informe preliminar de auditorÍa acotada … … · auditoria informatica elecciones generales...
TRANSCRIPT
INFORMEPRELIMINARDEAUDITORÍAACOTADAALSIEDE
MisióndeObservaciónElectoraldelaOrganizacióndelosEstadosAmericanosenHonduras
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
2
INDICE
RESUMENEJECUTIVO 3
DESCRIPCIÓNDELASACTIVIDADESDECAMPO 4
INTRODUCCIÓNALAGESTIÓNDELOGS 6
ANÁLISISDELINCIDENTEDÍA29/11/2017 8
METODOLOGÍADEINVESTIGACIÓNDELINCIDENTE 13
HALLAZGOSDEAUDITORÍA 14
CONCLUSIONESPORHALLAZGO 17
CONCLUSIÓNDELAAUDITORÍA 19
RECOMENDACIONES 20
ANEXOS 21
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
3
RESUMENEJECUTIVO
El siguiente informepresenta los resultados, hallazgos y recomendacionesde la auditoríaacotada realizada al Sistema Integrado de Escrutinio y Divulgación Electoral (SIEDE)implementado por el Tribunal Supremo Electoral (TSE) de Honduras para las eleccionesgeneralesdel26denoviembrede2017.
EstaauditoríafuerealizadaasolicituddelaOrganizacióndelosEstadosAmericanos(OEA).Elmarco de la auditoría se establece en una revisión con el propósito de analizarespecíficamente un incidente identificado el día 29 de noviembre durante el proceso deescrutiniodelactualprocesoelectoral.Elobjetivoprincipalesllevaradelanteunaverificacióndel comportamiento del sistema, circunscribiendo su alcance a las medidas técnicas yadministrativasrelacionadasdirectamentealatecnologíainformáticaempleadaduranteelproceso.
Debidoalescasotiempodisponibleseoptóporunaauditoríaacotada,quedandoclaramentedefinidoquenosetratadeunaauditoríaintegralalsistemanideunaactuaciónforense.Esmenesteraclararqueportratarsedeunprocesoencurso,serealizaunaauditoríanoinvasiva,evitandoejecutarherramientasy/oscriptssobrelossistemasyequiposalserviciodelTSE.
Lasactividadesdelaauditoríasedesarrollaronentreeldomingo10dediciembreyelviernes15dediciembrede2017,fechadeentregadeesteinforme.Esimportanteseñalarquetalcomoseobservóduranteeldesarrollodelasactividadesdeestaauditoría,algunosserviciosdelsistemahansidodadosdebaja,porloquelasconclusionesserestringenalestadoactualdelsistemaevaluandolossucesosprecedentesporloslogsalmacenadosydemásevidenciasdisponibles.
Talcomoseencuentraestipuladoenelplanoperativoquedefineelalcanceyobjetivosdeestaauditoría,lasconclusionesexpuestasenestedocumentosonelresultadodelanálisisdelos componentes del sistemabasados en el relevamiento y convalidación de informaciónrelacionada a las funcionalidades del sistema, sin haber tenido la posibilidad este equipoauditordellevaradelanteprocesosdetesting.
Entérminosgenerales,ybajolascondicionestécnicasdefuncionamientoobservado,algunoscomponentesqueintegranelsistemanohanestadoconfiguradosparalacargadetrabajoprevisible dado el número de actas a procesar. Sin embargo, producto de las brechasexistentesentrelaspruebasdecargalogradasdurantesimulacros,ylainformaciónqueelsistemadebióprocesareldíadelaelección,eraprevisibleunproblemadedimensionamientocomoelquefinalmenteocurrió.
Duranteelinformeseabordanaspectosrelacionadosconlasbuenasprácticasyseanalizanactividadesdelprocesorespectoadichasbuenasprácticasconelobjetodemarcaraquellasque no se consideran compatibles.�En virtud de la falta de acciones de adquisición y
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
4
preservacióndelasevidenciasenunformatoforense,esteequiporequirióunaexportacióndelasbasesdedatoscríticasdelprocesoafindebrindarunelementoquepermitacotejosposteriores con actas físicas, conservado fuera del alcance de los técnicos afectados alproceso,quienestienendominiosobrelossistemasylasbasesdedatosactualmente.
Elmanejo secuencial de la información, desde que el acta es escaneada en el centro devotación y transmitida, pasando por su retransmisión a los partidos políticos hasta sudivulgación definitiva, se vio alterada en un número importante de actas que fuerontrasladadas,almacenadasenbodegasyposteriormentetransmitidas.
El incidente del día 29 de noviembre y la posterior detención del conteo, para reanudarfinalmente conunescrutinioespecial, conspirópara crearuna situacióndepreocupacióngeneralizadaporlaconsistenciadelosdatosdelaelección.�SedejaconstanciaqueexistieronlimitacionesparaestaauditoríaporcuantoelTSErespondiósoloenpartelosrequerimientosdeinformaciónqueformularaesteequipoauditor.DESCRIPCIÓNDEACTIVIDADESDECAMPOEsdable señalarqueantesdel arriboe iniciode las laboresencampose fueentregandolistadosderequerimientosnecesariosparallevaradelantelaauditoríaacotadaalsistemadecómputosempleadoporelTSE,requeridaporlaORGANIZACIÓNDEESTADOSAMERICANOS(OEA). Obteniendo respuestas por parte del TSE el día13/12/2017 respecto a losrequerimientos Nro.001, 002, 003, 004, 005 y 006, mientras tanto se enviaron masrequerimientos;queresultancomplementariosalalabordesarrollada.�Cabeseñalarquedentrodelalcancedeestaauditoría,sellevóacabolarecoleccióndedatostécnicosencadaequipamientoinformáticovinculadoalproyectoSIEDE,quetuvieraalgunarelación con el incidente ocurrido en fecha 29/11/2017, abarcando además elementos yeventosdesdeeliniciodelaseleccioneshastalafinalizacióndelescrutinioprovisorio.�Enfecha11/12/2017sellevóacabounareunióntécnicaenelsegundopisodelHotelPlazaSanMartin,enunahabitacióndispuestaparaalojarelequipamiento informáticoprincipalempleadoparaelProyectoSIEDE,contadoconlapresenciadetécnicoseintegrantesdelTSEdelTSE,ytécnicosdelaempresaacargodelescaneoytranscripcióndelasactas.�Comopartedeloselementosatenerencuentaenunservidordenominado“FS1”seobtieneunconjuntodearchivosformato“.TXT”losquellevanelregistrodeactasrecibidasparasertranscriptas.Delosservidores“SQL2”,“SQL4”,“FS1”,“IIS1”y“SQL10”serecopilarondiversostiposdelogs.�En dicha oportunidad también se acudió a las instalaciones de INFOP, lugar donde seencontraban tres computadoras conectadas a escaners, que se emplearon durante elrecuentoprovisorio.Obteniendoencadaunadeellasunconjuntodearchivosformato“.TXT”losquellevanelregistrodeactasescaneadasyenviadasparasutranscripción.
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
5
Inmediatamente después se procede al análisis de los archivos encontrados, desde laperspectivade registros (logs)enprocuradepistasdeauditoría,quepermitan indicar lasactasquehabían sidoescaneadas y enviadasdesde INFOPpara su transcripción, y podercompararconlasactasrecibidasenelcentrodeprocesamientodedatos;pudiendoobservarquedichosarchivoscarecendeunaestructuracompatibleconregistros(logs)deeventos,alconsiderarlaausenciadelvalorfechayhoradecadaevento,comodatoprimariodeanálisis(VerAnexoH-I).�Contandoconlacolaboracióndepersonalacargodelabasededatosdondeseregistralatranscripción, se tabulan y ordenan los datos obtenidos en el servidor “FS1” y en lascomputadorasdondeseescanearonlasactasenINFOP,loquepermiteapreciardiferenciacuantitativaentreambos registros. Losquenoalcanzan cuantitativamente la cantidadderegistrosdeactastranscriptas.�Portalmotivodichosarchivosresultanincompletos(carecendedatoscrucialesej.:fechayhora),ycarentesdeintegridad(fácilmentealterablesyplausiblesdeserborrados).�Advirtiendodichainconsistencia,seplanteaalpersonalacargodelabasededatosdondeseregistra la transcripción, la posibilidad de tomar contacto a los archivos encapsulados yencriptadosconlatecnologíaJSONquedebenestaralojadosensutotalidadenelservidor“FS1”parasutranscripción;laafirmacióndeesainstanciarequirióelingresoadichoservidor,paralocualeltécnicoaccediódemaneraremotaatresservidores“AD1”(ActiveDirectory–Primario), “FS1” (File Server) e “IIS1” (Servidor de Aplicaciones) con el usuario“Administrador”,loqueparaestaauditoríaconstituyeunaaccióncríticadesdeelpuntodevistadelaseguridad(VerAnexoH-II).Mientras transcurrían dichas situaciones, se observa al técnico acceder al servidordenominado“IIS1”desdedondeseingresaaunacarpetadondeseencuentranalojadoslosarchivosformatoJSON,obteniendoellistadodedichosarchivos(VerAnexoH-III);delmismomodosepudoobservarenelDesktopdeusuarioAdministradorunacarpetaconteniendounconjuntodearchivosdemismoformato(VerAnexoH-IV),aloqueeltécnicorefieretratarsedearchivoscuyoformatonoeraconsistente(VerAnexoH-V) losquefueronadecuadosyalojadosenunacarpetaespecíficaparaser tomadosporunaaplicaciónenelServidordeAplicacionesdenominado“IIS1”(verAnexoH-VI).
Del análisis de la aplicación que toma las imágenes del servidor y las empaqueta bajo latecnologíaJSONacargodelaempresaresponsableporelescaneoenINFOPytranscripcióndelasactas,nollevalogs(registrosobitácorapropia),elloaalusiónqueelconjuntodeactasescaneadas formato JPG donde el paquete JSON presentaba inconsistencias, fueron re-empaquetadasbajoestamodalidad,noobrandoregistrosdedichaacción.
Considerandoaestamaniobra,unaacciónnoprevistaniestipuladabajolosprocedimientosseñaladosenladocumentaciónaportada.�
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
6
Teniendopresentequeelsistemaensuconjuntonoofreceparámetrosnipistasdeauditoríaquepermitanobtenerelementossustentables,ydeesemodoconocereldesarrollodelosprocesos de encapsulamiento/ desencapsulamientomediante el empleo de la tecnologíaJSONparaelintercambiodedatos,distribuciónhacialospartidospolíticosyalojamientoparasutranscripción;seplantea laposibilidaddedisponer losregistrosquegenera laempresaresponsablede latransmisióndesdelosATX/OMR/ESCANEOhasta ladistribucióndelasimágenesalospartidosyalojarlasparasutranscripción.
Como resultado de esa gestión, se obtiene una planilla formato Excel proporcionada portécnicosdelaempresaacargodeATX/OMRytransmisión,desdesuservidordenominado“RECEPCION”ylabasededatos“TSERECDB”,loquepermiteenprimerainstancia,conoceranivelglobal,quelatotalidaddelosarchivosdeimágenesdelasactasprovenientesdelosATX/OMR / ESCANEO fueron puestos a disposición para su transcripción, cuyo valor escoincidente con la cantidad de registros esperados de actas en la base de datos deTranscripción(VerAnexoVII).
En segunda instancia, se tomó la lista de archivos encontrados en el servidor “IIS1”correspondiente a archivos formato JSON defectuosos y cotejó en forma aleatoria en laplanillaExcelaportadaporlaempresaacargodeATX/OMRytransmisión,observandoqueelúltimoeventoregistradoqueposeenoreflejalaincorporaciónporfueradelcircuitohabitual(verAnexoVIII).INTRODUCCIÓNALAGESTIÓNDELOGS
En el presente documento haremos mención del término log, asociado a determinadosactivosdetecnologíainformática,alhacerloestamosrefiriendoalregistrooficialdeeventosdelasactividadesrelacionadasaeseactivoduranteunperiododetiempoenparticular.Enmateriade seguridad informáticaunarchivode loges configuradopara registrardatosoinformación sobrequién, que, cuando, donde y porqueuneventoocurreparaun activo,dispositivoenparticularoaplicación.Losdatosalmacenadosenservidorescambianrápidamentealolargodeltiempo,encasodeevidenciadebasesdedatossonnecesariamenteun“snapshot”deunaparticularsecuenciade circunstancias. Esto puede adicionar dificultades al justificar la autenticidad de laevidencia,enespecialalhablardesucontenidoytiempodecreación.
Los datos almacenados en un soporte digital pueden modificarse fácilmente haciendodificultosoeinclusosindejarrastroalgunodelaactividadmediantelacualsealteraron(encasosextremos).Paraevitarestoesquesedebendiseñarlossistemasconunaestrategiadegestióndelogsparaqueseresulteidentificablecualquieralteración.
Laposesióndelprivilegiodeadministradorpermitelaactivaciónodesactivacióndelogsenunperíododeterminadodetiempo,loquepuede(enocasiones)agravarlasituación,porloquelapolíticadegestiónsirvedeandamiajeafindedeterminartambiénloocurridoenestos
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
7
casos.�
Partedelasestrategiassólidassonlasdeevitarcontarconlogssoloenelservidorenqueocurreelevento,puestoqueesalimitaciónexponetambiénunúnicopuntodefallaoataque.Unatacanteexternoointernoalobteneraccesoaesteservidorpondríaendudalavalidezde los logs almacenados y la utilización de estos como evidencia en una investigaciónposterior. De esta manera el atacante podría cubrir su actividad delictiva removiendo omodificandocualquierlogquecontengaregistrodesuactividad.�
Existentécnicasquecontrarrestanlosefectosdelcrecimientodelogs(quepuedenconsumirgran cantidad de almacenamiento) se trata de la rotación de logs. La técnica descriptapermite limitar el volumen de datos que se tienen disponibles en el servidor de origen,reubicándolos en volúmenes de datos redundantes que están preparados para ello yconcentrando a su vez en otro soporte mediante una gestión inteligente. Esto permitecontrolar el volumen de datos que queden expuestos a manipulación por parte de unatacante.
La estrategia de logs se complementa con un servicio Network Time Protocol (NTP) quepermitealosdispositivossincronizarsusrelojesconunservidordetiempocentralizado,elcual a su vez esta sincronizado con un sistema que proporciona un servicio confiable detiempo.Estatecnologíaaseguraunaexactituddemilisegundosquefavorecelacorrelacióndeeventosentrelogs.
Laestrategiadegestión,concentracióneintervaloderotacióndelogssedebeestablecertrasanalizaradecuadamentelosrequerimientospropiosdelactivoalcualsequiereproteger,lacantidaddedatosycriticidaddelainformaciónproducida.�
Aplicandolastécnicasdescriptasesfactibledisponerdeevidenciasbasadasenlog,lasqueposteriormente pueden utilizarse para detallar consistentemente los eventos, ante unincidente.
Sepuedeinferirqueunarchivodelogesauténticocuandosepuedeprobarquenohasidomodificadodesdequefueronoriginalmenteregistradosloseventos.Paraellosedebenincluirherramientasyprocedimientosqueaportandichaautenticidad.�
Medidasindispensablessonlasdecambiarlalocalizacióndelosarchivosdelogyconcentrareventosmedianteunaherramientaespecializada,queloslogsesténenequiposdiferentesalaquelosproducefavorecesupreservación.Siunservidorfuesecomprometido,sepuedeinferirquesuslogssehanvistoinvolucradosenelataque.
Cabeaclararquelaconcentracióndeeventosdelogsylareubicacióndebensercapacesdelograrlareubicacióntanprontodeocurrireleventocomoseaposible.�
Deigualmodolagestióndelogsdemandalaobservaciónpermanentedeloquereportacadaunodeellos,bajociertosparámetrosdecriticidad,loquepermitellevaradelanteestrategias
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
8
demantenimientodeformapreventiva,minimizandolasaccionescorrectivas.
ANÁLISISDELINCIDENTEDÍA29/11/2017
Servidorbasededatossecundario(SQL2).Diagramalógicodelainfraestructuradelsistemadetranscripción
Fuente:TribunalSupremoElectoral(TSE)
AlmacenamientodisponibleenSANparaBasedeDatos
Según la información de los técnicos del TSE, durante el proceso de armado de lainfraestructuradelsistemadetranscripción,elproveedordelaSAN(unpartnercertificadoDELL)asignóunespaciode600GBenlaSANDELLAMC.�
Eldimensionamientohabríarespondidoalosrequerimientosdealmacenamientodefinidosporlaempresaproveedoradelsoftwaredetranscripción,paraelalmacenamientodelabasededatosdetranscripciónyloslogsdelgestordebasededatos.
Eldía29denoviembrede2017duranteelprocesodeescrutinioalahora9:49:44seobservaelregistrodeeventos(log)delservidordebasededatosSQL2:
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
9
El sistema operativo reporta mediante registros de auditoría que la capacidad dealmacenamientoestaballegandoallímiteasignado.�Pornocontarconunmonitoreoproactivodeeventos,secontinuóconelprocesamientosinmotivartareasquepudierenresolverelproblemaatiempo.
Posteriormente, el motor de base de datos que soporta el sistema"EleccionesGenerales2017v2”sedetuvodeformanocontroladacomoconsecuenciade lafalta de capacidad de almacenamiento para continuar la ejecución de las tareas. Sesucedieronsalidasyposteriormentesedetieneelservicio.
Sepuedeidentificareventoindicandodichasituación:
Enatenciónalincidente,técnicosdelTSEeingenierosdelaempresaqueproveeelsistemade transcripción, escrutinio y divulgación procedieron al análisis y posibles soluciones.Diagnóstico:LaBasedeDatosnotieneespaciosuficienteparacreceryafectaa todos losprocesosdelsistema.
No hay procesamiento de información.�Se procedió a ampliar la capacidad delalmacenamientoasociadode600GBa1.8TB.
OrigendelaImagen:InformaciónProvistaporelTSE
Sereinicióelservidorconelnuevotamañoasignadoparaalmacenamiento.
Información,29/11/201711:34:18,ServiceControlManager,7036,Ninguno,ElservicioAgenteSQLServer(MSSQLSERVER)entróenestado"detenido".
Advertencia,29/11/20179:49:44,srv,2013,Ninguno,EldiscoG:estácasi al límitedesucapacidad.Puedeque tengaqueeliminaralgunosarchivos.
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
10
Seiniciaelserviciodebasededatos.
Seprodujeronnoobstantesucesivassalidasdeservicio.Clústerdebasededatosnofuncionacorrectamenteyocasionasucesivassalidasdeserviciodelabasededatos.�Elsistemaseobservainestable.�Procesamientodeinformaciónseejecutaaritmolento.LabasededatosperoaúncontinuabaconunerrorquehacíaqueconstantementesalieradeservicioselSQLServer.�
Sepuedenobservarmensajesdeerror:
Finalmente, se toma ladecisiónde instalarunservidorquesedenominaSQL4, instalarelmotor de la base de datos y copiar los datos desde el servidor denominado SQL2 quepresentabaproblemas.�
Seproduceundetenimientoprolongadodelprocesoentrelas17:00hsylas23:10hs.�
Seprodujoundowntimeosalidadeserviciosprolongadonocompatibleconlosumbralesdedisponibilidadprevistosenunprocesoelectoral.
A las 5.30 pm se tomó la decisión de bajar el nodo1 (Servidor Primario) del clúster deservidoresdegestióndelabasededatosdejandoelnodo2(ServidorSecundario),comoelúnicoservidoractivodelclústerpararecuperarlaestabilidaddelserviciodemotordelMSSQL.
Error,29/11/2017,15:09:34,Service ControlManager,7034,Ninguno,El servicio SQL Server (MSSQLSERVER) se terminó demanerainesperada. Esto ha sucedido 1 veces.�inesperada. Esto ha sucedido 1 veces.�Error,29/11/2017,15:12:35,Service ControlManager,7034,Ninguno,El servicio SQL Server(MSSQLSERVER)seterminódemanerainesperada.Estohasucedido2veces.
Error,29/11/2017,15:17:54,Service ControlManager,7034,Ninguno,El servicio SQL Server (MSSQLSERVER) se terminó demanerainesperada. Esto ha sucedido 3 veces.�inesperada. Esto ha sucedido 3 veces.�Error,29/11/2017,15:22:46,Service ControlManager,7034,Ninguno,El servicio SQL Server(MSSQLSERVER)seterminódemanerainesperada.Estohasucedido4veces.
Error,29/11/2017,16:59 :57,ServiceControlManager,7034,Ninguno,El servicioSQLServer (MSSQLSERVER)se terminódemanerainesperada.Estohasucedido30veces.
Advertencia,29/11/201711:43:53,disk,151,Ninguno,Lacapacidaddeldisco1hacambiado.
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
11
OrigendelaImagen–DocumentaciónProvistaporelTSE
Sedecidióademástrabajarenelnodo1(Servidorprimario)paraarmarunnuevoescenariodegestióndelmotorMSSQL,comounamedidaderesguardoencasoqueelnodo2(ServidorSecundario)comprometieralaaltadisponibilidad.�
Estagestiónimplicó,lareinstalacióndetodoslosserviciosdelmotordeMSSQLenelnodo1(ServidorPrimario)ahoraidentificadocomoSQL4incluyendolapresentacióndeunmayorespaciodealmacenamiento,yseconfiguróunservidoradicionalSQL5conserviciosdemotordeMSSQLpararealizarunespejodelabasededatos.
Laempresaencargadadelatranscripciónunavezqueelnodo1(renombradocomoSQL4)habíasidoreconstruido,restaurólabasededatosenelnuevoespaciodealmacenamientoapartirdeunrespaldodelabasededatosrealizadoalas09:47pm.
Observación:Almomentode realizar el respaldopara restaurar desde ahí los datos, elservidorSQL2(origendelosdatos)habíaexperimentado73salidasdeserviciodemaneranocontrolada:
Error,29/11/2017,21:33:57,Service Control Manager,7034,Ninguno,El servicio SQL Server (MSSQLSERVER) se terminó de manerainesperada.Estohasucedido73veces.
MomentosantesdelapuestaenservicioselservidorSQL4,sepuedenobservareventosenlogdelservidorSQL2queevidencianunnúmerode77salidasdeservicionocontroladas.
Error,29/11/2017,23:04:36,Service Control Manager,7034,Ninguno,El servicio SQL Server (MSSQLSERVER) se terminó de manerainesperada.Estohasucedido77veces.
Una vez instalado este nuevo servidor y migrados los datos se reinicia el proceso detranscripcióndeactasdecierrealas23:11hs.
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
12
Secontinuóelprocesoconlasiguienteconfiguración:
• • • • • • • • • • • •
• Fuente:TribunalSupremoElectoral(TSE)
OrigendelaImagen–InformaciónProvistaporelTSE
Observación:
SolosecuentaconesteantecedentegeneradoporelTSEconelquejustificanlanoalteracióndelosresultadostraselreiniciodelprocesoconlanuevaconfiguración.��
Cabedestacarqueelrespaldodelabasededatosdesdelacualserecuperalainformaciónfueefectuadotrashorasdeinconvenientesenlabasededatosqueprovocaronsalidasdeservicionocontroladas.
ImagenaportadaporelTSEenrelaciónatotalesdelsistemaalreiniciarelproceso:
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
13
OrigendelaImagen–DocumentaciónProvistaporelTSE
InformaciónprovistaporelTSEsobreelincidente:
Sedisponedetresinformesenformatopdf:
o InformeIncidente29deNov2017(AuditoríasolicitadaporelTSE)�o InformeIncidente29deNoviembre_SIEDE-TSE�o Informe_incidenciasSQLv2(002)final–Empresaacargodelescaneo(INFOP)
ytranscripción.
Valoresdehashdecadauno:
o 259a500758b3bd76e4db526ccef5344af8eca284o 45045171ea6da0a1765061709849b011ea9fb181o bdaac9990c1a4c7df6ef37a42c22764304307259�
METODOLOGÍADEINVESTIGACIÓNDELINCIDENTE
Peseanocontarcontodaslastécnicasparabrindarconfiabilidadaloslogsprotegiendosuintegridad,autenticidadyaccesibilidaddelosarchivosestaauditoríanavególosdiferentesalmacenesdeloghastaestablecerunarazonablecorrelaciónyanálisiscríticodeloseventos.�
Conelpropósitodelograreficienciayconfiabilidadenelanálisisdelogs,selosextrajo,secalcularonlosrespectivosvaloresdehashmediantelafunciónSHA-256afindepreservarsuintegridad.Yafueradelservidorquelosgeneró,seutilizaronherramientasestándarademásdelarevisiónvisual.Posteriormenteseaplicarontécnicasdecorrelaciónanalizandomúltiples
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
14
fuentes que pudieron estar involucradas en el incidente a fin de reducir falsos positivos,confirmarloseventosválidosytenerevidenciafiabledelincidente.�
TalcomosedescribeenelapartadoLogs,unaestrategiadealmacenamientodelogsresultasumamenteútilenelmomentodeprevenirqueelalmacenamientodondeseguardanloslogsseaproximealoslímitesmáximosdecapacidadrápidamente,sobretodoenaquellosambientesdealtapoblaciónderegistrosenintervaloscortosdetiempoydealtacriticidadcomounprocesodeescrutinioypublicacióndelosresultados.�
HALLAZGOSDEAUDITORÍA
Incidentedeldía29/11/2017servidorprimariodebasesdedatos(SQL1)
Elservidorprimariodebasesdedatosenelqueseprocesabayalmacenabalainformacióndelescrutinio,trasverseafectadoporelincidentedebióserpreservadosiguiendolasbuenasprácticaseneltratamientodeincidentesinformáticos.Elcomportamientoadoptado(alnopreservarlo)potenciólapérdidadeevidenciasdigitalesvitalesparaelanálisisdelsuceso;estoconsistenteenrastrosapreservarparaunulterioranálisisdelascausasrealesdelincidenteeimpactosobrelosactivosdetecnologíainformática.
No se obró conforme a las buenas prácticas y se procedió a reinstalar tanto el sistemaoperativocomoelrestodelosartefactosdesoftware,alterandosustancialmenteelestadodelaevidencia.
SeloidentificaactualmenteenlainfraestructuracomoSQL4.
Noseaplicaronbuenasprácticaseneltratamientodeincidentes.
Incidentedefecha29/11/2017servidorsecundariodebasesdedatos(SQL2)
Sedescribióenapartadoespecialenvirtuddesutrascendencia.
LogsdeservidoresdebasesdedatosEnrelaciónaloslogsdeservidoresWindowsServer2012ylasbasesdedatosSQLServerqueprocesan y almacenan datos del sistema de cómputo en el cual se originó el incidentepodemosconcluir:
o Los logs pertenecientes al server primario fueron afectados al reinstalar elsistemaoperativoytodoslosprogramasnecesarios(nodisponibles);�
o Nohansidodiseñadosconunaestrategiadeaseguramientodelaintegridad;o No hay antecedentes de correlación de eventos tras el incidente para
establecerlaconsistencia;�o Noserestringióelaccesoalservidorinvolucradoenelincidente;�o La empresa proveedora del sistema y técnicos del TSE poseen acceso al
servidorconprivilegios�deadministración.Seentregórecomendaciónafin
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
15
derestringirdeterminadosaccesos;�o Noseaplicatécnicaderotacióndelog;�o No se centralizan los logs en una herramienta de concentración y
aseguramientodeeventos;�o Secarecedeunaherramientadecorrelaciónautomatizada;�o Noserespaldanloslogsmediantebackup;�o Nosehizopreservaciónforensedelosmismosalmomentodelincidente;�o Noseestablecióunacadenadecustodia.�Observación:Existen logsde los
cortafuegosyactivosderedes,quenosontratadosenestehallazgoreferidosoloa losservidoresdebasededatosdondeseoriginóel incidentedeldía29/11/2017.�
AccesosdesdeoficinadeempresaproveedoraaservidoresSe pudo documentar el acceso a los servidoresmediante escritorio remoto de desde lasoficinasdelaempresaacargodelescaneoytranscripción.DichoaccesonocontroladoporelTSE(sinpresenciadetestigosalacceder)conprivilegiosdeadministradorrepresentaunseveroriesgodeseguridad(tratándosedeunprocesoelectoral).�Secomprobóqueesunodelosmediosporloscualeslaempresabrindasoportetécnico,perosetratadeunaviolaciónalasbuenasprácticasenseguridadinformática.�Inspeccióndesoftware�Nosellevaronadelantetareasdeinspecciónformaldelsoftwareempleandoalgunadelastécnicasconocidasparaestaactividad.Lasinspeccionesdesoftwaresonunodelosmétodosmásefectivosparadetectardefectos,secomplementancon laspruebasybrindanvaliosainformaciónparaevaluarproyectoscríticos.Enelcasode losprocesoselectorales resultapertinentesuempleo.�Essabidoquelosdesarrolladoresrealizanunaprimerainspeccióndelosartefactos,peronoesunabuenaprácticaquequedesoloensusmanoslarevisión.�Lasinspeccionessonunmétodoformal,eficienteyeconómicodeencontrardefectosenlosdocumentosdediseñodesoftwareycódigo.Esampliamenteconocidoquelautilizacióndeinspeccionessobreestosdocumentospuedepresentarnumerososbeneficios.
TestingdesoftwareSolosepracticótestdecajanegra.�No se realizó testingunitariodel software, es sabidoqueel resultaunade las formasdegarantizarlaeficienciadelmismoycombinadoconlainspección,aportanelgradoderevisiónesperado.�Nosecuentacontestingunitarioconautomatizaciónde loscasosdetestingparatodoelcódigo.�NosedisponedeuntestderegresióncontroladoporelTSEquepuedaverificarqueunarefactorización no afecte los demás artefactos que han sido probados previamente, estorepresentaunriesgoadicionalalaplicarmodificacionesdesoftware.
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
16
SeguridadygestiónderiesgosTIPeseacontarconunapolíticadeseguridaddefinida,noseaplicócriteriosamentelagestiónde riesgos, tampoco las medidas de seguridad apropiadas durante el incidente y en lapreservación de la evidencia. No se protegieron las evidencias ni se restringió acceso alservidor SQL2 (incluso el remoto desde oficina del proveedor) lo que pone en riesgo laintegridaddelaevidencia.Porotrolado,almomentodeanalizarlogsestaauditoríapudoconstatarqueelservidor(cuyoaccesodebióestarrestringido)mostrabaunacantidaddesalidasnocontroladasdeserviciodelservicioSQLpococomúnenuneventodetalcriticidad,quemuestraalservidorafectadoaúnactivoyaccesible:
Error,11/12/2017,09:14:25,Service Control Manager,7034,Ninguno,El servicio SQL Server (MSSQLSERVER) se terminó de manerainesperada.Estohasucedido640veces.
Presenciadematerialsensibleenunespacioimpropio,enelmarcodeunprocesoelectoralLapresenciadeimágenesreferentesaactasencapsuladasbajolametodologíaJSONenunespaciodealmacenamientoincompatibleconelcircuitológicoestablecido,taleselcasodelescritoriodeunservidorelcualesaccedidodemaneraremotaporpersonaldelaempresaprestadoradelservicio;planteaunaseriedehipótesisencuantoalafinalidaddetalsituaciónqueexcedenelplanotécnico.Porcuantoestasituaciónesconsideradacríticatantodesdeelpuntodevistadeseguridad,comodesdelaintegridaddeldato,porcuantoresponsabilizaalostécnicosqueconocenyutilizanlacuentadeAdministrador.�Actosdeestetenor,quenorepresentaevidenciaconcretadeunaactividadilícita,exponeacuestionamientos sobre la transparencia del proceso electoral. Aun cuando se tratare deactividadesdesoportetécnicotendientesaresolversituacionesdeflujodelprocesoestánreñidasconlasbuenasprácticas.TrazabilidadypistasdeauditoríaIdéntica relevancia a la de los logs que favorecen la trazabilidad de eventos que ocurrendentrodeunainfraestructuratecnológica,poseelaincorporacióndepistasdeauditoríaenlossistemasinformáticos;lasquedebenestarpresentesenlaetapadediseñodeartefactosdesoftware,módulosysistemasdeinformación.Quepermitanconocer,quehizo,cuandolohizo,quienlohizo,comolohizoydesdedondelohizo.La ausencia de pistas de auditoría definidas a tal fin, dificulta y obstaculiza la labor dedetecciónyresolucióndeincidentes.�Demaneraparticular,respectoalasimágenesdeactasquedebieronserre-encapsuladasporerrorenlaconfeccióndelosarchivosJSON,laausenciadepistasdeauditoríaendistintosartefactos de software que componen la solución tecnológica, impiden establecer latrazabilidaddeloshechos,aunhabiendoobtenidotablascomplementariasporpartedelaempresaacargodeATX/OMRytransmisióndeactas.
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
17
DemanerainferencialresponsabilizadetalsituaciónalostécnicosqueconocenyutilizanlacuentadeAdministrador.OtroshallazgosConfiguranunapreciablenúmerodeítemsquerepresentanaccionesreñidasconlasbuenasprácticasqueafectanlarobustezdelsistemaensuconjunto.
o Noexiste inventariodeactivos.Elequipamientotecnológicoesreubicadoyredistribuido sin llevar registros ni observación de contenido sensible quepudieracontener(ej.:actas);�
o Losdiagramasdeflujoydeprocesosaportadoscarecendeprecisión;�o Loscasosdeusoaportadoscarecendeprecisiónynosecorrespondenconlos
sucesos;�o Los archivos de logs obtenidos en el servidor “FS1” y en las computadoras
empleadas para el �escaneo en INFOP, poseen una estructura de datosincompleta e insuficiente. Son archivos .TXT�carentes de valor de fecha yhora,integridadycualquiermecanismoderesguardo;�
o No se encontró plan de contingencia ante eventos críticos que pongan enriesgo la integridad,�disponibilidadycontinuidaddel servicio (ampliadoenapartadoespecial);�
o Servidores críticos con acceso mediante escritorio remoto disponible eninfraestructura crítica,�permiten accesodesde la empresa responsable delsistemadetranscripción(ampliadoen�apartadoespecial);�
o Seobservandatosinconsistentes,sintrazabilidad;�o Respecto al hallazgo de archivos formato JSON en un espacio de
almacenamiento impropio por �el tipo de dato sensible que contienensusceptibledeserconsideradounafallagravede�integridad;�
o Losregistrosdeeventosqueseobtuvieronenelpuntoanteriornoreflejanloocurrido;poniendoenjuegolatransparencia;�
CONCLUSIONESPORHALLAZGO
Incidentedeldía29/11/2017servidorprimariodebasesdedatos(SQL1)�Antelaalteracióndelaevidenciadigitaldelincidente(producidaporreinstalaciónelsistemaoperativoydemásartefactosdesoftware),resultaimposibleinferirconcertezalascausasdelincidenteyelgradodeimpacto.�Atento al estado actual del proceso no es procedente aplicar herramientas invasivas deinformática forense.Una vez concluido el proceso (si lo consideran pertinente), es posibleordenar la preservación del servidor (ahora denominado SQL4) y su dispositivo dealmacenamiento(NAS)asociadoafinderealizarleunanálisisforense.Sepuedeprocurardeestemodoelrescatededatosquepermitaninvestigarelincidenteysuimpacto.�Enelmarcodeestaauditoríaacotadaynoinvasiva,resultaimposibleemitiropiniónsobreelincidenteenelservidorprimariodebasededatosporalteracióndelaevidencia.
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
18
�Incidentedeldía29/11/2017servidorsecundariodebasesdedatos(SQL2)Conforme la documentación brindada por el TSE y las investigaciones realizadas por estaauditoría sobre las evidencias en infraestructura (con las limitaciones ya expresadas en elapartado logs), queda comprobado que no se aplicaron buenas prácticas en eldimensionamiento del almacenamiento, planes de testing, ejecución de testing, gestiónproactivadeeventosygestióndelacontinuidad.La capacidad reservadaparaalmacenamientodebasesdedatos resultó insuficiente,no seactuóproactivamenteyocasionóunproblemadeseguridadqueafectóladisponibilidaddelosservicios durante un lapso que supera ampliamente el umbral de fallas esperable para unescrutinioypudiendoafectartambiénlaintegridaddelainformación.�Nohabíaestrategiadegestióndelacontinuidadysecarecíadeunaadecuadaconfiguracióndelaaltadisponibilidadyredundancia(peseaquesedocumentacomotalenlosinformesdelTSE)puestoqueambosservidoresdebasededatos (primarioysecundario)compartíanunmismodispositivodealmacenamiento(elquefinalmenteresultóinsuficiente).�Elescenarionoobstantenoescompatibleconunincidenteprovocadointencionalmenteparaalterarlosdatosresidentesenlasbasesdedatos.�LogsdeservidoresdebasesdedatosComosedetallaenhallazgos,noseaplicaronbuenasprácticasen lagestiónde logs,noserestringióelaccesonisepreservaronloslogsenformatoforense.�
o EnelcasodelserverSQ1denominadoprimario:Sealteraronlasevidenciasalreinstalar el sistema operativo y demás componentes de softwareconfigurándolocomoSQL4;�
o EnelcasodelserverSQL2denominadosecundario:SeinvestigósobreloslogsqueresidenenelservidorSQL2yserealizócorrelacióndeeventos.
AccesosdesdeoficinadeempresaproveedoraaservidoresElaccesonocontrolado(conprivilegiosdeadministrador)desdeoficinasdeunproveedoraservidoresenlosqueseejecutaunprocesodeescrutinioyatambiénaaquellosservidoresquefueroncomprometidosporunincidentedeseguridadyenelcualresidenloslogs,violaclaramente las medidas básicas de seguridad informática aplicables tanto al proceso deescrutinio como al tratamiento de un incidente de seguridad de estas características eimpactosocial.�Se envió una recomendación específica de auditoría para eliminar ese accesoinmediatamente.InspeccióndesoftwareLaausenciade la inspeccióndesoftwareesun indicadornegativoa lahoradeevaluarelsoftware.�TestingdesoftwareEltestdecajablancaesexcluyenteparaunacorrectaevaluacióndelsoftwareporpartedel
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
19
organismo electoral. Su ausencia imposibilita el conocimiento del flujo interno de losprogramasempleadosyestopuedeimpactarnegativamenteenelproceso.�Esto no da indicio de manipulación de datos, pero impide dar certeza plena delfuncionamientodelsistema.�SeguridadygestiónderiesgosTILaevaluaciónderiesgoshubiesepermitidodetectarelnivelderiesgodeunalmacenamientoinsuficiente ymismo NAS compartido por servidores primario y secundario, permitiendoaccionesproactivasqueevitasenelincidente.�Lasmedidasdeseguridadempleadasparaprotegerlaevidencianocumplenconlasbuenasprácticas.Hallazgosgenéricos�Configuranunapreciablenúmerodeítemsquerepresentanaccionesreñidasconlasbuenasprácticasqueafectanrobustezdelsistemaensuconjunto.�
CONCLUSIÓNDELAAUDITORÍA
Debedestacarseenprimertérmino,quelaalteracióndelasevidenciasdelincidentedeldía29denoviembrede2017enelservidordebasededatosprimario(SQL1)esunhechoreñidoconlasbuenasprácticaseimpidióaestaauditoríaacotadaynoinvasivaobtenerdatosesencialesdelmismo.Serecomiendaunanálisisforensededichoservidor(ahoraidentificadocomoSQL4)altérminodelprocesoafindeprocurarlaobtenciónderastrosdelincidente,delmismomodoinvestigar losantecedentesadministrativosque indiquennúmerodeserie, licenciasyotrosdocumentos que pudieren aportar datos complementarios a fin de cerrar el incidente demaneraadecuada.�
Una mala gestión de logs conspiró evitando el acceso a registro de eventos de logs enservidoresdedicadosatalfin,losquepudieronpersistir(dehaberseprevisto)auncuandosealterasen losoriginalesenelservidorque loscreó,comoeselcasodescriptoenelpárrafoanterior.�
Eltratamientodelincidentenorespetólasbuenasprácticasaceptadasmundialmentesobreelmanejo de incidentes de tecnología informática, las acciones para restablecer lainfraestructura tecnológica no fueron las apropiadas (reinstalación del sistema como SQL4sobre el servidor primario SQL1 alterando la evidencia), no se preservó la evidencia, ni serestringióelaccesoalotroservidorafectado(SQL2)dejandohastalafechaunaccesoremotohabilitadodesdelasoficinasdelaproveedora.
Se evidenció una insuficiente documentación del proyecto, falta de planificación, testing,auditoríaobjetivayrigurosaspruebasdeaceptacióndelatecnología.Estodioorigenaequiposque no transmitieron desde los centros de votación obligando a trasladar actas, testinginadecuadode�componentesvitalesdelsistema,operacionesdeincorporacióndeactassin
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
20
apegoaloscasosdeusoydemásaspectosdetalladosenhallazgosdeestedocumento.�
Laincorporacióndeactasconmecanismosnoprevistosenloscasosdeuso,ofreceunabrechade seguridad que debe quedar explicitada pudiendo cuestionarse por parte de terceros latransparencia,todavezquenoexisteelcontralordelosactoresdelprocesocomoocurreenuncentrodevotaciónalahoradetransmitirelacta.
Estaauditoríanoidentificóaccionesconcretasconelpropósitodealterardemaneradolosalosresultadosdelescrutinioopublicacióndelosresultados,noobstanteello,concluyequeelsistematalcomoseoperónoofrecíalarobustezrequeridaparaimpedirlo.
RECOMENDACIONES
o Revisióninternadelosdatosalmacenadosconlostotalesdelasactasfísicas;o Aplicartécnicasdegestióndelogs;�o Establecer herramientas adecuadas de monitoreo, aseguramiento y
verificacióndevariables�críticas;�o Planificar adecuadamente los recursos necesarios para el proceso en su
conjunto;�o Establecer planes para la recuperación de la infraestructura tecnológica en
casodefallas;�o Establecertécnicasdeinspeccióndesoftware;�o Definirunaestrategiadetestingsólida;�o Definirunestándarparalaaceptacióndelatecnología;�o Revisarmetodologíadegestiónderiesgos;�o Revisarlaestrategiadeseguridadycontinuidad;�o Implementacióndegestióndeactivosdehardwareysoftware;�o Revisiónyredefinicióndeloscasosdeuso,acordecriticidadyfuncionalidad
delasolución�tecnológica;�o Diseñoeimplementacióndepistasdeauditoríaenlatotalidaddelsoftwaree
infraestructura.�
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
21
ANEXOS
AnexoA
Flujodelproceso(definiciónformal)
Fuente:TribunalSupremoElectoral(TSE)
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
22
AnexoB
Monitoreodeactas(definiciónformal)
Fuente:TribunalSupremoElectoral(TSE)
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
23
AnexoC
Esquemadepuestaacero(definiciónformal)
Fuente:TribunalSupremoElectoral(TSE)
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
24
AnexoD
Esquemadetransmisión(definiciónformal)
Fuente:TribunalSupremoElectoral(TSE)
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
25
AnexoE
Empaquetadodelacta(definiciónformal)
Fuente:TribunalSupremoElectoral(TSE)
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
26
AnexoF
Cierredetransmisión(definiciónformal)
Fuente:TribunalSupremoElectoral(TSE)
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
27
AnexoG
Imágenesdeservidorescríticos.
Fuente:Auditoria
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
28
AnexoH-I
LogsobtenidosdelSERVIDOR–“FS1”(imágenesamododemuestra)
Logs obtenidos INFOP – computadoras “DESKTOP-J2PO3D4”, “DESKTOP-JHOKQMD” y
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
29
“DESKTOP-TB7QIO5”(imágenesamododemuestra)Computadora“DESKTOP-J2PO3D4”
Computadora“DESKTOP-JHOKQMD”
Computadora“DESKTOP-TB7QIO5”
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
30
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
31
AnexoH-II
Captura de pantalla de una computadora de la empresa a cargo del escaneo (INFOP) ytranscripción.
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
32
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
33
AnexoH-III
ListadodearchivosJSONalmacenadosenelServidor“FS1”
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
34
AnexoH-IV
ListadodearchivosJSONencontradosenelescritoriodelusuarioAdministradordelservidor“FS1”
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
35
AnexoH-V
AnálisisdeestructuradearchivoJSON
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
36
AnexoH-VI
Aplicación que toma las imágenes desde el servidor donde son alojadas, para suempaquetadoyenvío.
AnexoH-VII
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
37
EsquemageneraldeplanillaaportadaporlaempresaacargodeATX/OMRytransmisióndeactas.
ValordeMER
ValordeMER
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
38
AnexoH-VIII
EjemploaleatoriodearchivoJSONconsuúltimoestado.
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
39
AnexoH-IX
Reporte entregado por la empresa a cargo de ATX/OMR y transmisión de actas al TSEseñalandodiferenciasentreelvalordeQRdelaimagencontenidaenelarchivoJOSONyladenominacióndelarchivodentrodearchivosJSON.
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
40
AnexoH-X
FuenteTSE:https://resultadosgenerales2017.tse.hn/
AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017
41
FuenteTSE:https://escrutinioespecial.tse.hn/