INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de...
Transcript of INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de...
INTRODUCCIÓN A LA
SEGURIDAD EN
SISTEMAS Y WEBS
Marco A. Lozano Merino
Mayo 2012
2
Índice
1.Seguridad a nivel de usuario
1.Amenazas y protección
2.La realidad de la seguridad: hackers
3.Seguridad en redes y sistemas
1.La importancia de mantener los sistemas seguros
1. Contraseñas, acceso y el cifrado de datos
2.Las redes como vector de ataque
1. Cómo protegerlas
2. VPN’s, IDS e IPS
3.Herramientas para la auditoría de sistemas
3
Índice
4. Seguridad Web.
1. Introducción a la Seguridad Web.
2. OWASP.
3. Vulnerabilidades Web hoy en día.
4. Procedimientos y técnicas de auditoría Web.
5. Herramientas para auditorías web
6. Plataformas de aprendizaje
7. Otras fuentes de información (concursos y retos)
5. Servicios de seguridad de INTECO
1. INTECO-CERT
2. OSI (Oficina de Seguridad del Internauta)
4
Seguridad
a nivel de
usuario
5
Amenazas
Seguridad a nivel de usuario
Malware
SPAM
Fraude
Pérdida de privacidad
6
Cómo protegernos
Seguridad a nivel de usuario
Actualizaciones
Contraseñas
Navegación segura
Herramientas de
seguridad (antivirus,
cortafuegos, etc.)
Sentido común
7
Olvidar el 85% de lo que aparece en cine y TV
No tienen nada que ver con la realidad.
Ejemplos: Hackers (1995) , Operación Swordfish (2001) o la
jungla 4.0 (2007)
La realidad de la seguridad: hackers
8
El trabajo de un experto en seguridad requiere:
• Investigación y análisis
• Seguir una metodología
• Generar y emitir informes
• Reportar a la dirección
(gerencia de la empresa)
• Etc.
Qué es seguridad qué no es seguridad
9
Seguridad
en redes y
sistemas
10
Seguridad en redes y sistemas
Es la protección de:
Confidencialidad: Acceso a la información por perfiles adecuados
Integridad: Datos y sistemas fiables y sin alteración de la información
Disponibilidad: Datos y sistemas accesibles en todo momento
¿Información?Es un activo de información tangible o intangible que tiene valor
para los procesos de un negocio y actividad
Fuentes de
información
Tipo de
informaciónCiclo de vida
La importancia de mantener los sistemas seguros: la información
11
Seguridad en redes y sistemas
Contraseñas y acceso
• Primera línea de defensa
• Trata de evitar accesos no autorizados
• La barrera no es infranqueable
12
Seguridad en redes y sistemas
Cifrado de datos
• Otra línea de defensa
• Impide la lectura de información en caso de que el sistema
haya sido comprometido
• Puede aplicarse al sistema completo (inicio del sistema - más
seguro)
13
Seguridad en redes y sistemas
Las redes como vector de ataque
• El siguiente punto a proteger
• Existen multitud de ataques que se pueden perpetrar sobre
estas tecnologías
• La ausencia de seguridad implica la pérdida de disponibilidad
14
Seguridad en redes y sistemas
Las redes como vector de ataque: ¿Cómo protegerlas?
• Firewalls o cortafuegos
• Políticas de control de acceso
• WiFi…..Evitar implementarlas si se
desconoce cómo protegerlas
“de verdad”.
15
Seguridad en redes y sistemas
Las redes como vector de ataque: soluciones adicionales
• VPN’s
• IDS
• IPS
16
Seguridad en redes y sistemas
Herramientas para la auditoría de redes y sistemas
• Cain & Abel
• WireShark
• Metasploit FW
• Nmap
• Nessus
• AirCrack
• Snort
17
Seguridad WEB
18
Seguridad Web
Problemática de seguridad en las aplicaciones Web
Forman parte del perímetro de la empresa y organizaciones.
Desarrollos sin visión de la seguridad.
Aplicaciones cada vez más complejas y dinámicas.
Resulta “fácil” atacar una aplicación.
La seguridad en Internet no depende exclusivamente de la seguridad de
las redes, sino también de las aplicaciones que residen en ellas
La seguridad de las aplicaciones Web resulta muy importante y para
ello debemos auditarlas y asegurarnos de que no suponen un riesgo
para la organización ya que pueden ser un punto de entrada para
otros ataques.
Introducción a la seguridad Web
19
Seguridad Web
¿Qué es OWASP?
Fundación sin animo de lucro.
Creada en 2001.
Independiente de los fabricantes.
Formada por voluntarios.
Objetivos:
Promover la seguridad de las aplicaciones web.
Buscar las causas de la inseguridad.
Proporcionar soluciones a las amenazas.
Crear herramientas, documentación y estándares.
OWASP: Open Web Application Security Project
20
Seguridad Web
Vulnerabilidades Web: Vectores de ataque
Peticiones
Tipos de autenticación
Gestión de sesiones
Ataques de validación de entrada y salida
21
Seguridad Web
Vulnerabilidades Web hoy en día:
El Top 10 de vulnerabilidades de OWASP
Inyecciones de código.
Cross Site Scripting (XSS).
Robo de credenciales de sesión o de control de acceso
Manipulación de rutas a objetos.
Cross Site Request Forgery (CSRF).
Configuración defectuosa de seguridad
22
Seguridad Web
Vulnerabilidades Web hoy en día:
El Top 10 de vulnerabilidades de OWASP
Almacenamiento criptográfico inseguro.
Fallo en la ocultación de URLs de gestión.
Comunicaciones por un canal inseguro.
Redirecciones y reenvíos no validados.
Versiones: 2004, 2007 y 2010
https://www.owasp.org/index.php/Top_10_2010
23
Seguridad Web
Utilización de la herramienta adecuada para cada aplicación web.
Metodología de auditoria.
OWASP Testing.
Web Application Penetration Checklist.
OSSTMM.
Chequear todos los resultados de las herramientas.
Uso de herramientas para localización de URLs ocultas.
Conocer en lo posible la aplicación.
Procedimientos y técnicas
24
Seguridad Web
Documentarse sobre las vulnerabilidades existentes.
Uso de distintos patrones de los ataques
XSS (Cross Site Scripting) Cheat Sheet - http://ha.ckers.org/xss.html
Nmap Cheat Sheet -
http://sbdtools.googlecode.com/files/Nmap5%20cheatsheet%20esp%20v
1.pdf
Captura de evidencias.
No realizar denegaciones de Servicio.
Uso de herramientas de aprendizaje como WebGoat o participación en
concursos de hacking
Procedimientos y técnicas
25
Seguridad Web
Vulnerabilidades de SQL inyection.
Con obtención de usuarios y contraseñas.
Incorrecto manejo de sesiones.
• Posibilidad de saltarse la autenticación y obtener una sesión
privilegiada en la aplicación.
Incorrecta configuración del servidor.
Listado de directorios.
Obtención de información sensible del servidor.
Acceso a ficheros de logs.
Versiones no actualizadas o con vulnerabilidades.
Versiones de PHP, del gestor de contenidos, etc.
Vulnerabilidades más encontradas
26
Herramientas de auditoría Web
Propósito múltiple (no exclusivas por vulnerabilidad).
Capacidad de auditoria ante cualquier tipo de aplicativo.
Incorporan utilidades para pruebas manuales.
Aspectos Configurables.
Proporcionan abundante documentación.
Suelen ser herramientas lentas.
Tienen muchos falsos positivos.
Un elevado precio.
Aplicaciones comerciales
Características comunes
27
Herramientas de auditoría Web
Acunetix Web Vulnerability Scanner, IBM Rational Scan y HP WebInspect
28
Herramientas de auditoría Web
La mayoría son para un propósito especifico.
Tienen limitaciones para algún tipo de aplicativo.
Incorporan utilidades para pruebas manuales.
Mayor capacidad de configuración.
Proporcionan menos documentación.
Suelen ser herramientas lentas.
Tienen muchos falsos positivos.
Son gratis .
Aplicaciones gratuitas
Características comunes
29
Herramientas de auditoría Web
WebScarab, Paros BurpSuit y w3af
30
Herramientas de auditoría Web
Plataformas de aprendizaje: WEBGOAT
https://www.owasp.org/index.php/Proyecto_WebGoat_OWASP
31
Otras fuentes de información
CONCURSOS Y RETOS
Hack This Site
http://www.hackthissite.org/
BadStore
http://www.badstore.net/
32
Servicios
de INTECO
33
Servicios de información
Servicios de formación
Servicios de protección
Servicios de respuesta y soporte
FORMACIÓN ON-LINE
Servicios de INTECO-CERT
34
Servicios de INTECO-CERT
Portal WEB de INTECO-CERT:
http://cert.inteco.es
Buzón de contacto: [email protected]
Buzón de incidentes: [email protected]
Buzón de fraude electrónico: [email protected]
Buzón de asesoría legal: [email protected]
Buzón de jornadas: [email protected]
INTECO-CERT tiene vocación de servicio público sin ánimo de lucro y ofrece sus
servicios de forma totalmente gratuita
Toda la información en:
35
Servicios de la OSI
36
Servicios de la OSI
Portal WEB de la Oficina de Seguridad del Internauta:
http://www.osi.es
Buzón de consultas: [email protected]
Soporte por Chat: www.osi.es/es/te-ayudamos/soporte-por-chat
Teléfono: 901 111 121
La OSI tiene vocación de servicio público sin ánimo de lucro y ofrece sus servicios
de forma totalmente gratuita
Toda la información en:
37
Muchas gracias
¿Preguntas?