The OWASP Foundation

Transcripción

1 Los 10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplicaciones: Top 10 Cádiz, 24 febrero 2011 Vicente Aguilera Díaz Spain Chapter Leader Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation

2 Quién soy? Cristina Cameron Vicente Aguilera Díaz

3 Quién soy? Vicente Aguilera Díaz CISA, CISSP, CSSLP, ITIL, CEH Instructor, ECSP Instructor, OPSA, OPST Presidente del capítulo español de Socio y Director del Dpto. de Auditoría de Internet Security Auditors Miembro del Consejo Técnico Asesor de la revista Red Seguridad Colaborador en distintos proyectos ( Testing Guide v2, WASC Threat Classification v2, WASC Articles Project, OISSG ISSAF Project) Ponente en congresos del sector (IGC, Hackmeeting, FIST, RedIRIS,, ExpoQA) Co-organizador de las conferencias IBWAS (Ibero-American Web Application Security) Publicación de vulnerabilidades (Oracle, Gmail, SquirrelMail, Hastymail, ISMail, etc.) y artículos en medios especializados (SIC, RedSeguridad, WebAppSec, etc.)

4 Agenda 1. Escenario actual de la seguridad 2. y su aportación para la mejora de la seguridad 3. Los diez riesgos más críticos: Top 10 Actualización de los riesgos de seguridad a nivel de aplicación Revisión de la recomendaciones 4. Evasión de controles de seguridad en un entorno real Demostración práctica: gmailcrack 5. Referencias

5 Agenda 1. Escenario actual de la seguridad 2. y su aportación para la mejora de la seguridad 3. Los diez riesgos más críticos: Top 10 Actualización de los riesgos de seguridad a nivel de aplicación Revisión de la recomendaciones 4. Evasión de controles de seguridad en un entorno real Demostración práctica: gmailcrack 5. Referencias

6 1. Escenario actual de la seguridad El grueso de la inversión actual en seguridad TI recae en: Infraestructura o Aplicación?

7 1. Escenario actual de la seguridad Según Gartner [1], el 90% de la inversión TI se destina a seguridad perimetral (p.e. firewalls) Este hecho resulta ilógico, si pensamos en términos de: Presupuesto de TI (network, host, applications, data) Amenazas y riesgos de seguridad actuales [1]

8 1. Escenario actual de la seguridad Objetivo de los ataques Fuente: UK Security Breach Investigations Report 2010 (7safe)

9 1. Escenario actual de la seguridad Tipología de empresas afectadas Fuente: 2010 Data Breach Investigations Report (Verizon Business Risk Team & USSS)

10 1. Escenario actual de la seguridad La mayor parte de los atacantes son externos Generalmente se persigue un objetivo económico El negocio está en la Web Los sistemas de seguridad tradicionales no ofrecen protección a nivel de aplicación Es necesario incorporar la seguridad al SDLC La balanza de inversión debería, por lo menos, equilibrarse!

11 Agenda 1. Escenario actual de la seguridad 2. y su aportación para la mejora de la seguridad 3. Los diez riesgos más críticos: Top 10 Actualización de los riesgos de seguridad a nivel de aplicación Revisión de la recomendaciones 4. Evasión de controles de seguridad en un entorno real Demostración práctica: gmailcrack 5. Referencias

12 2. y su aportación para la mejora de la seguridad El Open Web Application Seguridad Project () está dedicado a la búsqueda y la lucha contra las causas de software inseguro. La Foundation es una organización sin ánimo de lucro que proporciona la infraestructura y apoya nuestro trabajo. La participación es gratuita y abierta para todos. Os necesitamos! Aquí todo es gratuito y de código abierto Objetivos: crear herramientas, documentación y estándares relacionados con la seguridad en aplicaciones 181 capítulos locales en el mundo y miles de miembros

13 2. y su aportación para la mejora de la seguridad Aportaciones y muchos otros proyectos!

14 2. y su aportación para la mejora de la seguridad es un referente a nivel internacional Algunas de las organizaciones que apoyan la misión de

15 2. y su aportación para la mejora de la seguridad es un referente a nivel internacional Algunas de las Universidades que apoyan la misión de

16 2. : referente en la seguridad a nivel de aplicación A nivel español Entidades financieras Universidades Empresas de desarrollo Empresas de seguridad

17 2. : referente en la seguridad a nivel de aplicación El capítulo español de Creado en diciembre de 2005 Seguir la misión de de manera local Lista de correo (suscríbete!): Foro abierto de discusión Punto de encuentro de profesionales de la seguridad Difusión del conocimiento en España sobre seguridad en aplicaciones Web Proyectos locales? Necesitamos iniciativas!

18 2. : referente en la seguridad a nivel de aplicación El capítulo español de Nuestras conferencias: Spain Chapter Meeting / IBWAS

19 2. : referente en la seguridad a nivel de aplicación El capítulo español de

20 Agenda 1. Escenario actual de la seguridad 2. y su aportación para la mejora de la seguridad 3. Los diez riesgos más críticos: Top 10 Actualización de los riesgos de seguridad a nivel de aplicación Revisión de la recomendaciones 4. Evasión de controles de seguridad en un entorno real Demostración práctica: gmailcrack 5. Referencias

21 2. Top Es un documento: 22 páginas Gratuito Los 10 riesgos más críticos Evoluciona y se adapta El principal objetivo es educar Traducido a español!

22 2. Top Enumera y describe los 10 riesgos más críticos en las aplicaciones web Para cada riesgo, aporta: Descripción del mismo Escenario de ejemplo de un ataque Pautas para verificar si nuestra aplicación es vulnerable Recomendaciones para prevenir dicho riesgo Crecimiento en su aceptación: MITRE PCI DSS US Defense Information Systems Agency (DISA) US Federal Trade Commision (FTC) y muchos más!

23 2. Top Cambios destacados en esta versión (frente a 2007): Se centra en los riesgos (no en vulnerabilidades) Se reordena el Top 10 debido a que la metodología para elaborar el ranking ha cambiado Se incorporan dos elementos: Security Misconfiguration Unvalidated Redirect and Forwards Se eliminan dos elementos: Malicious File Execution Information Leakage and Improper Error Handling y la maquetación del documento!

24 2. Top Última actualización del Top 10

25 2. Top : Riesgos Descripción La aplicación envía a un intérprete datos no validados correctamente y que pueden ser manipulados por el usuario. Posibilita Ejecución de consultas/comandos arbitrarios en el intérprete afectado.

26 Firewall Firewall Databases Legacy Systems Network Layer Application Layer Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Web Services Directories Human Resrcs Billing APPLICATION ATTACK HTTP request HTTP response Custom Code App Server Web Server Hardened OS SQL query DB Table Account: SKU: "SELECT * FROM Account accounts Summary WHERE acct= OR 1=1-- " Acct: Acct: Acct: Acct: Application presents a form to the attacker 2. Attacker sends an attack in the form data 3. Application forwards attack to the database in a SQL query 4. Database runs query containing attack and sends encrypted results back to application 5. Application decrypts data as normal and sends results to the user

27 2. Top : Riesgos Recomendaciones Evitar el uso de intérpretes siempre que sea posible. En caso de resultar necesario, utilizar APIs seguras. Validaciones de los datos de entrada: basadas en white-list para todos los datos de entrada. Antes de validar el dato de entrada es necesario decodificarlo y convertirlo a su forma más simple Seguir el principio de mínimo privilegio en las conexiones con bases de datos y otros componentes No utilizar consultas dinámicas, sino parametrizadas

28 2. Top : Riesgos Descripción La aplicación retorna al navegador web datos no validados correctamente y que pueden ser alterados por el usuario. Posibilita Secuestro de sesión, defacement, control del navegador del usuario, etc.

29 Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions 1 Attacker sets the trap update my profile Attacker enters a malicious script into a web page that stores the data on the server Application with stored XSS vulnerability 2 Victim views page sees attacker profile Custom Code Script runs inside victim s browser with full access to the DOM and cookies 3 Script silently sends attacker Victim s session cookie

30 2. Top : Riesgos Recomendaciones Validaciones de los datos de entrada: basadas en white-list para todos los datos de entrada. Fuerte codificación de salida: todos los datos facilitados por el usuario han de ser codificados antes de ser retornados al cliente. Especificar la codificación de caracteres en cada página (por ejemplo: ISO o UTF-8)

31 2. Top : Riesgos Descripción Deficiencias en la implementación de las funciones de autenticación de usuarios. Posibilita Obtener contraseñas o IDs de sesión de otros usuarios, suplantando su identidad.

32 Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions 1 User sends credentials Site uses URL rewriting (i.e., put session in URL) 2 Custom Code 3 User clicks on a link to in a forum Hacker checks referer logs on and finds user s JSESSIONID 4 5 Hacker uses JSESSIONID and takes over victim s account

33 2. Top : Riesgos Recomendaciones Las credenciales deben viajar por un canal seguro (SSL) Las credenciales deben ser almacenadas en forma de hash o utilizando cifrado Utilizar la gestión de sesiones del propio framework No aceptar nuevos identificadores de sesión desde el usuario. El formulario de login deben ser accedido vía HTTPs. Comenzar el proceso de login desde una segunda página en la que se haya generado un nuevo ID de sesión. Cada página debe incluir la opción de logout. Utilizar time-out por inactividad (preferiblemente de pocos minutos) No exponer credenciales (login y/o password) o identificadores de sesión en la URL. Verificar el password anterior al solicitar un cambio de contraseña.

34 2. Top : Riesgos Descripción Exposición de una referencia a un objeto interno sin los debidos controles de seguridad. Posibilita Acceso a datos no autorizados.

35 Attacker notices his acct parameter is 6065?acct=6065 He modifies it to a nearby number?acct=6066 Attacker views the victim s account information

36 2. Top : Riesgos Recomendaciones Utilizar referencias indirectas. Por ejemplo: Establecer un estándar a la hora de hacer referencia a objetos del servidor: Evitar exponer a los usuarios referencias directas a objetos (como nombres de fichero o claves primarias) Validar cualquier referencia a un objeto utilizado white-list. Verificar el nivel de autorización sobre los objetos referenciados.

37 2. Top : Riesgos Descripción Fuerza al navegador de la víctima (autenticada) a realizar una petición HTTP, incluyendo la cookie de sesión u otra información que permite autenticar al usuario. Posibilita Forzar acciones no deseadas por parte del usuario en la aplicación vulnerable.

38 Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions 1 Attacker sets the trap on some website on the internet (or simply via an ) Hidden <img> tag contains attack against vulnerable site Application with CSRF vulnerability 2 While logged into vulnerable site, victim views attacker site Custom Code 3 Vulnerable site sees legitimate request from victim and performs the action requested

39 2. Top : Riesgos Recomendaciones Verificar que la aplicación no basa la autenticación del usuario únicamente en credenciales o tokens transmitidos automáticamente por el navegador. Utilizar un token adicional, criptográficamente seguro, que no se transmita de forma automática por el navegador (por ejemplo, campo oculto de formulario o parámetro de URL) Verificar que la aplicación no sufre vulnerabilidades de tipo XSS En el acceso a datos u operativas sensibles, re-autenticar al usuario. Aceptar únicamente el método POST para transmitir información sensible.

40 2. Top : Riesgos Descripción Uso de configuraciones de seguridad deficientes o por defecto. Posibilita Explotar vulnerabilidades en la aplicación, servidores web/aplicación, u otros componentes.

41 Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Database Custom Code App Configuration Insider Framework App Server Web Server Hardened OS Development QA Servers Test Servers Source Control

42 2. Top : Riesgos Recomendaciones Uso de guías de securización. Mantener actualizadas todas las plataformas. Analizar las implicaciones de los cambios realizados en las plataformas.

43 2. Top : Riesgos Descripción Datos sensibles no protegidos con el cifrado adecuado. Posibilita Fraude con tarjetas de crédito, suplantación de identidades, etc.

44 Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions 1 Victim enters credit card number in form Custom Code 4 Malicious insider steals 4 million credit card numbers Log files Error handler logs CC details because merchant gateway is unavailable 2 Logs are accessible to all members of IT staff for debugging purposes 3

45 2. Top : Riesgos Recomendaciones Verificar que todo lo que debiera ser cifrado realmente lo está. No crear algoritmos criptográficos. Usar únicamente algoritmos públicos reconocidos (como AES, RSA, y SHA-256) No utilizar algoritmos considerados débiles (como MD5 o SHA1) Nunca transmitir claves privadas por canales inseguros Verificar que las credenciales de toda la infraestructura (como base de datos) se encuentran correctamente securizadas (permisos del sistema de ficheros, cifrado, etc.) No almacenar información innecesaria. Por ejemplo, según PCI DSS nunca se debe almacenar el número CVV asociado a la tarjeta de crédito.

46 2. Top : Riesgos Descripción Ausencia de controles de autenticación/autorización en el acceso a recursos privados. Posibilita Acceso no autorizado a recursos privados.

47 Attacker notices the URL indicates his role /user/getaccounts He modifies it to another directory (role) /admin/getaccounts, or /manager/getaccounts Attacker views more accounts than just their own

48 2. Top : Riesgos Recomendaciones Disponer de una matriz de roles y funciones de la aplicación, como parte del diseño de la aplicación. La aplicación debe verificar el control de acceso en cada petición. Llevar a cabo pentests (tests de intrusión) tras el despliegue de la aplicación No basar la seguridad en la ofuscación Denegar el acceso a tipos de ficheros que la aplicación no debería servir. Basar la validación en una white-list (por ejemplo:.html,.pdf,.jsp)

49 2. Top : Riesgos Descripción Comunicaciones sensibles viajan por un canal no cifrado. Posibilita Acceso a información sensible mediante la captura del tráfico.

50 External Victim Custom Code Backend Systems Business Partners 1 External Attacker External attacker steals credentials and data off network 2 Internal Attacker Employees Internal attacker steals credentials and data from internal network

51 2. Top : Riesgos Recomendaciones Utilizar SSL en cualquier comunicación autenticada o al transmitir información sensible (credenciales, datos de tarjetas, información personal, etc.) Verificar que la comunicación entre componentes (por ejemplo, servidor web y base de datos) también utiliza un canal seguro. Según el requerimiento 4 de PCI DSS hay que proteger los datos que se transmiten sobre las tarjetas de crédito.

52 2. Top : Riesgos Descripción Uso de datos no validados correctamente para realizar redirecciones a otros recursos. Posibilita Redirigir a los usuarios a sitios de phishing o malware, o acceso a recursos no autorizados.

53 Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions 1 Attacker sends attack to victim via or webpage From: Internal Revenue Service Subject: Your Unclaimed Tax Refund Our records show you have an unclaimed federal tax refund. Please click here to initiate your claim. 3 2 Victim clicks link containing unvalidated parameter Custom Code Request sent to vulnerable site, including attacker s destination site as parameter. Redirect sends victim to attacker site & &dest= 4 Evil Site

54 2. Top : Riesgos Recomendaciones Intentar evitar el uso de redirecciones. No utilizar parámetros que puedan ser manipulados por el usuario como parte de la URL, o verificar cada parámetro para verificar que es válido y autorizado para el usuario Validar la URL después de haberla calculado.

55 Agenda 1. Escenario actual de la seguridad 2. y su aportación para la mejora de la seguridad 3. Los diez riesgos más críticos: Top 10 Actualización de los riesgos de seguridad a nivel de aplicación Revisión de la recomendaciones 4. Evasión de controles de seguridad en un entorno real Demostración práctica: gmailcrack 5. Referencias

56 4. Evasión de controles de seguridad en un escenario real Gmail dispone de un gran número de controles de seguridad Bloqueo de IP origen Bloqueo de la cuenta al detectar actividad sospechosa CAPTCHA Detección de accesos concurrentes y muchos más! Es posible automatizar el proceso de autenticación de usuarios? password cracking

57 4. Evasión de controles de seguridad en un escenario real Veamos qué deficiencias existen Nota: El equipo de seguridad de Google fue notificado de estas deficiencias en 2009, pero desestimó aplicar cualquier medida correctora debido a que consideraban suficientes sus actuales mecanismos de protección.

58 4. Evasión de controles de seguridad en un escenario real Conozcamos gmailcrack, la implementación práctica que explota dichas deficiencias

59 4. Evasión de controles de seguridad en un escenario real gmailcrack en acción.

60 Agenda 1. Escenario actual de la seguridad 2. y su aportación para la mejora de la seguridad 3. Los diez riesgos más críticos: Top 10 Actualización de los riesgos de seguridad a nivel de aplicación Revisión de la recomendaciones 4. Evasión de controles de seguridad en un entorno real Demostración práctica: gmailcrack 5. Referencias

61 5. Referencias UK Security Breach Investigations Report Data Breach Investigations Report _databreach_rp.pdf Top rc1 %20-%202010%20Spanish.pdf Internet Security Auditors Security Advisories

62 5. Referencias The Economics of Finding and Fixing Vulnerabilities in Distributed Systems

63 ? dudas / comentarios / sugerencias vicente.aguilera@owasp.org Gracias!