SEGURIDAD EN EL DESARROLLO DE APLICACIONES WEB CON DRUPAL

Transcripción

1 SEGURIDAD EN EL DESARROLLO DE APLICACIONES WEB CON DRUPAL SECURITY IN THE DEVELOPMENT OF WEB APPLICATIONS WITH DRUPAL Hubert Viltres Sala 1, Adrian Hernández Yeja 2, Delly Lien González Hernández 3 1 Universidad de las Ciencias Informáticas, Cuba, hviltres@uci.cu 2 Universidad de las Ciencias Informáticas, Cuba, ayeja@uci.cu 3 Universidad de las Ciencias Informáticas, Cuba, delly@uci.cu RESUMEN: El desarrollo de tecnologías de la información y las comunicaciones (TIC) ha permitido que más personas puedan acceder a internet. Entre las tecnologías con un avance significativo se encuentran las web, que permiten crear aplicaciones utilizando diferentes herramientas. En particular el desarrollo de sitios web en Cuba se ha incrementado considerablemente, y se evidencia una gran variedad de herramientas y tecnologías para su desarrollo. El avance tecnológico alcanzado en la utilización de herramientas de detección de vulnerabilidades, además de la complejidad y variedad en las tecnologías de la información empleadas han generado que se incremente el riesgo para las aplicaciones web y con ellos aumenten los ataques informáticos. En este contexto se hace necesario desarrollar aplicaciones web que disminuyan las vulnerabilidades, para ello se utilizan herramientas potentes que facilitan la seguridad entre las que se encuentra Drupal. A continuación se pretende introducir el tema de la seguridad en el desarrollo de aplicaciones web con Drupal y se muestran los principales elementos que se deben considerar para gestionar la seguridad. Se identifican las principales vulnerabilidades en el desarrollo web con Drupal, además se especifican los principales módulos que se pueden utilizar para mejorar la seguridad. Palabras Clave: Drupal, seguridad, vulnerabilidades, aplicaciones web. ABSTRACT: The development of information technology and communications (ICT) has allowed more people to access the Internet. Among the technologies are a breakthrough web, for creating applications using different tools. In particular, the development of websites in Cuba has increased considerably, and a variety of tools and technologies for developing evidence. The technological progress made in the use of detection tools vulnerabilities and the complexity and variety of information technologies employed have generated that increases the risk for web applications and computer attacks increase them. In this context it is necessary to develop web applications that reduce vulnerabilities to this powerful tools that facilitate security including Drupal is used. Below it is to introduce the issue of security in the development of web applications with Drupal and the main elements to consider for managing security is. Major vulnerabilities in web development with Drupal are identified, along the main modules that can be used to improve safety are specified. KeyWords: Drupal, security, vulnerabilities, web applications.

2 1. INTRODUCCIÓN Desarrollar aplicaciones web robustas y seguras plantea un reto cada vez más complejo para los desarrolladores. La seguridad de las aplicaciones web es un proceso cíclico y debe estar acorde a las condiciones y necesidades de los usuarios. Realizando un balance entre los riesgos y las ventajas de implementar los elementos de seguridad siendo esto una premisa fundamental en cada aplicación web. La seguridad absoluta no existe, este es un proceso continuo donde se deben gestionar diferentes elementos relacionados con el desarrollo y mantenimiento de aplicaciones web. La complejidad y variedad de las herramientas empleadas en el desarrollo web, así como el auge de técnicas y software que permiten detectar vulnerabilidades en las aplicaciones web; han traído como resultado que cada año se publiquen las vulnerabilidades que más afectan la web. Según datos [1][2] sobre ataques a las aplicaciones web se evidencia que los principales ataques están asociados a : Inyección Pérdida de autenticación y gestión de sesiones Secuencia de comandos entre sitios (XSS) Referencia directa insegura a objetos Configuración de seguridad incorrecta Exposición de datos sensibles Ausencia de control de acceso a funciones Falsificación de peticiones entre sitios (CSRF) Utilización de componentes con vulnerabilidades conocidas Redirecciones y reenvíos no validados. Es necesario destacar que existen otras vulnerabilidades que afectan en mejor medida las aplicaciones web entre ellas podemos encontrar: Anti-automatización insuficiente Clickjacking Denegación de servicio Ejecución de archivos maliciosos Fallas de concurrencia Falta de detección y respuesta a las intromisiones Filtración de información y Manejo inapropiado de errores Inyección de expresiones de lenguaje Privacidad de usuario Registro y responsabilidad insuficientes Vulnerabilidad de asignación masiva Estas vulnerabilidades que afectan las aplicaciones web evidencian el reto que enfrentan cada día los desarrolladores, debido principalmente a la variedad de elementos de seguridad que se deben tener en cuenta. Gestionar las vulnerabilidades es una tarea básica de los desarrolladores y administradores de red, que deben realizar un monitoreo constante y un exhaustivo control sobre toda la infraestructura de desarrollo. Asegurando mediante la utilización de herramientas óptimas proteger las aplicaciones web. Desarrollar aplicaciones web utilizando componentes implementados por una comunidad de desarrollo permite mejorar la seguridad. Principalmente porque estos Framework o CMS aplican las buenas prácticas en el desarrollo web y las soluciones obtenidas son utilizadas por diferentes personas con un alto conocimiento en el desarrollo web permitiendo probar y validar que el resultado final cumple con una aplicación de alta calidad. Entre estos CMS se encuentra Drupal, siendo una potente herramienta que permite realizar sitios web con una alta calidad y potencialmente seguros. Este CMS tiene diferentes versiones estables entre ellas encontramos las versiones 5, 6 y 7 que dotan a los usuario de una herramienta para desarrollar aplicaciones web, con una gran variedad de funcionalidades que pueden ser extendidas mediante la instalación de módulos. Drupal presenta un sistema de seguridad basado en roles y asignación de permisos en su núcleo que es ampliado con los módulos contribuidos por la comunidad. En una aplicación web desarrollada con Drupal se deben tener en consideración diferentes factores que van a determinar el nivel de seguridad, este nivel estará relacionado con las configuraciones que se realizan a la aplicación web y al servidor web. Para gestionar la seguridad se deben tener en cuentas los elementos internos y los externos que en su conjunto componen la infraestructura de seguridad de la aplicación web. Entre los elementos internos están: Código fuente, donde se encuentra el núcleo de Drupal y la base de datos. Control de acceso empleando el mínimo privilegio. Configuraciones realizadas a los módulos contribuidos. Mostrar la menor cantidad de información posible sobre los errores del sistema.

3 Los elementos externos están asociados a las configuraciones que se realizan en el servidor para asegurar el buen funcionamiento de la aplicación web, entre estos elementos encontramos: Configuración de los permisos de lectura / escritura sobre el código fuente. Configuración del virtualhost. Instalación de módulos de seguridad para el servidor web. No mostrar información sobre la versión del sistema operativo y las tecnologías y herramientas que se utilizan para soportar la aplicación web. Los elementos anteriores resumen en gran medida los elementos básicos que se deben tener en consideración para desarrollar una aplicación web. Para gestionar la seguridad Drupal establece diferentes pautas que permiten mediante la utilización de la API implementarle nuevas funcionalidades cumpliendo con los principios de seguridad, además posee diferentes módulos que potencian la seguridad y disminuyen las vulnerabilidades. 2. SEGURIDAD EN DRUPAL El sistema de seguridad de una aplicación web recoge a grande rasgos los elementos fundamentales que deben tenerse en cuenta para desarrollar una aplicación web. A continuación se describen los principios básicos de seguridad que toda aplicación web debe cumplir: Validación de la entrada y salida de información Se debe identificar cuáles son los datos que se envían especificando el formato de cada dato y que información es la que se va a mostrar. Estos elementos son una fuente para los atacantes que identifican según la tecnología en la que se implementó la aplicación cuales son las vulnerabilidades más comunes y las explotan. La utilización de la API de Drupal permite validar las entradas y las salidas de toda la información en la aplicación web mejorando la seguridad. [3]. Drupal describe cuales son los elementos que se deben tener en consideración para desarrollar un módulo, realizar una consulta o mostrar la información. Además identifica en la gestión de usuarios y roles cuales permisos pueden generar una vulnerabilidad si se le asigna a usuarios Utilización y reutilización de componentes de confianza Permite tener una mayor seguridad en la utilización de un componente que previamente fue probado por varias personas y en caso que se detecte un error será solucionado por los desarrolladores. Drupal presenta una extensa comunidad de desarrolladores que soportan y mantienen los más de módulos de la rama 7. Realizando constante revisiones del código y solucionando las vulnerabilidades detectadas. Defensa en profundidad Se debe implementar un mecanismo que si un componente del sistema falla los restantes pueden identificar el problema y mantener las aplicaciones funcionando. Desplegar las aplicaciones en un entorno de balanceo de carga y alta disponibilidad que permita asegurar el funcionamiento de la aplicación web. Además de combinar herramientas que permitan detectar ataques. Tan seguros como en eslabón más débil La estrategia implementada va a ser tan eficiente como su eslabón más débil, por ello es necesario realizar comprobaciones sobre todos los elementos que componen la seguridad de la aplicación. Permitiendo identificar y corregir cualquier vulnerabilidad que se pueda presentar. La "seguridad gracias al desconocimiento" no funciona Que no se haya identificado o resuelto una vulnerabilidad no impide que pueda ser explotada por los atacantes. Drupal cuando detecta una vulnerabilidad notifica el problema y la solución. Es siempre recomendado utilizar la última versión estable del núcleo y los módulos complementarios. Diseños simples Los mecanismos de seguridad deben diseñarse para que sean los más sencillos posibles, huyendo de sofisticaciones que compliquen excesivamente la vida a los usuarios. Si los pasos necesarios para proteger de forma adecuada una función o módulo son muy complejos, la probabilidad de que estos pasos no se ejecuten de forma adecuada es muy elevada Verificación de privilegios Los sistemas deben diseñarse para que funcionen con los menos privilegios posibles. Igualmente, es importante que los procesos únicamente dispongan de los privilegios necesarios para desarrollar su función, de forma que queden compartimentados. Utilizar un sistema de roles para el acceso tanto a la base de datos, el sistema de ficheros y la

4 administración del contenido. Drupal permite realizar configuraciones que posibilitan asignar los mínimos permisos necesarios para su funcionamiento, además establece otros mecanismos como el sistema de ficheros privados incrementando el nivel de seguridad de la aplicación [3]. Ofrecer la mínima información Ante una situación de error o una validación negativa, los mecanismos de seguridad deben diseñarse para que faciliten la mínima información posible. De la misma forma, estos mecanismos deben estar diseñados para que una vez denegada una operación, cualquier operación posterior sea igualmente denegada [3]. Además de los elementos ya mencionado se debe prestar atención a otros aspectos relacionados con la seguridad como por ejemplo: consideraciones de arquitectura, mecanismos de autenticación, gestión de sesiones de usuario, control de acceso, registro de actividad, prevención de problemas comunes, consideraciones de privacidad y criptografía. Los principios explicados demuestran la variedad de elementos que pueden ser afectados en relación a la seguridad de las aplicaciones web. El proyecto abierto de seguridad en aplicaciones web juntos con varias empresas dedicadas a la seguridad informática publican cada año las 10 vulnerabilidades que más afectan las aplicaciones web. Varias de estas vulnerabilidades han afectado a las versiones de Drupal, más concretamente la versión 7 ha sido objeto de ataque de Inyección, Secuencia de Comandos en Sitios Cruzados, Exposición de datos sensibles y Falsificación de Petición en Sitios Cruzados (CSRF). Todo esto demuestra la necesidad de conocer y analizar las principales vulnerabilidades, su impacto y posibilidad de que afecten nuestras aplicaciones. Por ello es imprescindible determinar una estrategia para mitigar cualquier posible riesgo. Ataques basados en vulnerabilidades El proyecto abierto de seguridad en aplicaciones web publicó los principales 5 ataques del 2013: Inyección: Las fallas de inyección, tales como SQL, OS, LDAP, ocurren cuando datos no confidenciales son enviados a un intérprete como parte de un comando o consulta, tratando de engañar al intérprete en ejecutar comandos no intencionados o acceder datos no autorizados. Drupal ha sido vulnerable a Inyección tanto en el núcleo como en los módulos complementarios. Secuencia de Comandos en Sitios Cruzados: Las fallas XSS ocurren cada vez que una aplicación toma datos no confidenciales y los envía al navegador web sin una validación y codificación apropiada. XSS permite a los atacantes ejecutar secuencia de comandos en el navegador de la víctima los cuales pueden secuestrar las sesiones de usuario, destruir sitios web, o dirigir al usuario hacia un sitio malicioso. Configuración de Seguridad Incorrecta: Una buena seguridad requiere tener definidas e implementada una configuración segura para la aplicación, marcos de trabajo, servidores de aplicación, servidores web, base de datos, y plataformas. Todas estas configuraciones deben ser definidas, implementadas, y mantenidas ya que por lo general no son seguras por defecto. Exposición de datos sensibles: Muchas aplicaciones web no protegen adecuadamente datos sensibles tales como números de tarjetas de crédito, o credenciales de autenticación. Los datos sensibles requieren de métodos de protección adicionales tales como el cifrado de datos, así como también de precauciones especiales en un intercambio de datos con el navegador. Falsificación de Petición en Sitios Cruzados (CSRF): Un ataque CSRF obliga al navegador de una víctima autenticada a enviar una petición HTTP falsificado, incluyendo la sesión del usuario y cualquier otra información de autenticación incluida automáticamente, a una aplicación web vulnerable. Gestión de la seguridad en Drupal Drupal es un CMS de código abierto confiable, robusto y seguro, que ha tenido gran auge permitiendo que sea utilizado en el desarrollo de varios sitios web. El desarrollo de aplicaciones web con Drupal permite que cada día sea comprobada su seguridad y rendimiento posibilitando que las vulnerabilidades detectadas sean analizadas y corregidas. La base de Drupal (núcleo) está protegido por defecto contra las principales vulnerabilidades identificadas pero si se modifica el núcleo o se realiza una configuración deficiente puede afectar la seguridad de la aplicación. Los primeros elementos básicos para asegurar la seguridad en Drupal son: Disponer de un sistema de acceso mediante roles y asignación de permisos.

5 Mostrar la menor cantidad de información posible sobre los errores. Asignar los permisos de escritura/lectura según corresponda. Evitar ejecutar código PHP por los usuarios. Utilizar sistema de CAPTCHA para validar formularios de envío de información. Ejecutar periódicamente el cron. Mantener actualizado el núcleo de Drupal, así como lo módulos contribuidos instalados. Utilizar un protocolo de comunicación seguro. Independientemente de estas buenas prácticas en la gestión de la seguridad de Drupal se pueden emplear otros mecanismos. Para mejorar la seguridad de una aplicación web desarrollada con Drupal se pueden instalar y configura los módulos complementarios que permiten añadir elementos de seguridad. Para la versión 7 de Drupal existen más de 200 módulos que complementan la seguridad, entre estos módulos se encuentra: Revisión de seguridad (SecurityReview) El módulo permite realizar una revisión de seguridad de los errores más comunes que se pueden encontrar en una aplicación web desarrollada con Drupal evitando así las vulnerabilidades. Presenta una interfaz intuitiva y es fácil de utilizar. Identifica las siguientes vulnerabilidades [6][7][8]: Permisos en los ficheros. Protección contra ataques de Cross Site Scripting (XSS). Verificación de mensajes de error (evitando divulgación de información). Aseguramiento de archivos. Verificación de formatos de archivos. Protección contra inyecciones SQL. Protección contra ataques de fuerza bruta. Permisos de administración (protege contra la mala configuración). Protección contra ataques de fuerza bruta para usuarios y contraseñas. Evita divulgación de información en contraseñas incluidos en mensajes de correo electrónico. Protege contra la ejecución arbitraria de código PHP. Protección contra intentos de phishing. Visualización de control de accesos (protege contra la divulgación de información). La utilización del módulo revisión de seguridad permite disponer de las principales vulnerabilidades de la aplicación web. Pero es el trabajo sistemático lo que va a permitir que se mantenga la seguridad en la aplicación web, realizando un balance entre las configuraciones de la aplicación web y el entorno web. Adicionalmente se pueden configurar otros módulos como pueden ser Security kit, Paranoia, Encrypt, Captcha, Secure Login, Secure Pages, password policy, User registration password que entre sus funciones permiten restringir, controlar, notificar cualquier vulnerabilidad detectada. Permite direccionar a determinadas páginas, establecer políticas para las contraseñas o bloquear a los usuarios al determinar que su acción no se corresponde con el buen funcionamiento de la aplicación. La utilización de los módulos antes mencionado son la primera parte de la gestión de la seguridad en Drupal. Se deben identificar cuáles son las necesidades del equipo de desarrollo así como el entorno donde sera desplegada la solución. Se debe establecer una estrategia de supervisión y revisiones continúas que permitan mejorar la seguridad. 3. CONCLUSIONES El avance de las TICs y el auge alcanzado por las herramientas de dectección de vulnerabilidades, así como los informes de la OWASP permiten identificar las principales vulnerabilidades y los mecanismos para solucionarlas. El desarrollo web con Drupal, la interacción de los usuarios y el auge de las tecnologías de detección de vulnerabilidades habré un camino a la gestión de la seguridad en las aplicaciones web. Los retos son innumerables, pero la utilización de un entrono confiable y realizar las actualizaciones de seguridad así como las recomendaciones del equipo de desarrollo de Drupal posibilitará disminuir las vulnerabilidades y mejorar la seguridad de las aplicaciones web. La utilización de los módulos complementarios permitirá incrementar la seguridad y disminuir la posibilidad de que ocurran ataques. Definir estrategias que permitan identificar las vulnerabilidades y su probabilidad de que ocurran permitirá mantener las aplicaciones web seguras. 4. REFERENCIAS BIBLIOGRÁFICAS 1. Muller, A.: OWASP Testing Guide Lead since 2013, The OWASP Foundation,Washington, 2013.

6 2. McAfee. (2014). McAfee Vulnerability Manager Soluciones de McAfee. Retrieved December 19, Desarrollo web: Guía para el desarrollo de aplicaciones web seguras OpenConcept Consulting Inc., Canada, Oct Gifford, M.: Drupal Security Best Practices, OpenConcept Consulting Inc., Canada, Oct Pakala, S.: Preguntas Frecuentes sobre Seguridad en Aplicaciones Web (OWASP FAQ), The OWASP Foundation, Washington, The OWASP Foundation.: OWASP Top Los diez riesgos más críticos en Aplicaciones Web, The OWASP Foundation,Washington, Hernández Bermúdez, A. L. y J. P. Colín Téllez: "Recomendaciones de seguridad para Drupal", UNAM-CERT, Universidad Nacional Autónoma de México, México, Flores, L.: "Seguridad en páginas web: Produzcamos aplicaciones seguras de manera automática", Facultad Regional Córdoba de la Universidad Tecnológica Nacional, Argentina, Hernández Saucedo, A. L y J. Mejia Miranda: "Guía de ataques, vulnerabilidades, técnicas y herramientas para aplicaciones Web", ReCIBE, No.1, pp. 1-17, México, Asensio, L.: "Seguridad en aplicaciones web: Una visión práctica", Tesis de grado, Universidad Carlos III de Madrid, Madrid, Losada, D.: "Seguridad en aplicaciones Web", Tesis de maestría, Universidad Oberta de Cataluña, Cataluña, SÍNTESIS CURRICULARES DE LOS AU- TORES MSc. Hubert Viltres Sala. Profesor universitario en la Universidad de Ciencias Informáticas, Investiga sobre el desarrollo de aplicaciones web con Drupal.