DETECCIÓN DE INTRUSIÓN POR ANOMALÍA EN APLICACIONES WEB

Transcripción

1 DETECCIÓN DE INTRUSIÓN POR ANOMALÍA EN APLICACIONES WEB Cristian Cappo Facultad Politécnica - UNA Laboratorio de Computación Científica y Aplicada

2 En esta presentación 1. Aplicaciones web. Características y funcionamiento. 2. Vulnerabilidades en las aplicaciones web y ataques 3. Detección de intrusión. Generalidades 4. Técnicas de detección de ataques web 5. Detección de ataques web por anomalía 6. Nuestro trabajo en el área 7. Conclusiones 3

3 1. Aplicaciones web. Características y funcionamiento 4

4 Qué es una aplicación web? Es aquella aplicación que utilizan la infraestructura web para su funcionamiento, en particular consideramos la que utiliza el protocolo HTTP (HyperText Transfer Protocol - RFC 2616) para la comunicación con sus usuarios. La web se ha convertido en el medio natural para desplegar servicios de software. Existen actualmente cerca de 665 millones de sitios web según Netcraft ( (a julio/2012) Cuántos de estos sitios poseen al menos una aplicación web? 5

5 Beneficios de las aplicaciones web Utiliza un protocolo liviano(http) y sin conexión El front-end es algo común en cualquier computadora o dispositivo móvil: un navegador. Actualmente, los navegadores poseen mucha funcionalidad. La tecnología y los lenguajes de desarrollo de las aplicaciones son relativamente simples y fáciles de conseguir. 6

6 Algunas funcionalidades de las aplicaciones web 7

7 Funcionalidades de la aplicaciones web(2) Además de Internet, las organizaciones están adoptando este esquema para soporte de sus actividades de negocio: Aplicaciones para manejo administrativo: ejemplo software ERP. Administración de infraestructura como servidores, estaciones de trabajo, máquinas virtuales, mail & web servers, etc. Software colaborativo: workflow, documentos, etc. Aplicaciones usuales de oficina (planilla, proc. de texto, etc): Google apps, MS Office live, etc. 8

8 Arquitectura web : Esquema básico Firewall Cliente Web Servidor Web App - Web App - Web Servidor de Base de datos Tráfico HTTP Puerto 80 9

9 Arquitectura web : Funcionamiento Todas las transacciones HTTP siguen el mismo formato. Cada request(cliente) y cada response(servidor) tiene tres partes: la línea del request (que indica el método HTTP) o response, la cabecera y el cuerpo 10

10 Arquitectura web: Componentes Métodos HTTP: los principales GET y POST. Otros: HEAD, TRACE, OPTIONS, DELETE. URL (uniform resource locator): identificador único para un recurso web. El formato es el siguiente: protocol: //hostname[:port]/[path/]file?[param=value] Envío de parámetros: en el URL query string, en los cookies, en el cuerpo usando POST. Las aplicaciones pueden ser construidas con una variedad de tecnologías: Lenguajes de scripts como: PHP, VBScript, Perl, etc Plataformas de aplicaciones web : APS.NET, Java, Ruby on rails, Web servers: Apache, IIS, Oracle, NCSA, IBM, etc Base de datos: Oracle, PostgreSQL, MySQL, etc Otros componentes de back-end: sistema de archivos, servicios web, servicios de directorio, etc. 11

11 Arquitectura web: funcionalidad del lado cliente HTML4 y HTML5 HyperLinks Forms CSS JavaScript VBScript DOM Ajax JSON Extensiones al browser: Java applets, controles ActiveX, objetos Flash, objetos Silverlight, etc. 12

12 Arquitectura web: otras cuestiones Estado y Sesiones Esquemas de codificación (ejemplo del carácter = ) URL %3d Unicode %u003d ó \u003d HTML = ó = ó &eq; Base64 PQ== Hex 3D Acceso remoto de clientes y serialización Adobe Flex y AMF (Action Message Format) MS Silverligth and WCF (Windows Communication Foundation) Objetos java serializados 13

13 2. Vulnerabilidades en las aplicaciones web y ataques 14

14 Qué es una vulnerabilidad? Es una debilidad o hueco de seguridad en la aplicación que puede ser aprovechada o explotada de forma malintencionada por un atacante y violar así la seguridad del sistema, ó afectar su disponibilidad. 15

15 Porqué las aplicaciones quedan vulnerables? Falta de aplicación de una metodología que incluya a la seguridad como parte del proceso de desarrollo de software. Software Development Lifecycle SDL (Microsoft) SSE-CMM(ISO/IEC 21827) (SystemSecurityEngineering-CMM) SAMM (Software Assurance Maturity Model (OWASP) Software Security Framework (Citigal & Fortify ) 16

16 Porqué las aplicaciones quedan vulnerables? (2) Conciencia sobre seguridad poco desarrollada. Desarrollo con ajustadas restricciones de tiempo y recursos. Rápida evolución de las amenazas. Creciente demanda de nuevas funcionalidades. Ajuste de las aplicaciones en funcionamiento (o en etapas finales de desarrollo) a las nuevas tecnologías. Desarrollo personalizado. La simplicidad engañosa de las herramientas. 17

17 Ejemplo de vulnerabilidades de una aplicación utilizada usualmente Aplicación: Joomla! ( Fuente: (Secunia) Número de vulnerabilidades para Joomla! ( ): : : : : 66 Fuente : cve.mitre.org Número de vulnerabilidades para Joomla! ( ): : : : : 67 Otras fuentes de consulta de vulnerabilidades: (Symantec) osvdb.org (Open Source Vulnerability Database) ( SecurityGlobal.net) (Web Hacking Incident Database) (exclusivo de aplicaciones web) xssed.com (Vulnerabilidades XSS) (lista un poco más de vulnerabilidades XSS) Common Vulnerabilities and Exposures (CVE) Desde 1999 a 2012, más del 50% corresponde a vulnerabilidades web 18

18 Cómo evitar las vulnerabilidades? Hacer lo correcto desde el principio Pero No es posible 100% de seguridad Muchas veces utilizamos software de terceros, del que tal vez desconozcamos su calidad. Tenemos que convivir con sistemas en funcionamiento Si es posible mejorar el software, debe hacerse! Es probable que tengamos que aumentar la seguridad desde el exterior 19

19 Razones para atacar una aplicación web Ubicuidad Existencia de técnicas simples de hackeo Anonimato Pasar por alto las protecciones tradicionales (firewalls) Facilidad de código propio Seguridad inmadura Constantes cambios a las aplicaciones Dinero 20

20 Qué componentes son atacables? Plataforma web Aplicación web Base de datos Cliente web Comunicación Disponibilidad (DoS) 21

21 Procesos del ataque Descubrir (profiling) Examinar el entorno Tipo y versión del SO, web server, web app server, etc Examinar la aplicación Examinar la estructura, tipo de lenguaje, tipo de objetos Generar y examinar errores Encontrar información oculta Definición del target Mecanismo de login Campos de entrada Manejo de sesiones Infraestructura.. 22

22 Ataques web Firewall Cliente Web Servidor Web App - Web App - Web Servidor de Base de datos Tráfico HTTP Puerto 80 GET /login.pl?user= El firewall no puede contrarrestar ataques que vienen en el contenido de los paquetes HTTP (que es puerto abierto) 23

23 Principales ataques web Open Web Application Security Project Organización sin fines de lucro que se dedica a ayudar a entender y mejorar la seguridad de las aplicaciones y servicios web. Entre uno de sus proyectos se encuentra la producción de la lista de las diez vulnerabilidades más importantes de las aplicaciones web. El último reporte es del

24 OWASP top 10 (2010) 1. Inyección (notablemente SQL Injection). 2. Secuencia de Comandos en Sitios Cruzados (XSS). 3. Pérdida de autenticación y gestión de sesiones. 4. Referencia Directa Insegura a objetos. 5. Falsificación de Petición de Sitios Cruzados (CSRF). 6. Defectuosa Configuración de Seguridad. 7. Almacenamiento criptográfico inseguro. 8. Falla de Restricción de Acceso a URL. 9. Protección insuficiente en la capa de transporte. 10. Redirecciones y reenvíos no validados. === OWASP Ejecución de ficheros malintencionados - Revelación de información y gestión incorrecta de errores. 25

25 Ejemplo de ataques más comunes SQL Injection Permite a los atacantes retransmitir código a través de la aplicación web a otro sistema vía SQL. Las consecuencias: obtención de información privada, saltar el esquema de autenticación, corromper datos, ejecución de comandos del sistema operativo, etc 26

26 SQL Injection - ejemplo Considerar el siguiente código perl No validado $query = new CGI; $username = $query->param( username ); $password = $query->param( password ); $sql_command = select * from users where username= $username and password= $password ; $sth = $dbh->prepare($sql_command) Un atacante podría aprovechar esta vulnerabilidad agregando por ejemplo or 1=1 en el campo password de forma que la consulta quedaría: select * from users where username= juan and password= or 1=1 27

27 Ejemplo de ataques comunes Secuencia de Comandos en Sitios Cruzados (XSS) La aplicación puede ser utilizada como mecanismo para transportar un ataque al usuario final con un navegador. El navegador del usuario no tiene forma de conocer que el script es malicioso Puede acceder a cookies, tokens de sesión o cualquier otra información sensible guardada en el navegador. Pueden ser de tipo reflejados o permanentes. 28

28 XSS - Ejemplo Considerar el siguiente código Java (String) page += "<input name='creditcard' type='text value='" + request.getparameter("cc") + "'>"; El atacante puede modificar el parámetro CC en el navegador '><script>document.location=' foo='+document.cookie</script>'. 29

29 Qué hacer contra los ataques? Monitorizar Conocer que esta ocurriendo (buenas herramientas de S.O.) Detectar Conocer cuando existe un ataque (Intrusión Detection System) Prevenir Detener el ataque antes que logre su objetivo (Intrusión Prevention System) Evaluar Descubrir los problemas antes que los atacantes: Test de penetración Análisis estático 30

30 3. Detección de intrusión. Generalidades 31

31 IDS Motivaciones El número de incidentes de seguridad crece, los administradores de redes y sistemas aplican de forma lenta las medidas correctivas. Los mecanismos de seguridad pueden deshabilitarse como consecuencia de una mala configuración. Los usuarios de un sistema pueden abusar de sus privilegios. Aún cuando un ataque no tuvo éxito es importante enterarse del intento. 32

32 Qué es un IDS? Es un software que detecta accesos sin autorización a una red de datos o a un sistema computacional. Capaz de detectar el tráfico malicioso en una red o el uso anormal de las computadoras. Es una entidad dinámica de monitoreo que complementa las habilidades de un firewall. En el caso de un IDS para aplicaciones web, usualmente recibe el nombre de WAF (Web Application Firewall). 33

33 Arquitectura de un IDS Ambiente monitoreado Arquitectura general según CIDF (Common ID Framework) (DARPA/IETF) 34

34 Posicionamiento habitual de un IDS - web Firewall Servidor Web App - Web App - Web Servidor de Base de datos IDS Cliente Web Servidor Web App - Web App - Web Servidor de Base de datos Tráfico HTTP Puerto 80 35

35 Clasificación habitual de los IDS Según el dato monitoreado NIDS (Network IDS) HIDS (Host IDS) Según el abordaje de los algoritmos o método de detección Por plantillas o reglas (signature-based) Por anomalía (anomaly-based) Híbridos Comportamiento en la detección IDS IPS Frecuencia de uso Online Offline 36

36 Métodos de detección Signature-based Basado en un conjunto de plantillas o reglas (signature) Ventajas Detección con bajo ratio de falsos positivos Identificación precisa del tipo de intrusión Protección inmediata Bajo consumo de recursos Desventajas Actualización constante del conjunto de signatures No puede lidiar con ataques desconocidos o polimórficos La descripción del ataque requiere mucha precisión, por tanto un considerable trabajo especializado. 37

37 Métodos de detección Anomaly-Based Basado en que las actividades anómalas son maliciosas. Construyen un modelo del comportamiento normal, usualmente denominado perfil. Se compara el perfil con la información auditada para establecer si existe o no un ataque o intrusión. Ventajas Detección de ataques desconocidos Es dificil para el atacante conocer a priori la actividad que genera una alarma. Desventajas Generación de muchos falsos positivos Tiempo requerido para el entrenamiento El ambiente monitoreado es dinámico En el periodo de entrenamiento es posible incluir ataques 38

38 Detección por anomalía Existen varias técnicas utilizadas en la detección por anomalía (*) Técnicas estadísticas (comportamiento estocástico, las más usuales) Univariado Multivariado ( correlación entre variables) Series de tiempo Basadas en el conocimiento (sistemas expertos) Máquinas de estados finitos Lenguajes descriptivos ( ngram, XML, etc) Clasificación por reglas Redes Bayesianas Máquinas de aprendizaje (categorización de patrones) Cadenas de Markov Redes neuronales Lógica difusa Algoritmos genéticos Técnicas de clustering * Anomaly-based network intrusion detection techniques, system and challenges (P. García-Teodoro, J. Diaz, G. Macia & E. Vázques). Computers & Security. Vol

39 4. Técnicas de detección de ataques web 40

40 Detección de ataques web Qué datos necesitamos? Máquina origen Timestamp Método HTTP URL solicitado Paquete HTTP completo (headers & body) Un ataque puede encontrarse en URL Cabecera HTTP del cliente Cookie En el body 41

41 Detección de ataques web Por signature Es el método habitual y el más sencillo Algunos detectores en el mundo OpenSource Snort ( Mod_security (p/ apache PHPIDS (phpids.org) Suricata IDS ( ESAPI WAF ( En el mundo comercial existen muchos. 42

42 Detección de ataques web por signature Ejemplo de una regla de SNORT para XSS Para un típico <script>alert(document.cookie)</script> alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"web-misc cross site scripting attempt"; flow:to_server,established; content:"<script>"; nocase; classtype:web-application-attack; sid:1497; rev:6;) Para un típico ataque <img src=javascript> alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"web-misc cross site scripting HTML Image tag set to javascript attempt"; flow:to_server,established; content:"img src=javascript"; nocase; classtype:web-application-attack; sid:1667; rev:5;)

43 Detección de ataques web por signature Lo anterior puede ser evadido <a href="javascript#[code]"> <div onmouseover="[code]"> <img src="javas cript:[code]"> <xml src="javascript:[code]"> <img src=base64(amf2yxnjcmlwda==)>

44 Detección de ataques web por signature Podemos mejorar usando una expresión regular /((\%3D) (=))[^\n]*((\%3c) <)[^\n]+((\%3e) >) Chequea la ocurrencia de : = seguido de uno o mas \n seguido de < o su equivalente hex. cero o mas / seguido de > o su equivalente hex.

45 Detección de ataques web por signature Inconvenientes (1) Los desarrolladores asumen que los campos ocultos no cambian. Por tanto no puede detectar si hubo o no manipulación en estos campos. Por ejemplo, no puede escribirse una regla, cuando se cambia de un valor 200 a 2 (suponiendo que el campo sea precio).

46 Detección de ataques web por signature Inconvenientes (2) Ataques de fuerza bruta (password, identificadores, usuarios, etc). Ejemplo:

47 Detección de ataques web por signature Inconvenientes (3) No es posible indicar una regla que pueda detectar vulnerabilidades relacionados a la lógica de la aplicación. Considere el siguiente ejemplo: <scri<s<script>crip>>alert(document.cookie) </scri</script>ip> Qué debería hacer el detector?

48 5. Detección de ataques web por anomalía 49

49 Detección de ataques web por anomalía Suelen complementar los detectores por signature Una sola técnica no puede abarcar todos los posibles ataques. Normalmente se utilizan varias técnicas. Alguna técnicas utilizadas estan basadas en: Modelos estadísticos Técnicas de Machine Learning y Data Mining Computación inmunológica Procesamiento de señales Métodos basados en especificación Análisis de estados

50 Detección de ataques web por anomalía El análisis puede ser hecho por campos individuales, por todo el query string, por las cabeceras o por todo el paquete HTTP. Algunos atributos que pueden ser analizados: Longitud de la entrada Distribución de caracteres Estructura de los parámetros Ausencia o presencia de caracteres Orden de los parámetros Frecuencia de las peticiones Correspondencia entre request/response Etc. 51

51 Anomaly detection of web based attack (Kruegel & Vigna) 2003 (UCSB) Modelo de datos 52

52 Anomaly detection of web based attack (Kruegel & Vigna) 2003 (UCSB) Modelo de detección Utiliza seis modelos de detección que identifica una entrada anómala en un conjunto asociado a un programa particular. Cada modelo genera un valor de probabilidad que indica si la entrada guarda relación con el perfil normal. Para determinar el valor final (score) se usa la siguiente fórmula: AnamalySco re w m *(1 p m ) m Models Cada modelo opera en dos fases: entrenamiento y detección. 53

53 Anomaly detection of web based attack (Kruegel & Vigna) 2003 (UCSB) Modelos Longitud Distribución de caracteres Inferencia estructural Enumerador Presencia o ausencia de atributos Orden de los atributos En principio fue testado solamente con método GET. 54

54 Anomaly detection of web based attack (Kruegel & Vigna) 2003 (UCSB) Capacidad de detección 55

55 Using Generalization and Characterization Techniques in the Anomalybased Detection of Web Attacks (Robertson, Kruegel & Vigna) 2006 Basado en el trabajo anterior de Kruegel & Vigna Incluye capacidad de caracterización de ataques y establecimiento de signatures de anomalía 56

56 Otros trabajos en detección de ataques web por anomalía Tokdoc: a self-healing web application firewall (2010) Intrusion detection using gsad model for http trac on web services (2010) Spectrogram: A Mixture-of-Markov-Chains Model for Anomaly Detection in Web Traffic (2009) Evaluation of anomaly based character distribution models in the detection of sql injection attacks (2008) Boosting Web Intrusion Detection Systems by Inferring Positive Signatures (2008) Swaddler: An Approach for the Anomaly-based Detection of State Violations in Web Applications (2007) The Essence of Command Injection Attacks in Web Applications (2006). A multi-model approach to the detection of web-based attacks (2005). 57

57 7. Nuestro trabajo en el área 58

58 Nuestro trabajo en el área En el marco del doctorado en Ciencias de la Computación. Tema: Detección de Intrusión por anomalía en aplicaciones web vía Transformada de Wavelet Desarrollado en el LCCA ( Laboratorio de Computación Científica y Aplicada). ( Areas de investigación: Bioinformática, Optimización, Biomateriales, Mecánica computacional, Procesamiento de imágenes, Ingeniería de Software, Computación Científica. 59

59 Idea Creación de algoritmos basados en el uso de la transformada wavelet para detección de anomalías. Transformada wavelet: Es una herramienta matemática utilizada para descomponer una señal en diferentes niveles de resolución a fin de realzar características resaltantes de la misma. Su uso es variado: Compresión de datos, procesamiento digital de imágenes, resolución de ecuaciones diferenciales, procesamiento de señales, detección de intrusión, etc. En este trabajo consideramos el uso de la transformada wavelet bidimensional. 60

60 Transformada wavelet 2D 61

61 Detección de anomalía con TW2D Modelo de Datos En principio utilizamos el basado en la distribución de caracteres. 62

62 Detección de anomalía con TW2D Sin ataque Con dos ataques: path traversal & XSS 63

63 Detección de anomalía con TW2D 64

64 7. Conclusiones El número de ataques web esta creciendo Existe una necesidad de aplicar métodos de desarrollo que incluya la seguridad como una cuestión natural. Los IDS son una herramienta válida para lidiar con los ataques, aunque no es una solución 100% efectiva. La detección por anomalía es una buena estrategia, aunque aún se encuentra en desarrollo. Es un complemento a otras técnicas de defensa ampliamente utilizadas. El avance tecnológico facilita el desarrollo y la funcionalidad de las aplicaciones web pero se vienen nuevas amenazas a tener en cuenta. Ejemplo: HTML5. 65

65 Muchas gracias por su atención! PREGUNTAS?