1. SEGURIDAD
INFORMATICA:
Aplicaciones en la Red
Ing. Jorge Trujillo Ramirez
Consultor de Seguridad Informática
1
2. LOS CASOS DEL CIBERCRIMEN
Muchas empresas luchan por su cuenta contra los ataques
85% de los ataques demoran entre 2 semenas o meses en ser descubiertos
2
3. INTRODUCCION
– Cuando se habla de la seguridad en aplicaciones Web
normalmente, no se habla de las vulnerabilidades de
los sistemas operativos o servidores Web.
– A menudo, se habla de las vulnerabilidades del
propio software y/o aplicaciones desarrolladas por la
empresa o por un tercero.
– La seguridad en las aplicaciones Web se encuentran
ligadas, exclusivamente, con la lógica, código fuente
y contenido de una aplicación.
3
4. – Las vulnerabilidades que afectan a las aplicaciones
Web pueden ser explotadas en distintas plataformas,
en contraste de lo que ocurre con otros tipos de
vulnerabilidades dependientes de la plataforma
donde estos se ejecutan o corren.
4
5. e) Tipos de Aplicaciones:
- Web Site Público (información destinada al público)
- Intranet (ERP/CRM/Productividad)
- Extranet (Productividad/B2B/B2C)
5
6. VULNERABILIDAD WEB
– Para proteger exitosamente una aplicación Web es
necesario conocer los tipos de ataques existentes y la
vulnerabilidad que éstos explotan para entender sus
posibles variaciones.
– SecurityFocus, organización dedicada a la seguridad
informática, analizó 60,000 incidentes de seguridad
en aplicaciones Web ocurridos durante el 2011.
– Se determinó que los ataques hacia aplicaciones
Web más utilizados aprovechan las vulnerabilidades
de las seguridad publicadas y/o conocidas.
6
7. VULNERABILIDAD WEB
a) Zone-h contabiliza 2.500 intrusiones Web con éxito
cada día en 2011.
b) Se atacan todas las tecnologías
c) Los ataques se han escalado desde el sistema
operativo a la aplicación.
d) Ataques no masivos.
e) Motivos:
– Económicos
– Venganza
– Reto
– Just For Fun
7
8. VULNERABILIDAD WEB
– Hoy no se registran nuevos tipos de vulnerabilidades
tan sólo variaciones de las conocidas. Normalmente,
los ataques se realizan en la capa de aplicación por
los puertos (80 y 443)
– Esto es confirmado por organizaciones
internacionales comprometidas con la seguridad
Web:
- OWASP www.owasp.org
- WebAppSec www.webappsec.org
8
9. VULNERABILIDAD WEB
OW
AS
PT
OP
TE
N
http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
9
10. TIPOS DE ATAQUE
Cross Site Scripting (XSS)
XSS ocurre cuando portales web de contenido
dinámico muestran variables de entrada suplidas por
el usuario sin una propia validación. Esta
vulnerabilidad permite a un atacante la inyección de
código que será ejecutado por el navegador Web de
la persona que visualiza la página, (la víctima)
http://www.xssed.org/
10
11. TIPOS DE ATAQUE
Manipulación del Path
La manipulación de path (Path Trasversal) afecta a
aplicaciones que toman entrada de los usuarios y la
utilizan en un path para acceder al sistema de
archivos. Si el atacante ingresa caracteres especiales
que modifican el path la aplicación, podrá permitir el
acceso no autorizado a recursos del sistema.
11
12. TIPOS DE ATAQUE
Manipulación del Path
www.sitio.com/imprimir.php?file=archivo1.txt
www.sitio.com/imprimir.php?file=../../etc/passwd
www.sitio.com/imprimir.php?file=../../scripts/db.inc
12
13. APLICACIONES : WEBGOAT
Aplicación Web, deliberadamente, creada para ser
insegura basada en J2EE y desarrollada por OWASP.
Actualmente existen más de 30 lecciones que incluyen vulnerabilidades como
XSS, Control de Accesos, SQL Injection, Cookies débiles y Manipulación de Parámetros.
13
14. APLICACIÓN: DAMN VULNERABLE WEB
Es una aplicación (PHP/MySQL) de entrenamiento en
seguridad Web que se destaca por ser de liviano peso.
Permite entrenamiento en seguridad Web en SQL Injection, XSS (Cross Site
Scripting), LFI (Local File Inclusion), RFI (Remote File Inclusion), Command
Execution, Upload Script y Login Brute Force.
14
15. TIPOS DE ATAQUES
MAN-IN-THE-MIDDLE
Es un ataque activo en el cual un sujeto intercepta y
modifica los mensajes transmitidos entre dos
computadores, este tipo de ataque puede ser mitigado con
firmar digitales y números de secuencia.
15
16. TIPOS DE ATAQUE
SNIFFING
Es un tipo de ataque que consiste en interceptar y acceder a
los datos y otra información contenida en un flujo de una
sistema de comunicación.
Es un ataque pasivo donde un intruso monitorea la red,
utilizando dispositivos o programas que le permiten ver los
datos que viajan a través de la red, con la intención de obtener
información de la víctima para, posteriormente, realizar un
ataque. Una contramedida para este tipo de ataques es
encriptación de los datos transmitidos.
16
17. TIPOS DE ATAQUES
FUERZA BRUTA
Es una manera de intentar acceder a un sistema de manera
exhaustiva. Existen distintos sub-tipos de ataque:
DICCIONARIO
Se intenta acceder mediante la utilización de una lista de palabras de
diccionario más otras palabras relacionadas con la persona y
empresa.
WAR DIALING
Método donde el atacante apoyado de un programa, marca una gran
cantidad de números telefónicos con el objetivo de encontrar uno en
donde exista un modem en lugar de un teléfono. Estos módems
pueden proveer fácil acceso. Una contramedida para este tipo de
ataques es no publicar los números y limitar el acceso a módems.
17
18. TIPOS DE ATAQUE
DENEGACIÓN DE SERVICIOS (DOS)
Tipo de ataque en el cual un atacante deja degradado o
inoperante un sistema, algunos ejemplos son:
–Ping de la muerte
–Smurf Attack
–Scannig
18
19. Prevención y detección de ataques.
SPOOFING
Este tipo de ataques (sobre protolocos) suele implicar un buen
conocimiento del protocolo en el que se va a basar el ataque. Los
ataques tipo Spoofing bastante conocidos son el IP Spoofing, el DNS
Spoofing y el Web Spoofing IP Spoofing
Con el IP Spoofing, el atacante genera paquetes de Internet con una
dirección de red falsa en el campo From, pero que es aceptada por el
destinatario del paquete. Su utilización más común es enviar los
paquetes con la dirección de un tercero, de forma que la víctima "ve"
un ataque proveniente de esa tercera red, y no la dirección real del
intruso.
19
20. TIPOS DE ATAQUES
WEB SPOOFING
En el caso Web Spoofing el atacante crea un sitio web
completo (falso) similar al que la víctima desea entrar. Los
accesos a este sitio están dirigidos por el atacante,
permitiéndole monitorizar todas las acciones de la víctima,
desde sus datos hasta las passwords, números de tarjeta
de créditos, etc. El atacante también es libre de modificar
cualquier dato que se esté transmitiendo entre el servidor
original y la víctima o viceversa.
20
21. TIPOS DE ATAQUES
IP SPLICING-HIJACKING
Se produce cuando un atacante consigue interceptar una
sesión ya establecida. El atacante espera a que la victima
se identifique ante el sistema y tras ello le suplanta como
usuario autorizado.
21
24. CORRECIONES
Los problemas de seguridad de las redes pueden dividirse de
forma general en cuatro áreas interrelacionadas:
El secreto, encargado de mantener la información fuera
de las manos de usuarios no autorizados.
La validación de identificación, encargada de determinar la identidad
de la persona/computadora con la que se esta hablando.
El control de integridad, encargado de asegurar que el mensaje
recibido fue el enviado por la otra parte y no un mensaje manipulado
por un tercero.
El no repudio, encargado de asegurar la “firma” de los mensajes, de
igual forma que se firma en papel una petición de compra/venta entre
empresas.
24
Today’s typical way of fighting cybercrime is that every company is pretty much on their own. They fight the attacks with their own tools separately and attempt to minimize the damage. The result is that over 85% of breaches took way too long to discover. Much damage can be done in that length of time.