Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

Transcripción

1 Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014

2 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras compañías de servicios profesionales para CQ (cuando era propiedad de Day software) actualmente es un producto de Adobe y es conocido como Adobe Experience Management. Desde el inicio XumaK se enfocó en dominar la tecnología detrás de CQ/AEM mas conocida como Repositorio de Contenido Java (JCR por sus siglas en ingles basado en la especificación JSR ) y al día de hoy esta en la vanguardia del movimiento de la Gestión de la Experiencia Web. En la actualidad XumaK cuenta con un equipo de mas de 80 profesionales de la informática con un amplio conocimiento y experiencia en AEM que se caracterizan por la pasión en la excelencia. XumaK tiene su sede en Miami Florida, con oficinas en Ontario, Canadá, Ciudad de Guatemala y Medellín Colombia. Todos los proyectos desarrollados en XumaK se caracterizan por el uso de las mejores prácticas y la aplicación de Metodologías Ágiles para lograr la mayor satisfacción de nuestros clientes. Logros: Mas de 10 años de experiencia trabajando con CQ5/AEM Experiencia en proyectos a nivel mundial (Australia, China, India, Europa, USA y Latino América) Único Adobe Partner que opera un Centro de Capacitación autorizado de CQ/AEM Capacitador Oficial de CQ/AEM para México, Centro y Sur América e India. Equipo de I & D para soporte al equipo de desarrollo Beta Testers de CQ/AEM

3 Sitios Web de Alto Tráfico Qué son? Son los sitios web que tienen más de un millón de visitantes al mes Cuál es su importancia? Haciendo una analogía con un centro comercial, para los anunciantes son vitrinas y para los visitantes son ideales para hacer sus compras en línea o fuera de línea. En la actualidad, la Web se ha convertido en una fuente de información para la mayoría de personas a tal punto que las compras son influenciadas por la información encontrada en ella. Cuáles son sus usos? Estos sitios se utilizan para Atraer visitas Posicionar marcas (branding) Venta de productos.

4 Qué son los riesgos de seguridad en aplicaciones web? Son vulnerabilidades de su aplicación que cuando son detectados por los atacantes, los explotan para hacerle daño a su negocio u organización. Estas debilidades pueden ser fáciles de encontrar y de explotar o en algunos casos son muy difíciles, al igual que el daño que pueden causar van desde no tener consecuencias graves hasta sacarlo del negocio. Para estimar el riesgo en su aplicación debe considerar los siguientes factores: Agente de Amenaza Tipo de Ataque Debilidad en la seguridad Impacto técnico Impacto de Negocios

5 El top 10 de riesgos más críticos de seguridad de sitios web para el 2013 De acuerdo al Proyecto Abierto de Seguridad en Aplicaciones Web (OWASP) 1. Inyección Las fallas de inyección, tales como SQL, OS, y LDAP, ocurren cuando datos no confiables son enviados a un interprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al interprete en ejecutar comandos no intencionados o acceder datos no autorizados. 2. Pérdida de Autenticación y Gestión de Sesiones Las funciones de la aplicación relacionadas a autenticación y gestión de sesiones son frecuentemente implementadas incorrectamente, permitiendo a los atacantes comprometer contraseñas, claves, token de sesiones, o explotar otras fallas de implementación para asumir la identidad de otros usuarios. 3. Secuencia de Comandos en Sitios Cruzados (XSS) Las fallas XSS ocurren cada vez que una aplicación toma datos no confiables y los envía al navegador web sin una validación y codificación apropiada. XSS permite a los atacantes ejecutar secuencia de comandos en el navegador de la victima los cuales pueden secuestrar las sesiones de usuario, destruir sitios web, o dirigir al usuario hacia un sitio malicioso. 4. Referencia Directa Insegura a Objetos Una referencia directa a objetos ocurre cuando un desarrollador expone una referencia a un objeto de implementación interno, tal como un fichero, directorio, o base de datos. Sin un chequeo de control de acceso u otra protección, los atacantes pueden manipular estas referencias para acceder datos no autorizados.

6 El top 10 de riesgos más críticos de seguridad de sitios web para el 2013 De acuerdo al Proyecto Abierto de Seguridad en Aplicaciones Web (OWASP) 5. Configuración de Seguridad Incorrecta Una buena seguridad requiere tener definida e implementada una configuración segura para la aplicación, marcos de trabajo, servidor de aplicación, servidor web, base de datos, y plataforma. Todas estas configuraciones deben ser definidas, implementadas, y mantenidas ya que por lo general no son seguras por defecto. Esto incluye mantener todo el software actualizado, incluidas las librerías de código utilizadas por la aplicación. 6. Exposición de Datos Sensibles Muchas aplicaciones web no protegen adecuadamente datos sensibles tales como números de tarjetas de crédito o credenciales de autenticación. Los atacantes pueden robar o modificar tales datos para llevar a cabo fraudes, robos de identidad u otros delitos. Los datos sensibles requieren de métodos de protección adicionales tales como el cifrado de datos, así como también de precauciones especiales en un intercambio de datos con el navegador. 7. Ausencia de Control de Acceso a las funciones La mayoría de aplicaciones web verifican los derechos de acceso a nivel de función antes de hacer visible en la misma interfaz de usuario. A pesar de esto, las aplicaciones necesitan verificar el control de acceso en el servidor cuando se accede a cada función. Si las solicitudes de acceso no se verifican, los atacantes podrán realizar peticiones sin la autorización apropiada. 8. Falsificación de Peticiones en Sitios Cruzados (CSRF) Un ataque CSRF obliga al navegador de una victima autenticada a enviar una petición HTTP falsificado, incluyendo la sesión del usuario y cualquier otra información de autenticación incluida automáticamente, a una aplicación web vulnerable. Esto permite al atacante forzar al navegador de la victima para generar pedidos que la aplicación vulnerable piensa son peticiones legítimas provenientes de la victima.

7 El top 10 de riesgos más críticos de seguridad de sitios web para el 2013 De acuerdo al Proyecto Abierto de Seguridad en Aplicaciones Web (OWASP) 9. Uso de Componentes con Vulnerabilidades Conocidas Algunos componentes tales como las librerías, los frameworks y otros módulos de software casi siempre funcionan con todos los privilegios. Si se ataca un componente vulnerable esto podría facilitar la intrusión en el servidor o una perdida seria de datos. Las aplicaciones que utilicen componentes con vulnerabilidades conocidas debilitan las defensas de la aplicación y permiten ampliar el rango de posibles ataques e impactos. 10, Redirecciones y reenvíos no validados Las aplicaciones web frecuentemente redirigen y reenvían a los usuarios hacia otras páginas o sitios web, y utilizan datos no confiables para determinar la página de destino. Sin una validación apropiada, los atacantes pueden redirigir a las víctimas hacia sitios de phishing o malware, o utilizar reenvíos para acceder páginas no autorizadas.

8 Cómo XumaK implementa sitios Web de alto tráfico?

9 Pila de Tecnología en que esta basado AEM/CQ AEM/CQ utiliza la siguiente pila de tecnología Apache Felix: que es un framework que nos permite modularizar el código de la aplicación para modificar en forma continua nuestra aplicación en línea sin necesidad de estar fuera de línea. CRX / Jackrabbit / Oak: que es el repositorio de contenido Java que cumple con la especificación JSR Apache Sling: que es un framework para desarrollo de aplicaciones web de manera REST. CQ/AEM: que son varios componentes desarrollados por Adobe utilizados para ayudar a los autores de contenido como a los desarrolladores.

10 Cómo se mitigan los riesgos de seguridad en una aplicación Web de alto tráfico? 1. Inyección SQL - Prevenido por diseño: La configuración por defecto CQ no incluye ni requiere una base de datos tradicional. Todos los datos se almacenan en un repositorio de contenido (CRX). Todo el acceso está limitado a usuarios autenticados y sólo se puede realizar a través de la API de JCR. SQL se admite para las consultas de búsqueda solamente (SELECT) LDAP - Inyección LDAP no es posible, ya que el módulo de autenticación filtra la entrada y realiza la importación de usuarios utilizando el métodos de enlace. OS - No hay ejecución de consolas shell desde dentro de la aplicación. 2. Pérdida de Autenticación y Gestión de Sesiones CQ utiliza técnicas de autenticación, sólidas y probados, basándose en Apache Jackrabbit y Apache Sling. Sesiones explorador / HTTP no se utilizan en CQ. 3. Secuencia de Comandos en Sitios Cruzados (XSS) La práctica general de mitigación es codificar toda la salida de contenido generado por el usuario utilizando una biblioteca de protección XSS en el servidor basado en ESAPI y AntiSamy. XSS es una prioridad, tanto durante las pruebas y el desarrollo. 4. Referencia Directa Insegura a Objetos Todo el acceso a los objetos de datos es manejada por el repositorio y, por tanto, restringido por las ACL del usuario autenticado

11 Cómo se mitigan los riesgos de seguridad en una aplicación Web de alto tráfico? 5. Configuración de Seguridad Incorrecta Es imposible garantizar que todo el software siempre está configurado correctamente. Sin embargo, nos esforzamos por ofrecer la mayor orientación posible y hacer que la configuración más simple posible. 6. Exposición de Datos Sensibles La información confidencial se almacena en forma encriptada usando criptografía de apoyo interno basado en FIPS compatible con la biblioteca cryptoj (4.0) de RSA. 7. Ausencia de Control de Acceso a las funciones El control de acceso para las funciones y el contenido se hace cumplir en el servidor mediante ACL a nivel repositorio 8. Falsificación de Peticiones en Sitios Cruzados (CSRF) Mitigado con permitir sólo las operaciones de escritura a través de las peticiones POST. CSRF es una prioridad, tanto durante las pruebas y el desarrollo. 9. Uso de Componentes con Vulnerabilidades Conocidas Vulnerabilidades en los componentes de terceros se manejan de manera similar a los problemas de seguridad en el propio producto. Las actualizaciones se proporcionan en forma de revisiones una vez el parche está disponible, y se proveen instrucciones detalladas.

12 Cómo se mitigan los riesgos de seguridad en una aplicación Web de alto tráfico? 10, Redirecciones y reenvíos no validados Mitigado mediante la restricción de todas las redirecciones a destinos suministrados por el usuario a las ubicaciones internas.

13 Seguridad en Sitios Web de alto Tráfico GRACIAS POR SU ATENCION