Ataques específicos a servidores y clientes web y medidas preventivas. Problemas de seguridad Web

Transcripción

1 Problemas de seguridad Web Ataques específicos a servidores y clientes web y medidas preventivas. junio de 2014 Problemas de seguridad Web 1

2 ATAQUES Consiste en aprovechar alguna debilidad o vulnerabilidad en el software, en el hardware, e incluso, en las personas que forman parte de un ambiente informático; a fin de obtener un beneficio, causando un efecto negativo en la seguridad del sistema, que luego repercute directamente en los activos de la organización junio de 2014 Problemas de seguridad Web 2

3 Efectos negativos como: Denegación de servicio Ejecutar código arbitrario Obtener información confidencial Escalar privilegios Administrar el sistema Tomar el control del mismo Detener o dañar el sistema informático junio de 2014 Problemas de seguridad Web 3

4 Web spoofing En términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad. junio de 2014 Problemas de seguridad Web 4

5 Web spoofing Se pueden clasificar los ataques despoofing, en función de la tecnología utilizada IP spoofing ARP spoofing DNS spoofing Web spoofing spoofing junio de 2014 Problemas de seguridad Web 5

6 Web spoofing Suplantación de una página web real (no confundir con phishing) En ruta la conexión de una víctima a través de una página falsa hacia otras páginas WEB con el objetivo de obtener información de dicha víctima.la página web falsa actúa a modo de proxy, solicitando la información requerida por la víctima a cada servidor original y saltándose incluso la protección SSL. junio de 2014 Problemas de seguridad Web 6

7 Web spoofing El atacante puede modificar cualquier información desde y hacia cualquier servidor que la víctima visite. La víctima puede abrir la página web falsa mediante cualquier tipo de engaño, incluso abriendo un simple enlace. junio de 2014 Problemas de seguridad Web 7

8 Web spoofing junio de 2014 Problemas de seguridad Web 8

9 Web spoofing Detección Este ataque se realiza mediante una implantación de código el cual nos robará la información. Usualmente se realizan páginas fantasmas en las cuales se inyectan estos códigos para poder sacar información de las víctimas. Si la IP nunca cambia al visitar diferentes páginas WEB significará que probablemente estemos sufriendo este tipo de ataque. junio de 2014 Problemas de seguridad Web 9

10 Web spoofing Prevención Reforzar la secuencia de predicción de números de secuencia TCP: un esquema de generación robusto puede ser el basado en, que la mayoría de Unix son capaces de implantar. Eliminar las relaciones de confianza basadas en la dirección IP o el nombre de las máquinas, sustituyéndolas por relaciones basadas en claves criptográficas; el cifrado y el filtrado de las conexiones que pueden aceptar nuestras máquinas. junio de 2014 Problemas de seguridad Web 10

11 Ataques de validación Validaciono Autenticación cubre ataques cuyo objetivo es el método utilizado por un sitio web para validar la identidad de un usuario, servicio o aplicación. La autenticación es realizada usando al menos uno de estos tres mecanismos: "algo que se tiene ", "algo que se conoce" o algo que se es ". Este apartado tratará los ataques utilizados para engañar o explotar el proceso de autenticación de un sitio web. junio de 2014 Problemas de seguridad Web 11

12 Ataques de validación Fuerza bruta Un ataque de fuerza bruta es un proceso automatizado de prueba y error utilizado para adivinar el nombre de usuario, contraseña, número de tarjeta de crédito o clave criptográfica de una persona. Muchos sistemas permiten el empleo de contraseñas o claves criptográficas débiles, y los usuarios a menudo escogerán contraseñas fáciles de adivinar, posiblemente encontradas en un diccionario. La misma técnica de prueba y error también es aplicable para adivinar claves de cifrado. Cuando un sitio web utiliza una clave débil o de corta longitud, es posible para un atacante adivinar una clave correcta probando todas las posibles combinaciones de claves junio de 2014 Problemas de seguridad Web 12

13 Ataques de validación Fuerza bruta Fuerza de ataque normal: Utiliza un único nombre de usuario y muchas contraseñas fuerza bruta inversa: Utiliza muchos nombres de usuario y una única contraseña junio de 2014 Problemas de seguridad Web 13

14 Ataques de validación Fuerza bruta Ejemplo Username = Jon Passwords = smith, michael-jordan, [pet names], [birthdays],[car names],. Usernames= Jon, Dan, Ed, Sara, Barbara,.. Password = junio de 2014 Problemas de seguridad Web 14

15 Ataques de validación Autenticación insuficiente ocurre cuando un sitio web permite a un atacante acceder a contenido o funcionalidad sensible sin tener que autenticarse correctamente Las herramientas de administración basadas en web son un buen ejemplo de sitios web que proporcionan acceso a funcionalidades sensibles. Dependiendo de los recursos específicos online, estas aplicaciones web no deberían ser directamente accesibles sin requerir de la forma apropiada la verificación de la identidad del usuario junio de 2014 Problemas de seguridad Web 15

16 Ataques de validación Autenticación insuficiente algunos recursos son protegidos ocultando la ubicación específica y no enlazando su ubicación en el sitio web principal u otras zonas públicas Es importante entender que simplemente porque un recurso es desconocido para un atacante, no implica que este recurso no permanezca accesible directamente a través de una URL específica. Esta URL puede ser descubierta a través de pruebas de fuerza bruta sobre ubicaciones comunes de ficheros y directorios (/admin por ejemplo), mensajes de error, logs o quizás recursos documentados en ficheros de ayuda junio de 2014 Problemas de seguridad Web 16

17 Ataques de validación junio de 2014 Problemas de seguridad Web 17

18 Ataques de validación Débil validación en la recuperación de contraseñas se produce cuando un sitio web permite, de forma ilegal, que un atacante obtenga, modifique o recupere la contraseña de otro usuario Ejemplos de procesos automáticos de recuperación de contraseñas incluyen requerir al usuario el responder a una pregunta secreta definida como parte del proceso de registro del usuario junio de 2014 Problemas de seguridad Web 18

19 Ataques de validación Débil validación en la recuperación de contraseñas Esta pregunta puede ser seleccionada de una lista de preguntas predefinidas o proporcionada por el usuario Otros mecanismos requieren que el usuario proporcione distintos datos personales como su número de la seguridad social, dirección, código postal, etc. para validar su identidad. Después de que el usuario haya demostrado que es quién dice ser, el sistema de recuperación mostrará o enviará por correo electrónico una nueva contraseña. junio de 2014 Problemas de seguridad Web 19

20 Ataques de validación Débil validación en la recuperación de contraseñas Ejemplo (Métodos débiles de recuperación de contraseñas) Verificación de información Muchos sitios web sólo requieren al usuario que proporcione su dirección de correo electrónico en combinación con su dirección postal y su número de teléfono. Esta información puede ser fácilmente obtenida a través de consultas online sobre páginas amarillas o páginas blancas. Como resultado, la información de verificación no es muy secreta. Más aún, la información puede ser comprometida vía otros métodos como Cross-site Scripting y las estafas de Phising. junio de 2014 Problemas de seguridad Web 20

21 Ataques de validación Débil validación en la recuperación de contraseñas Indicaciones de contraseñas Un sitio web que utiliza indicaciones para ayudar a recordar al usuario su contraseña puede ser atacado porque la indicación ayuda a los ataques de fuerza bruta. Un usuario puede tener una buena contraseña como King con su correspondiente indicación de bday+favauthor. Esto ayuda a reducir considerablemente el tamaño del diccionario de fuerza bruta a utilizar sobre la contraseña. junio de 2014 Problemas de seguridad Web 21

22 Ataques de validación Débil validación en la recuperación de contraseñas Pregunta secreta y respuesta Una contraseña de usuario puede ser Richmond con una pregunta secreta de De donde eres. Un atacante puede utilizar un ataque de fuerza bruta, limitando la respuesta secreta a nombres de ciudades. Por otro lado, si el atacante conoce un poco el usuario objetivo, conocer su ciudad natal le resultará también fácil. junio de 2014 Problemas de seguridad Web 22

23 Ataques de validación Contramedidas Todos estos métodos se basan en el concepto de prueba y error. Para defendernos de estos ataques debemos limitar la cantidad de intentos ya sea solicitando un captchadespués de N intentos, o bien bannearla IP que lo esta intentando junio de 2014 Problemas de seguridad Web 23

24 Ataques de validación junio de 2014 Problemas de seguridad Web 24

25 Ataques de interpretación URL Introducción a las URL La URL (Localizador Uniforme de Recursos) de una aplicación Web es el vector que permite indicar el recurso solicitado. Es una cadena de caracteresascii imprimibles dividida en cinco partes: junio de 2014 Problemas de seguridad Web 25

26 Ataques de interpretación URL El nombre delprotocolo: Es el lenguaje que se usa para comunicarse en la red. El protocolo más usado es elhttp Nombre de usuario y contraseña: permite especificar los parámetros requeridos para acceder a un servidor seguro. No se recomienda esta opción ya que la contraseña circula en la URL sin previa codificación El nombre delservidor: es elnombre de dominiode un ordenador que aloja el recurso solicitado. Tenga en cuenta que es posible usar la dirección IP del servidor. junio de 2014 Problemas de seguridad Web 26

27 Ataques de interpretación URL El número depuerto: es el número asociado a un servicio que le indica al servidor qué tipo de recurso se está solicitando. El puerto que se vincula con el protocolo en forma predeterminada es el número 80. Cuando el servicio Web del servidor se asocia con este puerto, puede o no especificarse este número. La ruta de acceso al recurso: esta última parte le indica al servidor dónde se encuentra el recurso, que generalmente es la ubicación (directorio) y el nombre del archivo solicitado. junio de 2014 Problemas de seguridad Web 27

28 Ataques de interpretación URL Protocolo Contraseña (opcional) Nombre del servidor Puerto (opcional si es 80) Ruta usuario:contra es.kioskea.net :80 /glossair/gloss air.php3 junio de 2014 Problemas de seguridad Web 28

29 Ataques de interpretación URL La URL permite enviar parámetros al servidor colocando un signo de interrogación después del nombre del archivo y luego los datos en formato ASCII. Por lo tanto, una URL es una cadena de caracteres con el siguiente formato: junio de 2014 Problemas de seguridad Web 29

30 Ataques de interpretación URL Al manipular ciertas partes de una URL, un hacker puede hacer que un servidor Web le permita acceder a páginas Web a las que supuestamente no tenía acceso En sitios Web dinámicos, los parámetros generalmente se transfieren a través de la URL de la siguiente manera: La página Web crea automáticamente los datos contenidos en la URL y, al navegar normalmente, el usuario simplemente hace clic en el vínculo propuesto por el sitio. junio de 2014 Problemas de seguridad Web 30

31 Ataques de interpretación URL Si un usuario modifica el parámetro manualmente, puede probar diferentes valores, por ejemplo: Si el diseñador no ha previsto esta posibilidad, es posible que el hacker pueda tener acceso a un área que, en general, está protegida. Además, puede hacer que la página Web procese un caso imprevisto, por ejemplo: Si el diseñador de la página Web no ha previsto un caso donde los datos no estén representados por un número, la página Web puede entrar en un estado no previsto y brindar información en un mensaje de error. junio de 2014 Problemas de seguridad Web 31

32 Ataques de interpretación URL Prueba y error Posiblemente, un hacker pueda probar directorios y extensiones de archivos al azar para encontrar información importante. Algunos ejemplos clásicos: Búsqueda de directorios para poder administrar el sitio: Búsqueda de una secuencia de comandos para revelar información sobre el sistema remoto: junio de 2014 Problemas de seguridad Web 32

33 Ataques de interpretación URL Contramedidas Impida la navegación por páginas que estén bajo la raíz del página Web (mecanismo chroot); Deshabilite la visualización de los archivos de un directorio que no contiene un archivo índice ("Navegación de directorio"); Elimine directorios y archivos inservibles (incluso los ocultos); Asegúrese de que el servidor proteja el acceso a directorios que contienen datos importantes; Elimine las opciones de configuración innecesarias; Asegúrese de que el servidor interprete las páginas dinámicas con precisión, incluso archivos de copias de seguridad (.bak); Elimine los intérpretes de secuencias de comandos innecesarios; junio de 2014 Problemas de seguridad Web 33

34 Ataques de interpretación URL la variable catse va a utilizar en una consulta a la base de datos, si la consulta no esta bien preparada, se pueden hacer modificaciones para obtener otro tipo de informacion. Esto es la base para SQL Injection junio de 2014 Problemas de seguridad Web 34

35 Inyección SQL SQL es un lenguaje textual utilizado para interactuar con bases de datos relacionales. En los servidores Web se utiliza este lenguaje para acceder a bases de datos y ofrecer páginas dinámicas o nuevas funcionalidades a los sistemas. Qué Bases de datos son susceptible a Inyección SQL?. MySQL Oracle DB2 Postgres MS SQL junio de 2014 Problemas de seguridad Web 35

36 Inyección SQL Los ataques deinyección SQLatacan los sitios web que dependen de bases de datos relacionadas. En este tipo de páginas Web, los parámetros se pasan a la base de datos como unaconsulta de SQL. Si un diseñador no verifica los parámetros que se pasan en la consulta de SQL, un hacker puede modificar la consulta para acceder a toda la base de datos e incluso modificar su contenido. Algunos caracteres posibilitan coordinar varias consultas de SQL o ignorar el resto de la consulta. Al insertar este tipo de carácter en la consulta, un hacker puede ejecutar potencialmente la consulta que elija. junio de 2014 Problemas de seguridad Web 36

37 Inyección SQL Ante la siguiente consulta, que espera un nombre de usuario como parámetro: SELECT* FROM usuarios WHERE nombre="$nombre"; SELECT* FROM usuarios WHERE nombre="toto" OR 1=1 OR nombre="titi"; Siempre se realiza la cláusula WHERE, lo que significa que devolverá registros que corresponden a todos los usuarios. junio de 2014 Problemas de seguridad Web 37

38 Inyección SQL junio de 2014 Problemas de seguridad Web 38

39 Inyección SQL Otras variantes a usar en el campo loginpodrían ser: junio de 2014 Problemas de seguridad Web 39

40 Inyección SQL Y variantes de consultas: junio de 2014 Problemas de seguridad Web 40

41 Inyección SQL Ejemplos de ataques: -Obtención de la base de datos completa usando sentencias SELECT -Modificación o inserción de datosusando INSERT o UPDATE -Borrado de la base de datos usando DELETE -Ejecución de comandos del sistema operativousandoexec master.dbo.xp_cmdshellpor ejemplo, el valor de passseríapass=hack' EXEC master.dbo.xp_cmdshell'cmd.exe dir c:'-- -Apagado remoto del servidorpass=hack' EXEC master.dbo.xp_cmdshell'cmd.exe shutdown'-- junio de 2014 Problemas de seguridad Web 41

42 Inyección SQL QUE HACER CONTRA ESTA VULNERABILIDAD? Verifique el formato de los datos de entrada y, en particular, si hay caracteres especiales; No deje que se vean mensajes de error explícitos que muestren la consulta o parte de la consulta de SQL; Elimine las cuentas de usuario que no se usen y especialmente las predeterminadas; No acepte cuentas sin contraseñas; Mantenga al mínimo los privilegios de las cuentas que se usan; Elimine los procedimientos almacenados. junio de 2014 Problemas de seguridad Web 42

43 Cross-Site Scripting Cross-siteScripting (XSS) es una técnica de ataque que fuerza un sitio web a repetir el código ejecutable suminitradopor un atacante, el cual se carga en el navegador del usuario. El código normalmente está escrito en HTML/JavaScript, pero también puede extenderse a VBScript, ActiveX, Java, Flash, o cualquier otra tecnología soportada por el navegador. junio de 2014 Problemas de seguridad Web 43

44 Cross-Site Scripting Cuando un atacante consigue que el navegador de un usuario ejecute su código, el código se ejecutará dentro del contexto de seguridad (o zona) del sitio web Con este nivel de privilegio, el código tiene la habilidad de leer, modificar y transmitir cualquier dato sensible accesible por el navegador. Un usuario objeto de este ataque podría tener su cuenta secuestrada (robo de cookie), su navegador redirigido a otra dirección, o posiblemente mostrando contenido fraudulento entregado por el sitio web que está visitando junio de 2014 Problemas de seguridad Web 44

45 Cross-Site Scripting junio de 2014 Problemas de seguridad Web 45

46 Cross-Site Scripting Script Los scripts son un conjunto de instrucciones generalmente almacenadas en un archivo de texto que deben ser interpretados línea a línea en tiempo real para su ejecución, se distinguen de los programas, pues estos deben ser convertidos a un archivo binario ejecutable. Los scripts pueden estar embebidos en otro lenguaje para aumentar las funcionalidades de este, como es el caso los scripts PHP o Javascript en código HTML. junio de 2014 Problemas de seguridad Web 46

47 Cross-Site Scripting Las vulnerabilidades de XSS abarcaban cualquier ataque que permita ejecutar código de "scripting" en el contexto de otro sitio web. Se pueden encontrar en cualquier aplicación que tenga como objetivo final, el presentar la información en un navegador web. Usualmente no se validan correctamente los datos de entrada que son usados en algunas aplicaciones permitiendo enviar un script malicioso a la aplicación. Para funcionar necesitan un punto de entrada, que suelen ser los formularios. A través de un ataque XSS, se puede secuestrar cuentas, junio cambiar de 2014 Problemas de seguridad Web 47

48 Cross-Site Scripting Es una vulnerabilidad que aprovecha la falta de mecanismos de filtrado y validación en campos de entrada, permitiendo así el envío de scripts completos (como Visual Basic Scripts o Java Scripts) con secuencias de comandos maliciosos que podrían impactar directamente en el sitio web o en el equipo de un usuario. Esta limitación se debe a que el código HTML se interpreta en el navegador de un usuario y no en el servidor. Así que si alguien inyecta código HTML en alguna aplicación web no podría hacer daño alguno al servidor, ya que éste nunca interpreta el código HTML, sólo los navegadores. Por eso este ataque se denomina: ataque del lado del cliente. junio de 2014 Problemas de seguridad Web 48

49 Cross-Site Scripting Ataques Directos El ataque de forma directa de XSS (también llamado XSS persistente), se presenta cuando el atacante consigue embeber código HTML malicioso, directamente en los sitios webs que así lo permiten. Funciona localizando puntos débiles en la programación de los filtros de HTML si es que existen, para publicar contenido. Este tipo de ataques suele ser el más común, y el código del atacante, se basa en etiquetas HTML (del tipo <frame> o <script>), entre las cuales incluye el código malicioso junio de 2014 Problemas de seguridad Web 49

50 Cross-Site Scripting Ataques Indirectos Este tipo de ataques se presenta, cuando el código maligno se inyecta a través de formularios, a través de los parámetros de una URL, programas en Flash, un enlace malicioso e incluso vídeos. Esta vulnerabilidad suele ser usada para efectuar robo de sesiones y phishing. junio de 2014 Problemas de seguridad Web 50

51 Cross-Site Scripting Las formas más sencillas de defender nuestros usuarios son mediante las siguientes acciones: Cookies: Evitar almacenar datos vitales de nuestros usuarios en las cookies como: Nombre de usuario y Contraseña. Numero de tarjeta de crédito, fecha de vencimiento y nombre del propietario. Cuentas Bancarias. Direcciones de correos electrónicos. Como regla inviolable encriptar todas las cookies que genere nuestro sitio junio de 2014 Problemas de seguridad Web 51

52 Cross-Site Scripting Sesiones de Usuario: También debemos pensar en la encriptación de las sesiones de usuario y las variables que arrastre en caso de que lo hiciera, además de fijar un tiempo prudente de caducidad de sesión y la destrucción de las cookies de sesión al finalizar la misma. junio de 2014 Problemas de seguridad Web 52

53 Cross-Site Scripting junio de 2014 Problemas de seguridad Web 53

54 (Internet Explorer bugs) Mediante la explotación de una combinación de agujeros de seguridad del navegador Internet Explorer, operadores de sitios web pueden formatear el disco duro de sus visitantes La combinación de vulnerabilidades de IE hace posible para intrusos enviar una serie de comandos al PC del visitante, pudiendo borrar archivos de la máquina o, en el peor de los casos, el contenido de todo el disco duro. El grave problema de seguridad fue detectado por el experto sueco Andreas Sandblad, quien señala que el error radica en la función cross-site-scripting, que hace posible abrir una línea de comandos para invocar programas con parámetros aleatorios. El problema surge debido a la posibilidad de usar JavaScriptpara manipular los contenidos de otra ventana. En un ejemplo presentado por Sandbladse abre una nueva ventana de Internet Explorer con un archivo de ayuda que es ejecutado con derechos locales en el PC intervenido. A diferencia de anteriores agujeros de seguridad en Internet Explorer, el método descrito por Sandbladpermite enviar parámetros al programa invocado. De esa forma es posible escribir en la nueva ventana texto como formatc:, que puede formatear todo el disco duro, borrando sus contenidos. junio de 2014 Problemas de seguridad Web 54

55 (Internet Explorer bugs) En el caso de este ejemplo práctico se puede formatear, y con ello borrar, todo el contenido de un disquete. El formateo comienza en el momento mismo en que el usuario visita un sitio web que contiene el código. La única forma de impedir que el código se autoejecute en el PC es desactivar la función Active Scripting en las preferencias de seguridad de Internet Explorer. junio de 2014 Problemas de seguridad Web 55

56 Conclusiones estar siempre actualizado ante los nuevos ataques. Actualizar siempre el servidor y el software estar siempre informado programar a conciencia. Por ultimo recomendamos pagina owasp.com junio de 2014 Problemas de seguridad Web 56

57 Preguntas 1. Por que es importante tener algún pluguinen el navegador que nos muestre la IP del servidor visitado en todo momento? 2. Indique contramedidas contra ataques de fuerza bruta 3. Por que es muy difícil para un servidor defenderse de ataques conocidos como Cross-Site Scripting (XSS)? junio de 2014 Problemas de seguridad Web 57

58 respuestas 1. : si la IP nunca cambia al visitar diferentes páginas WEB significará que probablemente estemos sufriendo este tipo de ataque 2. Limitar cantidad de intentos (captcha y banneo de IP) 3. el código HTML se interpreta en el navegador de un usuario y no en el servidor. Así que si alguien inyecta código HTML en alguna aplicación web no podría hacer daño alguno al servidor, ya que éste nunca interpreta el código HTML, sólo los navegadores. Por eso este ataque se denomina: ataque del lado del cliente. junio de 2014 Problemas de seguridad Web 58