEOTEC

NEOTEC responde que no entregara accesos a sus

Servidores

NEOTEC Justifica mediante

una busqueda en

Asignaci?n Se niega a Internet, el

de

instalar el porque no

Compromisos agente de quiere el

EHC Group Monitoreo agente de

OSSEC/WAZUH Monitoreo.

01

02

03

04

EHC Group 05 realiza las

pruebas de Penetraci?n a Servidores y

Aplicaciones de NEOTEC

EHC Group 06 hace entrega

los reportes de Vunerabilidades encontradas al

OEP

Descripci?n Vulnerabilidades

encontradas

19/09

26/09

04/10

05/10

10/10

10/10

11/10

Resumen de vulnerabilidades encontradas

? Comunicaciones Inseguras

? Vulnerabilidad: Es posible interceptar y leer todas las comunicaciones del TREP.

? Causa:

No se emplea cifrado de la comunicaci?n.

? Obtenci?n de credenciales

? Vulnerabilidad: Se obtiene las credenciales de acceso de todos los usuarios del sistema TREP.

Nombre de Usuario y Contrase?a de 7000 usuarios.

? Causa:

Uso de MD5; algoritmo de cifrado depreciado debido a la facilidad en romperlo.

? Envio masivo de Actas Electorales

? Vulnerabilidad: Es posible inyectar desde Internet; votos, actas y fotogafrias de las mismas.

? Causa:

Falla en el desarrollo del software por dise?o inseguro.

? Exposici?n de informaci?n sensible

? Vulnerabilidad: Es posible interceptar y alterar la comunicaci?n entre la Aplicaci?n y el Servidor.

? Causa:

Uso de un m?todo inapropiado de env?o de datos.

? Aplicaci?n m?vil vulnerable a alteraci?n y extracci?n de informaci?n

? Vulnerabilidad: Aplicaci?n no evita instalarse en un celular con acceso ROOT; permitiendo

acceso a la base de datos local donde se obtiene tambi?n el usuario y clave.

? Causa:

No se utiliza un metodo ANTI-ROOT

Linea de Tiempo previa a elecciones.

NEOTEC

informa que

se corrigieron

dos

vulnerabilida-

EHC Group

des.

EHC Group

hace entrega

responde y

los reportes de

sugiere

Vunerabilida-

m?todos de

des a NEOTEC.

remediaci?n.

07

08

09

EHC Group

Debido a las EHC Group

env?a a

10 fallas cr?ticas de

recibe

solicitud del

seguridad del informaci?n Ing. Antonio

sistema;

de los

Costas;

NEOTEC accede Servidores de informaci?n

a fomar un

pruebas y referente al

ambiente de credenciales Agente de

pruebas para la de acceso de Monitoreo

instalaci?n del los mismos. OSSEC/WAZUH.

Agente de

Monitoreo

OSSEC/WAZUH.

11

12

EHC Group solicita acceso a Internet para los Servidores

de pruebas.

13

11/10

11/10

12/10

12/10

12/10

12/10

12/10

Linea de Tiempo previa a elecciones.

EHC Group EHC Group

solicita acceso entrega

de Solo Lectura repote de

al dispositivo

tareas

de Seguridad realizadas a

Perimetral para nivel de

auditor?a de Pentesting y

Seguridad. Monitoreo.

EHC-REP-Externo-OEP20191012000547908-v1.2.pdf

EHC-REP-App-Mobile-OEP20191012000828221-v1.1.pdf

EHC-REP-Interno-OEP20191012000724450-v1.1.pdf

EHC Group entrega recomendaciones y acciones inmediatas a

realizar.

Debido a las vulnerabilidades del

TREP y de la Infraestructura de Red;

a solicutud de Sala Plena, se incluyen 2

actividades.

Auditor?a de C?digo Est?tico al Sistema TREP

Hardening a Infraestructura de Red del Sistema de C?mputo

14

15

16

12/10

14/10

14/10

 ................
................

In order to avoid copyright disputes, this page is only a partial summary.

Google Online Preview   Download