informe preliminar de auditorÍa acotada al...

INFORMEPRELIMINARDEAUDITORÍAACOTADAALSIEDE

MisióndeObservaciónElectoraldelaOrganizacióndelosEstadosAmericanosenHonduras

AUDITORIAINFORMATICAELECCIONESGENERALESHONDURAS2017

2

INDICE

RESUMENEJECUTIVO 3

DESCRIPCIÓNDELASACTIVIDADESDECAMPO 4

INTRODUCCIÓNALAGESTIÓNDELOGS 6

ANÁLISISDELINCIDENTEDÍA29/11/2017 8

METODOLOGÍADEINVESTIGACIÓNDELINCIDENTE 13

HALLAZGOSDEAUDITORÍA 14

CONCLUSIONESPORHALLAZGO 17

CONCLUSIÓNDELAAUDITORÍA 19

RECOMENDACIONES 20

ANEXOS 21


3

RESUMENEJECUTIVO

El siguiente informepresenta los resultados, hallazgos y recomendacionesde la auditoríaacotada realizada al Sistema Integrado de Escrutinio y Divulgación Electoral (SIEDE)implementado por el Tribunal Supremo Electoral (TSE) de Honduras para las eleccionesgeneralesdel26denoviembrede2017.

EstaauditoríafuerealizadaasolicituddelaOrganizacióndelosEstadosAmericanos(OEA).Elmarco de la auditoría se establece en una revisión con el propósito de analizarespecíficamente un incidente identificado el día 29 de noviembre durante el proceso deescrutiniodelactualprocesoelectoral.Elobjetivoprincipalesllevaradelanteunaverificacióndel comportamiento del sistema, circunscribiendo su alcance a las medidas técnicas yadministrativasrelacionadasdirectamentealatecnologíainformáticaempleadaduranteelproceso.

Debidoalescasotiempodisponibleseoptóporunaauditoríaacotada,quedandoclaramentedefinidoquenosetratadeunaauditoríaintegralalsistemanideunaactuaciónforense.Esmenesteraclararqueportratarsedeunprocesoencurso,serealizaunaauditoríanoinvasiva,evitandoejecutarherramientasy/oscriptssobrelossistemasyequiposalserviciodelTSE.

Lasactividadesdelaauditoríasedesarrollaronentreeldomingo10dediciembreyelviernes15dediciembrede2017,fechadeentregadeesteinforme.Esimportanteseñalarquetalcomoseobservóduranteeldesarrollodelasactividadesdeestaauditoría,algunosserviciosdelsistemahansidodadosdebaja,porloquelasconclusionesserestringenalestadoactualdelsistemaevaluandolossucesosprecedentesporloslogsalmacenadosydemásevidenciasdisponibles.

Talcomoseencuentraestipuladoenelplanoperativoquedefineelalcanceyobjetivosdeestaauditoría,lasconclusionesexpuestasenestedocumentosonelresultadodelanálisisdelos componentes del sistemabasados en el relevamiento y convalidación de informaciónrelacionada a las funcionalidades del sistema, sin haber tenido la posibilidad este equipoauditordellevaradelanteprocesosdetesting.

Entérminosgenerales,ybajolascondicionestécnicasdefuncionamientoobservado,algunoscomponentesqueintegranelsistemanohanestadoconfiguradosparalacargadetrabajoprevisible dado el número de actas a procesar. Sin embargo, producto de las brechasexistentesentrelaspruebasdecargalogradasdurantesimulacros,ylainformaciónqueelsistemadebióprocesareldíadelaelección,eraprevisibleunproblemadedimensionamientocomoelquefinalmenteocurrió.

Duranteelinformeseabordanaspectosrelacionadosconlasbuenasprácticasyseanalizanactividadesdelprocesorespectoadichasbuenasprácticasconelobjetodemarcaraquellasque no se consideran compatibles.�En virtud de la falta de acciones de adquisición y


4

preservacióndelasevidenciasenunformatoforense,esteequiporequirióunaexportacióndelasbasesdedatoscríticasdelprocesoafindebrindarunelementoquepermitacotejosposteriores con actas físicas, conservado fuera del alcance de los técnicos afectados alproceso,quienestienendominiosobrelossistemasylasbasesdedatosactualmente.

Elmanejo secuencial de la información, desde que el acta es escaneada en el centro devotación y transmitida, pasando por su retransmisión a los partidos políticos hasta sudivulgación definitiva, se vio alterada en un número importante de actas que fuerontrasladadas,almacenadasenbodegasyposteriormentetransmitidas.

El incidente del día 29 de noviembre y la posterior detención del conteo, para reanudarfinalmente conunescrutinioespecial, conspirópara crearuna situacióndepreocupacióngeneralizadaporlaconsistenciadelosdatosdelaelección.�SedejaconstanciaqueexistieronlimitacionesparaestaauditoríaporcuantoelTSErespondiósoloenpartelosrequerimientosdeinformaciónqueformularaesteequipoauditor.DESCRIPCIÓNDEACTIVIDADESDECAMPOEsdable señalarqueantesdel arriboe iniciode las laboresencampose fueentregandolistadosderequerimientosnecesariosparallevaradelantelaauditoríaacotadaalsistemadecómputosempleadoporelTSE,requeridaporlaORGANIZACIÓNDEESTADOSAMERICANOS(OEA). Obteniendo respuestas por parte del TSE el día13/12/2017 respecto a losrequerimientos Nro.001, 002, 003, 004, 005 y 006, mientras tanto se enviaron masrequerimientos;queresultancomplementariosalalabordesarrollada.�Cabeseñalarquedentrodelalcancedeestaauditoría,sellevóacabolarecoleccióndedatostécnicosencadaequipamientoinformáticovinculadoalproyectoSIEDE,quetuvieraalgunarelación con el incidente ocurrido en fecha 29/11/2017, abarcando además elementos yeventosdesdeeliniciodelaseleccioneshastalafinalizacióndelescrutinioprovisorio.�Enfecha11/12/2017sellevóacabounareunióntécnicaenelsegundopisodelHotelPlazaSanMartin,enunahabitacióndispuestaparaalojarelequipamiento informáticoprincipalempleadoparaelProyectoSIEDE,contadoconlapresenciadetécnicoseintegrantesdelTSEdelTSE,ytécnicosdelaempresaacargodelescaneoytranscripcióndelasactas.�Comopartedeloselementosatenerencuentaenunservidordenominado“FS1”seobtieneunconjuntodearchivosformato“.TXT”losquellevanelregistrodeactasrecibidasparasertranscriptas.Delosservidores“SQL2”,“SQL4”,“FS1”,“IIS1”y“SQL10”serecopilarondiversostiposdelogs.�En dicha oportunidad también se acudió a las instalaciones de INFOP, lugar donde seencontraban tres computadoras conectadas a escaners, que se emplearon durante elrecuentoprovisorio.Obteniendoencadaunadeellasunconjuntodearchivosformato“.TXT”losquellevanelregistrodeactasescaneadasyenviadasparasutranscripción.


5

Inmediatamente después se procede al análisis de los archivos encontrados, desde laperspectivade registros (logs)enprocuradepistasdeauditoría,quepermitan indicar lasactasquehabían sidoescaneadas y enviadasdesde INFOPpara su transcripción, y podercompararconlasactasrecibidasenelcentrodeprocesamientodedatos;pudiendoobservarquedichosarchivoscarecendeunaestructuracompatibleconregistros(logs)deeventos,alconsiderarlaausenciadelvalorfechayhoradecadaevento,comodatoprimariodeanálisis(VerAnexoH-I).�Contandoconlacolaboracióndepersonalacargodelabasededatosdondeseregistralatranscripción, se tabulan y ordenan los datos obtenidos en el servidor “FS1” y en lascomputadorasdondeseescanearonlasactasenINFOP,loquepermiteapreciardiferenciacuantitativaentreambos registros. Losquenoalcanzan cuantitativamente la cantidadderegistrosdeactastranscriptas.�Portalmotivodichosarchivosresultanincompletos(carecendedatoscrucialesej.:fechayhora),ycarentesdeintegridad(fácilmentealterablesyplausiblesdeserborrados).�Advirtiendodichainconsistencia,seplanteaalpersonalacargodelabasededatosdondeseregistra la transcripción, la posibilidad de tomar contacto a los archivos encapsulados yencriptadosconlatecnologíaJSONquedebenestaralojadosensutotalidadenelservidor“FS1”parasutranscripción;laafirmacióndeesainstanciarequirióelingresoadichoservidor,paralocualeltécnicoaccediódemaneraremotaatresservidores“AD1”(ActiveDirectory–Primario), “FS1” (File Server) e “IIS1” (Servidor de Aplicaciones) con el usuario“Administrador”,loqueparaestaauditoríaconstituyeunaaccióncríticadesdeelpuntodevistadelaseguridad(VerAnexoH-II).Mientras transcurrían dichas situaciones, se observa al técnico acceder al servidordenominado“IIS1”desdedondeseingresaaunacarpetadondeseencuentranalojadoslosarchivosformatoJSON,obteniendoellistadodedichosarchivos(VerAnexoH-III);delmismomodosepudoobservarenelDesktopdeusuarioAdministradorunacarpetaconteniendounconjuntodearchivosdemismoformato(VerAnexoH-IV),aloqueeltécnicorefieretratarsedearchivoscuyoformatonoeraconsistente(VerAnexoH-V) losquefueronadecuadosyalojadosenunacarpetaespecíficaparaser tomadosporunaaplicaciónenelServidordeAplicacionesdenominado“IIS1”(verAnexoH-VI).

Del análisis de la aplicación que toma las imágenes del servidor y las empaqueta bajo latecnologíaJSONacargodelaempresaresponsableporelescaneoenINFOPytranscripcióndelasactas,nollevalogs(registrosobitácorapropia),elloaalusiónqueelconjuntodeactasescaneadas formato JPG donde el paquete JSON presentaba inconsistencias, fueron re-empaquetadasbajoestamodalidad,noobrandoregistrosdedichaacción.

Considerandoaestamaniobra,unaacciónnoprevistaniestipuladabajolosprocedimientosseñaladosenladocumentaciónaportada.�


6

Teniendopresentequeelsistemaensuconjuntonoofreceparámetrosnipistasdeauditoríaquepermitanobtenerelementossustentables,ydeesemodoconocereldesarrollodelosprocesos de encapsulamiento/ desencapsulamientomediante el empleo de la tecnologíaJSONparaelintercambiodedatos,distribuciónhacialospartidospolíticosyalojamientoparasutranscripción;seplantea laposibilidaddedisponer losregistrosquegenera laempresaresponsablede latransmisióndesdelosATX/OMR/ESCANEOhasta ladistribucióndelasimágenesalospartidosyalojarlasparasutranscripción.

Como resultado de esa gestión, se obtiene una planilla formato Excel proporcionada portécnicosdelaempresaacargodeATX/OMRytransmisión,desdesuservidordenominado“RECEPCION”ylabasededatos“TSERECDB”,loquepermiteenprimerainstancia,conoceranivelglobal,quelatotalidaddelosarchivosdeimágenesdelasactasprovenientesdelosATX/OMR / ESCANEO fueron puestos a disposición para su transcripción, cuyo valor escoincidente con la cantidad de registros esperados de actas en la base de datos deTranscripción(VerAnexoVII).

En segunda instancia, se tomó la lista de archivos encontrados en el servidor “IIS1”correspondiente a archivos formato JSON defectuosos y cotejó en forma aleatoria en laplanillaExcelaportadaporlaempresaacargodeATX/OMRytransmisión,observandoqueelúltimoeventoregistradoqueposeenoreflejalaincorporaciónporfueradelcircuitohabitual(verAnexoVIII).INTRODUCCIÓNALAGESTIÓNDELOGS

En el presente documento haremos mención del término log, asociado a determinadosactivosdetecnologíainformática,alhacerloestamosrefiriendoalregistrooficialdeeventosdelasactividadesrelacionadasaeseactivoduranteunperiododetiempoenparticular.Enmateriade seguridad informáticaunarchivode loges configuradopara registrardatosoinformación sobrequién, que, cuando, donde y porqueuneventoocurreparaun activo,dispositivoenparticularoaplicación.Losdatosalmacenadosenservidorescambianrápidamentealolargodeltiempo,encasodeevidenciadebasesdedatossonnecesariamenteun“snapshot”deunaparticularsecuenciade circunstancias. Esto puede adicionar dificultades al justificar la autenticidad de laevidencia,enespecialalhablardesucontenidoytiempodecreación.

Los datos almacenados en un soporte digital pueden modificarse fácilmente haciendodificultosoeinclusosindejarrastroalgunodelaactividadmediantelacualsealteraron(encasosextremos).Paraevitarestoesquesedebendiseñarlossistemasconunaestrategiadegestióndelogsparaqueseresulteidentificablecualquieralteración.

Laposesióndelprivilegiodeadministradorpermitelaactivaciónodesactivacióndelogsenunperíododeterminadodetiempo,loquepuede(enocasiones)agravarlasituación,porloquelapolíticadegestiónsirvedeandamiajeafindedeterminartambiénloocurridoenestos


7

casos.�

Partedelasestrategiassólidassonlasdeevitarcontarconlogssoloenelservidorenqueocurreelevento,puestoqueesalimitaciónexponetambiénunúnicopuntodefallaoataque.Unatacanteexternoointernoalobteneraccesoaesteservidorpondríaendudalavalidezde los logs almacenados y la utilización de estos como evidencia en una investigaciónposterior. De esta manera el atacante podría cubrir su actividad delictiva removiendo omodificandocualquierlogquecontengaregistrodesuactividad.�

Existentécnicasquecontrarrestanlosefectosdelcrecimientodelogs(quepuedenconsumirgran cantidad de almacenamiento) se trata de la rotación de logs. La técnica descriptapermite limitar el volumen de datos que se tienen disponibles en el servidor de origen,reubicándolos en volúmenes de datos redundantes que están preparados para ello yconcentrando a su vez en otro soporte mediante una gestión inteligente. Esto permitecontrolar el volumen de datos que queden expuestos a manipulación por parte de unatacante.

La estrategia de logs se complementa con un servicio Network Time Protocol (NTP) quepermitealosdispositivossincronizarsusrelojesconunservidordetiempocentralizado,elcual a su vez esta sincronizado con un sistema que proporciona un servicio confiable detiempo.Estatecnologíaaseguraunaexactituddemilisegundosquefavorecelacorrelacióndeeventosentrelogs.

Laestrategiadegestión,concentracióneintervaloderotacióndelogssedebeestablecertrasanalizaradecuadamentelosrequerimientospropiosdelactivoalcualsequiereproteger,lacantidaddedatosycriticidaddelainformaciónproducida.�

Aplicandolastécnicasdescriptasesfactibledisponerdeevidenciasbasadasenlog,lasqueposteriormente pueden utilizarse para detallar consistentemente los eventos, ante unincidente.

Sepuedeinferirqueunarchivodelogesauténticocuandosepuedeprobarquenohasidomodificadodesdequefueronoriginalmenteregistradosloseventos.Paraellosedebenincluirherramientasyprocedimientosqueaportandichaautenticidad.�

Medidasindispensablessonlasdecambiarlalocalizacióndelosarchivosdelogyconcentrareventosmedianteunaherramientaespecializada,queloslogsesténenequiposdiferentesalaquelosproducefavorecesupreservación.Siunservidorfuesecomprometido,sepuedeinferirquesuslogssehanvistoinvolucradosenelataque.

Cabeaclararquelaconcentracióndeeventosdelogsylareubicacióndebensercapacesdelograrlareubicacióntanprontodeocurrireleventocomoseaposible.�

Deigualmodolagestióndelogsdemandalaobservaciónpermanentedeloquereportacadaunodeellos,bajociertosparámetrosdecriticidad,loquepermitellevaradelanteestrategias


8

demantenimientodeformapreventiva,minimizandolasaccionescorrectivas.

ANÁLISISDELINCIDENTEDÍA29/11/2017

Servidorbasededatossecundario(SQL2).Diagramalógicodelainfraestructuradelsistemadetranscripción

Fuente:TribunalSupremoElectoral(TSE)

AlmacenamientodisponibleenSANparaBasedeDatos

Según la información de los técnicos del TSE, durante el proceso de armado de lainfraestructuradelsistemadetranscripción,elproveedordelaSAN(unpartnercertificadoDELL)asignóunespaciode600GBenlaSANDELLAMC.�

Eldimensionamientohabríarespondidoalosrequerimientosdealmacenamientodefinidosporlaempresaproveedoradelsoftwaredetranscripción,paraelalmacenamientodelabasededatosdetranscripciónyloslogsdelgestordebasededatos.

Eldía29denoviembrede2017duranteelprocesodeescrutinioalahora9:49:44seobservaelregistrodeeventos(log)delservidordebasededatosSQL2:


9

El sistema operativo reporta mediante registros de auditoría que la capacidad dealmacenamientoestaballegandoallímiteasignado.�Pornocontarconunmonitoreoproactivodeeventos,secontinuóconelprocesamientosinmotivartareasquepudierenresolverelproblemaatiempo.

Posteriormente, el motor de base de datos que soporta el sistema"EleccionesGenerales2017v2”sedetuvodeformanocontroladacomoconsecuenciade lafalta de capacidad de almacenamiento para continuar la ejecución de las tareas. Sesucedieronsalidasyposteriormentesedetieneelservicio.

Sepuedeidentificareventoindicandodichasituación:

Enatenciónalincidente,técnicosdelTSEeingenierosdelaempresaqueproveeelsistemade transcripción, escrutinio y divulgación procedieron al análisis y posibles soluciones.Diagnóstico:LaBasedeDatosnotieneespaciosuficienteparacreceryafectaa todos losprocesosdelsistema.

No hay procesamiento de información.�Se procedió a ampliar la capacidad delalmacenamientoasociadode600GBa1.8TB.

OrigendelaImagen:InformaciónProvistaporelTSE

Sereinicióelservidorconelnuevotamañoasignadoparaalmacenamiento.

Información,29/11/201711:34:18,ServiceControlManager,7036,Ninguno,ElservicioAgenteSQLServer(MSSQLSERVER)entróenestado"detenido".

Advertencia,29/11/20179:49:44,srv,2013,Ninguno,EldiscoG:estácasi al límitedesucapacidad.Puedeque tengaqueeliminaralgunosarchivos.


10

Seiniciaelserviciodebasededatos.

Seprodujeronnoobstantesucesivassalidasdeservicio.Clústerdebasededatosnofuncionacorrectamenteyocasionasucesivassalidasdeserviciodelabasededatos.�Elsistemaseobservainestable.�Procesamientodeinformaciónseejecutaaritmolento.LabasededatosperoaúncontinuabaconunerrorquehacíaqueconstantementesalieradeservicioselSQLServer.�

Sepuedenobservarmensajesdeerror:

Finalmente, se toma ladecisiónde instalarunservidorquesedenominaSQL4, instalarelmotor de la base de datos y copiar los datos desde el servidor denominado SQL2 quepresentabaproblemas.�

Seproduceundetenimientoprolongadodelprocesoentrelas17:00hsylas23:10hs.�

Seprodujoundowntimeosalidadeserviciosprolongadonocompatibleconlosumbralesdedisponibilidadprevistosenunprocesoelectoral.

A las 5.30 pm se tomó la decisión de bajar el nodo1 (Servidor Primario) del clúster deservidoresdegestióndelabasededatosdejandoelnodo2(ServidorSecundario),comoelúnicoservidoractivodelclústerpararecuperarlaestabilidaddelserviciodemotordelMSSQL.

Error,29/11/2017,15:09:34,Service ControlManager,7034,Ninguno,El servicio SQL Server (MSSQLSERVER) se terminó demanerainesperada. Esto ha sucedido 1 veces.�inesperada. Esto ha sucedido 1 veces.�Error,29/11/2017,15:12:35,Service ControlManager,7034,Ninguno,El servicio SQL Server(MSSQLSERVER)seterminódemanerainesperada.Estohasucedido2veces.

Error,29/11/2017,15:17:54,Service ControlManager,7034,Ninguno,El servicio SQL Server (MSSQLSERVER) se terminó demanerainesperada. Esto ha sucedido 3 veces.�inesperada. Esto ha sucedido 3 veces.�Error,29/11/2017,15:22:46,Service ControlManager,7034,Ninguno,El servicio SQL Server(MSSQLSERVER)seterminódemanerainesperada.Estohasucedido4veces.

Error,29/11/2017,16:59 :57,ServiceControlManager,7034,Ninguno,El servicioSQLServer (MSSQLSERVER)se terminódemanerainesperada.Estohasucedido30veces.

Advertencia,29/11/201711:43:53,disk,151,Ninguno,Lacapacidaddeldisco1hacambiado.


11

OrigendelaImagen–DocumentaciónProvistaporelTSE

Sedecidióademástrabajarenelnodo1(Servidorprimario)paraarmarunnuevoescenariodegestióndelmotorMSSQL,comounamedidaderesguardoencasoqueelnodo2(ServidorSecundario)comprometieralaaltadisponibilidad.�

Estagestiónimplicó,lareinstalacióndetodoslosserviciosdelmotordeMSSQLenelnodo1(ServidorPrimario)ahoraidentificadocomoSQL4incluyendolapresentacióndeunmayorespaciodealmacenamiento,yseconfiguróunservidoradicionalSQL5conserviciosdemotordeMSSQLpararealizarunespejodelabasededatos.

Laempresaencargadadelatranscripciónunavezqueelnodo1(renombradocomoSQL4)habíasidoreconstruido,restaurólabasededatosenelnuevoespaciodealmacenamientoapartirdeunrespaldodelabasededatosrealizadoalas09:47pm.

Observación:Almomentode realizar el respaldopara restaurar desde ahí los datos, elservidorSQL2(origendelosdatos)habíaexperimentado73salidasdeserviciodemaneranocontrolada:

Error,29/11/2017,21:33:57,Service Control Manager,7034,Ninguno,El servicio SQL Server (MSSQLSERVER) se terminó de manerainesperada.Estohasucedido73veces.

MomentosantesdelapuestaenservicioselservidorSQL4,sepuedenobservareventosenlogdelservidorSQL2queevidencianunnúmerode77salidasdeservicionocontroladas.


Una vez instalado este nuevo servidor y migrados los datos se reinicia el proceso detranscripcióndeactasdecierrealas23:11hs.


12

Secontinuóelprocesoconlasiguienteconfiguración:

• • • • • • • • • • • •

• Fuente:TribunalSupremoElectoral(TSE)

OrigendelaImagen–InformaciónProvistaporelTSE

Observación:

SolosecuentaconesteantecedentegeneradoporelTSEconelquejustificanlanoalteracióndelosresultadostraselreiniciodelprocesoconlanuevaconfiguración.��

Cabedestacarqueelrespaldodelabasededatosdesdelacualserecuperalainformaciónfueefectuadotrashorasdeinconvenientesenlabasededatosqueprovocaronsalidasdeservicionocontroladas.

ImagenaportadaporelTSEenrelaciónatotalesdelsistemaalreiniciarelproceso:


13

OrigendelaImagen–DocumentaciónProvistaporelTSE

InformaciónprovistaporelTSEsobreelincidente:

Sedisponedetresinformesenformatopdf:

o InformeIncidente29deNov2017(AuditoríasolicitadaporelTSE)�o InformeIncidente29deNoviembre_SIEDE-TSE�o Informe_incidenciasSQLv2(002)final–Empresaacargodelescaneo(INFOP)

ytranscripción.

Valoresdehashdecadauno:

o 259a500758b3bd76e4db526ccef5344af8eca284o 45045171ea6da0a1765061709849b011ea9fb181o bdaac9990c1a4c7df6ef37a42c22764304307259�

METODOLOGÍADEINVESTIGACIÓNDELINCIDENTE

Peseanocontarcontodaslastécnicasparabrindarconfiabilidadaloslogsprotegiendosuintegridad,autenticidadyaccesibilidaddelosarchivosestaauditoríanavególosdiferentesalmacenesdeloghastaestablecerunarazonablecorrelaciónyanálisiscríticodeloseventos.�

Conelpropósitodelograreficienciayconfiabilidadenelanálisisdelogs,selosextrajo,secalcularonlosrespectivosvaloresdehashmediantelafunciónSHA-256afindepreservarsuintegridad.Yafueradelservidorquelosgeneró,seutilizaronherramientasestándarademásdelarevisiónvisual.Posteriormenteseaplicarontécnicasdecorrelaciónanalizandomúltiples


14

fuentes que pudieron estar involucradas en el incidente a fin de reducir falsos positivos,confirmarloseventosválidosytenerevidenciafiabledelincidente.�

TalcomosedescribeenelapartadoLogs,unaestrategiadealmacenamientodelogsresultasumamenteútilenelmomentodeprevenirqueelalmacenamientodondeseguardanloslogsseaproximealoslímitesmáximosdecapacidadrápidamente,sobretodoenaquellosambientesdealtapoblaciónderegistrosenintervaloscortosdetiempoydealtacriticidadcomounprocesodeescrutinioypublicacióndelosresultados.�

HALLAZGOSDEAUDITORÍA

Incidentedeldía29/11/2017servidorprimariodebasesdedatos(SQL1)

Elservidorprimariodebasesdedatosenelqueseprocesabayalmacenabalainformacióndelescrutinio,trasverseafectadoporelincidentedebióserpreservadosiguiendolasbuenasprácticaseneltratamientodeincidentesinformáticos.Elcomportamientoadoptado(alnopreservarlo)potenciólapérdidadeevidenciasdigitalesvitalesparaelanálisisdelsuceso;estoconsistenteenrastrosapreservarparaunulterioranálisisdelascausasrealesdelincidenteeimpactosobrelosactivosdetecnologíainformática.

No se obró conforme a las buenas prácticas y se procedió a reinstalar tanto el sistemaoperativocomoelrestodelosartefactosdesoftware,alterandosustancialmenteelestadodelaevidencia.

SeloidentificaactualmenteenlainfraestructuracomoSQL4.

Noseaplicaronbuenasprácticaseneltratamientodeincidentes.

Incidentedefecha29/11/2017servidorsecundariodebasesdedatos(SQL2)

Sedescribióenapartadoespecialenvirtuddesutrascendencia.

LogsdeservidoresdebasesdedatosEnrelaciónaloslogsdeservidoresWindowsServer2012ylasbasesdedatosSQLServerqueprocesan y almacenan datos del sistema de cómputo en el cual se originó el incidentepodemosconcluir:

o Los logs pertenecientes al server primario fueron afectados al reinstalar elsistemaoperativoytodoslosprogramasnecesarios(nodisponibles);�

o Nohansidodiseñadosconunaestrategiadeaseguramientodelaintegridad;o No hay antecedentes de correlación de eventos tras el incidente para

establecerlaconsistencia;�o Noserestringióelaccesoalservidorinvolucradoenelincidente;�o La empresa proveedora del sistema y técnicos del TSE poseen acceso al

servidorconprivilegios�deadministración.Seentregórecomendaciónafin


15

derestringirdeterminadosaccesos;�o Noseaplicatécnicaderotacióndelog;�o No se centralizan los logs en una herramienta de concentración y

aseguramientodeeventos;�o Secarecedeunaherramientadecorrelaciónautomatizada;�o Noserespaldanloslogsmediantebackup;�o Nosehizopreservaciónforensedelosmismosalmomentodelincidente;�o Noseestablecióunacadenadecustodia.�Observación:Existen logsde los

cortafuegosyactivosderedes,quenosontratadosenestehallazgoreferidosoloa losservidoresdebasededatosdondeseoriginóel incidentedeldía29/11/2017.�

AccesosdesdeoficinadeempresaproveedoraaservidoresSe pudo documentar el acceso a los servidoresmediante escritorio remoto de desde lasoficinasdelaempresaacargodelescaneoytranscripción.DichoaccesonocontroladoporelTSE(sinpresenciadetestigosalacceder)conprivilegiosdeadministradorrepresentaunseveroriesgodeseguridad(tratándosedeunprocesoelectoral).�Secomprobóqueesunodelosmediosporloscualeslaempresabrindasoportetécnico,perosetratadeunaviolaciónalasbuenasprácticasenseguridadinformática.�Inspeccióndesoftware�Nosellevaronadelantetareasdeinspecciónformaldelsoftwareempleandoalgunadelastécnicasconocidasparaestaactividad.Lasinspeccionesdesoftwaresonunodelosmétodosmásefectivosparadetectardefectos,secomplementancon laspruebasybrindanvaliosainformaciónparaevaluarproyectoscríticos.Enelcasode losprocesoselectorales resultapertinentesuempleo.�Essabidoquelosdesarrolladoresrealizanunaprimerainspeccióndelosartefactos,peronoesunabuenaprácticaquequedesoloensusmanoslarevisión.�Lasinspeccionessonunmétodoformal,eficienteyeconómicodeencontrardefectosenlosdocumentosdediseñodesoftwareycódigo.Esampliamenteconocidoquelautilizacióndeinspeccionessobreestosdocumentospuedepresentarnumerososbeneficios.

TestingdesoftwareSolosepracticótestdecajanegra.�No se realizó testingunitariodel software, es sabidoqueel resultaunade las formasdegarantizarlaeficienciadelmismoycombinadoconlainspección,aportanelgradoderevisiónesperado.�Nosecuentacontestingunitarioconautomatizaciónde loscasosdetestingparatodoelcódigo.�NosedisponedeuntestderegresióncontroladoporelTSEquepuedaverificarqueunarefactorización no afecte los demás artefactos que han sido probados previamente, estorepresentaunriesgoadicionalalaplicarmodificacionesdesoftware.


16

SeguridadygestiónderiesgosTIPeseacontarconunapolíticadeseguridaddefinida,noseaplicócriteriosamentelagestiónde riesgos, tampoco las medidas de seguridad apropiadas durante el incidente y en lapreservación de la evidencia. No se protegieron las evidencias ni se restringió acceso alservidor SQL2 (incluso el remoto desde oficina del proveedor) lo que pone en riesgo laintegridaddelaevidencia.Porotrolado,almomentodeanalizarlogsestaauditoríapudoconstatarqueelservidor(cuyoaccesodebióestarrestringido)mostrabaunacantidaddesalidasnocontroladasdeserviciodelservicioSQLpococomúnenuneventodetalcriticidad,quemuestraalservidorafectadoaúnactivoyaccesible:


Presenciadematerialsensibleenunespacioimpropio,enelmarcodeunprocesoelectoralLapresenciadeimágenesreferentesaactasencapsuladasbajolametodologíaJSONenunespaciodealmacenamientoincompatibleconelcircuitológicoestablecido,taleselcasodelescritoriodeunservidorelcualesaccedidodemaneraremotaporpersonaldelaempresaprestadoradelservicio;planteaunaseriedehipótesisencuantoalafinalidaddetalsituaciónqueexcedenelplanotécnico.Porcuantoestasituaciónesconsideradacríticatantodesdeelpuntodevistadeseguridad,comodesdelaintegridaddeldato,porcuantoresponsabilizaalostécnicosqueconocenyutilizanlacuentadeAdministrador.�Actosdeestetenor,quenorepresentaevidenciaconcretadeunaactividadilícita,exponeacuestionamientos sobre la transparencia del proceso electoral. Aun cuando se tratare deactividadesdesoportetécnicotendientesaresolversituacionesdeflujodelprocesoestánreñidasconlasbuenasprácticas.TrazabilidadypistasdeauditoríaIdéntica relevancia a la de los logs que favorecen la trazabilidad de eventos que ocurrendentrodeunainfraestructuratecnológica,poseelaincorporacióndepistasdeauditoríaenlossistemasinformáticos;lasquedebenestarpresentesenlaetapadediseñodeartefactosdesoftware,módulosysistemasdeinformación.Quepermitanconocer,quehizo,cuandolohizo,quienlohizo,comolohizoydesdedondelohizo.La ausencia de pistas de auditoría definidas a tal fin, dificulta y obstaculiza la labor dedetecciónyresolucióndeincidentes.�Demaneraparticular,respectoalasimágenesdeactasquedebieronserre-encapsuladasporerrorenlaconfeccióndelosarchivosJSON,laausenciadepistasdeauditoríaendistintosartefactos de software que componen la solución tecnológica, impiden establecer latrazabilidaddeloshechos,aunhabiendoobtenidotablascomplementariasporpartedelaempresaacargodeATX/OMRytransmisióndeactas.


17

DemanerainferencialresponsabilizadetalsituaciónalostécnicosqueconocenyutilizanlacuentadeAdministrador.OtroshallazgosConfiguranunapreciablenúmerodeítemsquerepresentanaccionesreñidasconlasbuenasprácticasqueafectanlarobustezdelsistemaensuconjunto.

o Noexiste inventariodeactivos.Elequipamientotecnológicoesreubicadoyredistribuido sin llevar registros ni observación de contenido sensible quepudieracontener(ej.:actas);�

o Losdiagramasdeflujoydeprocesosaportadoscarecendeprecisión;�o Loscasosdeusoaportadoscarecendeprecisiónynosecorrespondenconlos

sucesos;�o Los archivos de logs obtenidos en el servidor “FS1” y en las computadoras

empleadas para el �escaneo en INFOP, poseen una estructura de datosincompleta e insuficiente. Son archivos .TXT�carentes de valor de fecha yhora,integridadycualquiermecanismoderesguardo;�

o No se encontró plan de contingencia ante eventos críticos que pongan enriesgo la integridad,�disponibilidadycontinuidaddel servicio (ampliadoenapartadoespecial);�

o Servidores críticos con acceso mediante escritorio remoto disponible eninfraestructura crítica,�permiten accesodesde la empresa responsable delsistemadetranscripción(ampliadoen�apartadoespecial);�

o Seobservandatosinconsistentes,sintrazabilidad;�o Respecto al hallazgo de archivos formato JSON en un espacio de

almacenamiento impropio por �el tipo de dato sensible que contienensusceptibledeserconsideradounafallagravede�integridad;�

o Losregistrosdeeventosqueseobtuvieronenelpuntoanteriornoreflejanloocurrido;poniendoenjuegolatransparencia;�

CONCLUSIONESPORHALLAZGO

Incidentedeldía29/11/2017servidorprimariodebasesdedatos(SQL1)�Antelaalteracióndelaevidenciadigitaldelincidente(producidaporreinstalaciónelsistemaoperativoydemásartefactosdesoftware),resultaimposibleinferirconcertezalascausasdelincidenteyelgradodeimpacto.�Atento al estado actual del proceso no es procedente aplicar herramientas invasivas deinformática forense.Una vez concluido el proceso (si lo consideran pertinente), es posibleordenar la preservación del servidor (ahora denominado SQL4) y su dispositivo dealmacenamiento(NAS)asociadoafinderealizarleunanálisisforense.Sepuedeprocurardeestemodoelrescatededatosquepermitaninvestigarelincidenteysuimpacto.�Enelmarcodeestaauditoríaacotadaynoinvasiva,resultaimposibleemitiropiniónsobreelincidenteenelservidorprimariodebasededatosporalteracióndelaevidencia.


18

�Incidentedeldía29/11/2017servidorsecundariodebasesdedatos(SQL2)Conforme la documentación brindada por el TSE y las investigaciones realizadas por estaauditoría sobre las evidencias en infraestructura (con las limitaciones ya expresadas en elapartado logs), queda comprobado que no se aplicaron buenas prácticas en eldimensionamiento del almacenamiento, planes de testing, ejecución de testing, gestiónproactivadeeventosygestióndelacontinuidad.La capacidad reservadaparaalmacenamientodebasesdedatos resultó insuficiente,no seactuóproactivamenteyocasionóunproblemadeseguridadqueafectóladisponibilidaddelosservicios durante un lapso que supera ampliamente el umbral de fallas esperable para unescrutinioypudiendoafectartambiénlaintegridaddelainformación.�Nohabíaestrategiadegestióndelacontinuidadysecarecíadeunaadecuadaconfiguracióndelaaltadisponibilidadyredundancia(peseaquesedocumentacomotalenlosinformesdelTSE)puestoqueambosservidoresdebasededatos (primarioysecundario)compartíanunmismodispositivodealmacenamiento(elquefinalmenteresultóinsuficiente).�Elescenarionoobstantenoescompatibleconunincidenteprovocadointencionalmenteparaalterarlosdatosresidentesenlasbasesdedatos.�LogsdeservidoresdebasesdedatosComosedetallaenhallazgos,noseaplicaronbuenasprácticasen lagestiónde logs,noserestringióelaccesonisepreservaronloslogsenformatoforense.�

o EnelcasodelserverSQ1denominadoprimario:Sealteraronlasevidenciasalreinstalar el sistema operativo y demás componentes de softwareconfigurándolocomoSQL4;�

o EnelcasodelserverSQL2denominadosecundario:SeinvestigósobreloslogsqueresidenenelservidorSQL2yserealizócorrelacióndeeventos.

AccesosdesdeoficinadeempresaproveedoraaservidoresElaccesonocontrolado(conprivilegiosdeadministrador)desdeoficinasdeunproveedoraservidoresenlosqueseejecutaunprocesodeescrutinioyatambiénaaquellosservidoresquefueroncomprometidosporunincidentedeseguridadyenelcualresidenloslogs,violaclaramente las medidas básicas de seguridad informática aplicables tanto al proceso deescrutinio como al tratamiento de un incidente de seguridad de estas características eimpactosocial.�Se envió una recomendación específica de auditoría para eliminar ese accesoinmediatamente.InspeccióndesoftwareLaausenciade la inspeccióndesoftwareesun indicadornegativoa lahoradeevaluarelsoftware.�TestingdesoftwareEltestdecajablancaesexcluyenteparaunacorrectaevaluacióndelsoftwareporpartedel


19

organismo electoral. Su ausencia imposibilita el conocimiento del flujo interno de losprogramasempleadosyestopuedeimpactarnegativamenteenelproceso.�Esto no da indicio de manipulación de datos, pero impide dar certeza plena delfuncionamientodelsistema.�SeguridadygestiónderiesgosTILaevaluaciónderiesgoshubiesepermitidodetectarelnivelderiesgodeunalmacenamientoinsuficiente ymismo NAS compartido por servidores primario y secundario, permitiendoaccionesproactivasqueevitasenelincidente.�Lasmedidasdeseguridadempleadasparaprotegerlaevidencianocumplenconlasbuenasprácticas.Hallazgosgenéricos�Configuranunapreciablenúmerodeítemsquerepresentanaccionesreñidasconlasbuenasprácticasqueafectanrobustezdelsistemaensuconjunto.�

CONCLUSIÓNDELAAUDITORÍA

Debedestacarseenprimertérmino,quelaalteracióndelasevidenciasdelincidentedeldía29denoviembrede2017enelservidordebasededatosprimario(SQL1)esunhechoreñidoconlasbuenasprácticaseimpidióaestaauditoríaacotadaynoinvasivaobtenerdatosesencialesdelmismo.Serecomiendaunanálisisforensededichoservidor(ahoraidentificadocomoSQL4)altérminodelprocesoafindeprocurarlaobtenciónderastrosdelincidente,delmismomodoinvestigar losantecedentesadministrativosque indiquennúmerodeserie, licenciasyotrosdocumentos que pudieren aportar datos complementarios a fin de cerrar el incidente demaneraadecuada.�

Una mala gestión de logs conspiró evitando el acceso a registro de eventos de logs enservidoresdedicadosatalfin,losquepudieronpersistir(dehaberseprevisto)auncuandosealterasen losoriginalesenelservidorque loscreó,comoeselcasodescriptoenelpárrafoanterior.�

Eltratamientodelincidentenorespetólasbuenasprácticasaceptadasmundialmentesobreelmanejo de incidentes de tecnología informática, las acciones para restablecer lainfraestructura tecnológica no fueron las apropiadas (reinstalación del sistema como SQL4sobre el servidor primario SQL1 alterando la evidencia), no se preservó la evidencia, ni serestringióelaccesoalotroservidorafectado(SQL2)dejandohastalafechaunaccesoremotohabilitadodesdelasoficinasdelaproveedora.

Se evidenció una insuficiente documentación del proyecto, falta de planificación, testing,auditoríaobjetivayrigurosaspruebasdeaceptacióndelatecnología.Estodioorigenaequiposque no transmitieron desde los centros de votación obligando a trasladar actas, testinginadecuadode�componentesvitalesdelsistema,operacionesdeincorporacióndeactassin


20

apegoaloscasosdeusoydemásaspectosdetalladosenhallazgosdeestedocumento.�

Laincorporacióndeactasconmecanismosnoprevistosenloscasosdeuso,ofreceunabrechade seguridad que debe quedar explicitada pudiendo cuestionarse por parte de terceros latransparencia,todavezquenoexisteelcontralordelosactoresdelprocesocomoocurreenuncentrodevotaciónalahoradetransmitirelacta.

Estaauditoríanoidentificóaccionesconcretasconelpropósitodealterardemaneradolosalosresultadosdelescrutinioopublicacióndelosresultados,noobstanteello,concluyequeelsistematalcomoseoperónoofrecíalarobustezrequeridaparaimpedirlo.

RECOMENDACIONES

o Revisióninternadelosdatosalmacenadosconlostotalesdelasactasfísicas;o Aplicartécnicasdegestióndelogs;�o Establecer herramientas adecuadas de monitoreo, aseguramiento y

verificacióndevariables�críticas;�o Planificar adecuadamente los recursos necesarios para el proceso en su

conjunto;�o Establecer planes para la recuperación de la infraestructura tecnológica en

casodefallas;�o Establecertécnicasdeinspeccióndesoftware;�o Definirunaestrategiadetestingsólida;�o Definirunestándarparalaaceptacióndelatecnología;�o Revisarmetodologíadegestiónderiesgos;�o Revisarlaestrategiadeseguridadycontinuidad;�o Implementacióndegestióndeactivosdehardwareysoftware;�o Revisiónyredefinicióndeloscasosdeuso,acordecriticidadyfuncionalidad

delasolución�tecnológica;�o Diseñoeimplementacióndepistasdeauditoríaenlatotalidaddelsoftwaree

infraestructura.�


21

ANEXOS

AnexoA

Flujodelproceso(definiciónformal)



22

AnexoB

Monitoreodeactas(definiciónformal)



23

AnexoC

Esquemadepuestaacero(definiciónformal)



24

AnexoD

Esquemadetransmisión(definiciónformal)



25

AnexoE

Empaquetadodelacta(definiciónformal)



26

AnexoF

Cierredetransmisión(definiciónformal)



27

AnexoG

Imágenesdeservidorescríticos.

Fuente:Auditoria


28

AnexoH-I

LogsobtenidosdelSERVIDOR–“FS1”(imágenesamododemuestra)

Logs obtenidos INFOP – computadoras “DESKTOP-J2PO3D4”, “DESKTOP-JHOKQMD” y


29

“DESKTOP-TB7QIO5”(imágenesamododemuestra)Computadora“DESKTOP-J2PO3D4”

Computadora“DESKTOP-JHOKQMD”

Computadora“DESKTOP-TB7QIO5”


30


31

AnexoH-II

Captura de pantalla de una computadora de la empresa a cargo del escaneo (INFOP) ytranscripción.


32


33

AnexoH-III

ListadodearchivosJSONalmacenadosenelServidor“FS1”


34

AnexoH-IV

ListadodearchivosJSONencontradosenelescritoriodelusuarioAdministradordelservidor“FS1”


35

AnexoH-V

AnálisisdeestructuradearchivoJSON


36

AnexoH-VI

Aplicación que toma las imágenes desde el servidor donde son alojadas, para suempaquetadoyenvío.

AnexoH-VII


37

EsquemageneraldeplanillaaportadaporlaempresaacargodeATX/OMRytransmisióndeactas.

ValordeMER

ValordeMER


38

AnexoH-VIII

EjemploaleatoriodearchivoJSONconsuúltimoestado.


39

AnexoH-IX

Reporte entregado por la empresa a cargo de ATX/OMR y transmisión de actas al TSEseñalandodiferenciasentreelvalordeQRdelaimagencontenidaenelarchivoJOSONyladenominacióndelarchivodentrodearchivosJSON.


40

AnexoH-X

FuenteTSE:https://resultadosgenerales2017.tse.hn/


41

FuenteTSE:https://escrutinioespecial.tse.hn/

informe preliminar de auditorÍa acotada al...

Documents