INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

Tamaño: px

Comenzar la demostración a partir de la página:

Download "INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS"

Lorenzo Fuentes Lozano
hace 8 años
Vistas:

1 INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012

2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes y sistemas 1.La importancia de mantener los sistemas seguros 1. Contraseñas, acceso y el cifrado de datos 2.Las redes como vector de ataque 1. Cómo protegerlas 2. VPN s, IDS e IPS 3.Herramientas para la auditoría de sistemas 2

La importancia de mantener los sistemas seguros 1.

3 Índice 4. Seguridad Web. 1. Introducción a la Seguridad Web. 2. OWASP. 3. Vulnerabilidades Web hoy en día. 4. Procedimientos y técnicas de auditoría Web. 5. Herramientas para auditorías web 6. Plataformas de aprendizaje 7. Otras fuentes de información (concursos y retos) 5. Servicios de seguridad de INTECO 1. INTECO-CERT 2. OSI (Oficina de Seguridad del Internauta) 3

Herramientas para auditorías web 6. Plataformas de aprendizaje 7.

4 Seguridad a nivel de usuario 4

5 Seguridad a nivel de usuario Amenazas Malware SPAM Fraude Pérdida de privacidad 5

6 Seguridad a nivel de usuario Cómo protegernos Actualizaciones Contraseñas Navegación segura Herramientas de seguridad (antivirus, cortafuegos, etc.) Sentido común 6

7 La realidad de la seguridad: hackers Olvidar el 85% de lo que aparece en cine y TV No tienen nada que ver con la realidad. Ejemplos: Hackers (1995), Operación Swordfish (2001) o la jungla 4.0 (2007) 7

8 Qué es seguridad qué no es seguridad El trabajo de un experto en seguridad requiere: Investigación y análisis Seguir una metodología Generar y emitir informes Reportar a la dirección (gerencia de la empresa) Etc. 8

análisis Seguir una metodología Generar y emitir

9 Seguridad en redes y sistemas 9

10 Seguridad en redes y sistemas La importancia de mantener los sistemas seguros: la información Información? Es un activo de información tangible o intangible que tiene valor para los procesos de un negocio y actividad Fuentes de información Tipo de información Ciclo de vida Es la protección de: Confidencialidad: Acceso a la información por perfiles adecuados Integridad: Datos y sistemas fiables y sin alteración de la información Disponibilidad: Datos y sistemas accesibles en todo momento 10

información Tipo de información Ciclo de vida Es la protección de: Confidencialidad: Acceso a la información por perfiles

11 Seguridad en redes y sistemas Contraseñas y acceso Primera línea de defensa Trata de evitar accesos no autorizados La barrera no es infranqueable 11

12 Seguridad en redes y sistemas Cifrado de datos Otra línea de defensa Impide la lectura de información en caso de que el sistema haya sido comprometido Puede aplicarse al sistema completo (inicio del sistema - más seguro) 12

caso de que el sistema haya sido comprometido Puede

13 Seguridad en redes y sistemas Las redes como vector de ataque El siguiente punto a proteger Existen multitud de ataques que se pueden perpetrar sobre estas tecnologías La ausencia de seguridad implica la pérdida de disponibilidad 13

ataques que se pueden perpetrar sobre estas tecnologías

14 Seguridad en redes y sistemas Las redes como vector de ataque: Cómo protegerlas? Firewalls o cortafuegos Políticas de control de acceso WiFi..Evitar implementarlas si se desconoce cómo protegerlas de verdad. 14

15 Seguridad en redes y sistemas Las redes como vector de ataque: soluciones adicionales VPN s IDS IPS 15

16 Seguridad en redes y sistemas Herramientas para la auditoría de redes y sistemas Cain & Abel WireShark Metasploit FW Nmap Nessus AirCrack Snort 16

17 Seguridad WEB 17

Seguridad Web Introducción a la seguridad Web Problemática de seguridad en las aplicaciones Web Forman parte del perímetro de la empresa y organizaciones. Desarrollos sin visión de la seguridad.

18 Seguridad Web Introducción a la seguridad Web Problemática de seguridad en las aplicaciones Web Forman parte del perímetro de la empresa y organizaciones. Desarrollos sin visión de la seguridad. Aplicaciones cada vez más complejas y dinámicas. Resulta fácil atacar una aplicación. La seguridad en Internet no depende exclusivamente de la seguridad de las redes, sino también de las aplicaciones que residen en ellas La seguridad de las aplicaciones Web resulta muy importante y para ello debemos auditarlas y asegurarnos de que no suponen un riesgo para la organización ya que pueden ser un punto de entrada para otros ataques. 18

La seguridad en Internet no depende exclusivamente de la seguridad de las redes, sino también de las aplicaciones que residen en ellas La seguridad de las

19 Seguridad Web OWASP: Open Web Application Security Project Qué es OWASP? Fundación sin animo de lucro. Creada en Independiente de los fabricantes. Formada por voluntarios. Objetivos: Promover la seguridad de las aplicaciones web. Buscar las causas de la inseguridad. Proporcionar soluciones a las amenazas. Crear herramientas, documentación y estándares. 19

Formada por voluntarios. Objetivos: Promover la seguridad de las aplicaciones web.

20 Seguridad Web Vulnerabilidades Web: Vectores de ataque Peticiones Tipos de autenticación Gestión de sesiones Ataques de validación de entrada y salida 20

21 Seguridad Web Vulnerabilidades Web hoy en día: El Top 10 de vulnerabilidades de OWASP Inyecciones de código. Cross Site Scripting (XSS). Robo de credenciales de sesión o de control de acceso Manipulación de rutas a objetos. Cross Site Request Forgery (CSRF). Configuración defectuosa de seguridad 21

22 Seguridad Web Vulnerabilidades Web hoy en día: El Top 10 de vulnerabilidades de OWASP Almacenamiento criptográfico inseguro. Fallo en la ocultación de URLs de gestión. Comunicaciones por un canal inseguro. Redirecciones y reenvíos no validados. Versiones: 2004, 2007 y

23 Seguridad Web Procedimientos y técnicas Utilización de la herramienta adecuada para cada aplicación web. Metodología de auditoria. OWASP Testing. Web Application Penetration Checklist. OSSTMM. Chequear todos los resultados de las herramientas. Uso de herramientas para localización de URLs ocultas. Conocer en lo posible la aplicación. 23

24 Seguridad Web Procedimientos y técnicas Documentarse sobre las vulnerabilidades existentes. Uso de distintos patrones de los ataques XSS (Cross Site Scripting) Cheat Sheet - Nmap Cheat Sheet pdf Captura de evidencias. No realizar denegaciones de Servicio. Uso de herramientas de aprendizaje como WebGoat o participación en concursos de hacking 24

25 Seguridad Web Vulnerabilidades más encontradas Vulnerabilidades de SQL inyection. Con obtención de usuarios y contraseñas. Incorrecto manejo de sesiones. Posibilidad de saltarse la autenticación y obtener una sesión privilegiada en la aplicación. Incorrecta configuración del servidor. Listado de directorios. Obtención de información sensible del servidor. Acceso a ficheros de logs. Versiones no actualizadas o con vulnerabilidades. Versiones de PHP, del gestor de contenidos, etc. 25

26 Herramientas de auditoría Web Aplicaciones comerciales Características comunes Propósito múltiple (no exclusivas por vulnerabilidad). Capacidad de auditoria ante cualquier tipo de aplicativo. Incorporan utilidades para pruebas manuales. Aspectos Configurables. Proporcionan abundante documentación. Suelen ser herramientas lentas. Tienen muchos falsos positivos. Un elevado precio. 26

27 Herramientas de auditoría Web Acunetix Web Vulnerability Scanner, IBM Rational Scan y HP WebInspect 27

28 Herramientas de auditoría Web Aplicaciones gratuitas Características comunes La mayoría son para un propósito especifico. Tienen limitaciones para algún tipo de aplicativo. Incorporan utilidades para pruebas manuales. Mayor capacidad de configuración. Proporcionan menos documentación. Suelen ser herramientas lentas. Tienen muchos falsos positivos. Son gratis. 28

29 Herramientas de auditoría Web WebScarab, Paros BurpSuit y w3af 29

30 Herramientas de auditoría Web Plataformas de aprendizaje: WEBGOAT 30

31 Otras fuentes de información CONCURSOS Y RETOS Hack This Site BadStore 31

32 Servicios de INTECO 32

33 Servicios de INTECO-CERT Servicios de información Servicios de protección Servicios de formación Servicios de respuesta y soporte FORMACIÓN ON-LINE 33

34 Servicios de INTECO-CERT Toda la información en: Portal WEB de INTECO-CERT: Buzón de contacto: Buzón de incidentes: Buzón de fraude electrónico: Buzón de asesoría legal: Buzón de jornadas: INTECO-CERT tiene vocación de servicio público sin ánimo de lucro y ofrece sus servicios de forma totalmente gratuita 34

35 Servicios de la OSI 35

36 Servicios de la OSI Toda la información en: Portal WEB de la Oficina de Seguridad del Internauta: Buzón de consultas: Soporte por Chat: Teléfono: La OSI tiene vocación de servicio público sin ánimo de lucro y ofrece sus servicios de forma totalmente gratuita 36

37 Muchas gracias Preguntas? 37

Documentos relacionados

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica DANIEL FIRVIDA PEREIRA Técnico de seguridad - INTECO-CERT 23 de Noviembre 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD