Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Transcripción

1 ASIT CT Pautas de seguridad para aplicaciones web v Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT CT Pautas de seguridad para aplicaciones web v1 Nº. PÁG: 1 / 10

2 Índice del Contenido 1. Abstract 3 2. Objeto 3 3. Alcance 3 4. Antecedentes 3 5. Justificación 4 6. Aspectos generales de seguridad en los desarrollos Web Vulnerabilidades de las aplicaciones Web Protección ante estas vulnerabilidades 6 7. Recomendaciones de seguridad Buenas prácticas para garantizar la seguridad en las aplicaciones Web 9 8. Vigencia Referencias Generales: 10 ARCHIVO: ASIT CT Pautas de seguridad para aplicaciones web v1 Nº. PÁG: 2 / 10

3 1. Abstract Cuando las aplicaciones se exponen a través de Internet, es necesario considerar especialmente la seguridad programada dentro de las mismas. Los elementos de seguridad que pueden considerarse en otros puntos, no siempre son suficientes si el problema está en el código de las aplicaciones. En este documento se presentan recomendaciones generales y se describen pautas para el desarrollo de aplicaciones Web seguras. Las mismas se extenderán y profundizarán en otros documentos sub-siguientes. Estas pautas deberán ser implementadas por los servicios y proveedores de desarrollo, tanto en sus prácticas de desarrollo como en los mecanismos de control de calidad a través de los procedimientos de testing (entre otros). 2. Objeto Definir buenas prácticas y recomendaciones generales para garantizar la seguridad en las aplicaciones Web. 3. Alcance Esta Circular de Tecnología comprende el desarrollo de todas las aplicaciones que se ofrecen a través de la Web. 4. Antecedentes Para brindar servicios a través de la Web son necesarios una gran variedad de elementos entre los que se mencionan por ejemplo, el lugar físico donde reside el equipamiento, la conectividad con Internet, los servidores, computadoras, terminales para operar en la Web y software de base, además de las aplicaciones. Todos estos elementos son susceptibles de ataques. Un plan de seguridad exitoso debería incluirlos a todos. Cuando las aplicaciones se exponen a posibles ataques a través de Internet, es necesario considerar especialmente la seguridad programada dentro de las mismas. Los elementos de seguridad que pueden considerarse en los demás puntos, no siempre son suficientes si el problema está en el código de las aplicaciones. En otros documentos, la ASIT ha planteado recomendaciones de seguridad en aplicaciones Web, pero apuntando a la robustez de los sistemas, y concentrando la atención en aspectos de infraestructura y tecnologías. Asimismo se han presentado pautas de seguridad en el uso de Web Services (Perfiles de seguridad para Web Services Interoperables). ARCHIVO: ASIT CT Pautas de seguridad para aplicaciones web v1 Nº. PÁG: 3 / 10

4 Este documento es complementario a los anteriormente referenciados, extiende las recomendaciones generales y se concentra en pautas para el desarrollo de aplicaciones Web seguras. 5. Justificación Históricamente los desarrolladores de aplicaciones han trabajado en ambientes considerados seguros, en sistemas que solamente utilizaban las redes internas de una organización. La seguridad de las aplicaciones Web está expuesta a vulnerabilidades relativamente comunes y que pueden ser explotadas por atacantes no experimentados con herramientas que están fácilmente disponibles. Cuando se desarrolla una aplicación Web, se invita al mundo a que le envíe solicitudes HTTP. Los ataques camuflados en estas solicitudes superan los firewalls, filtros, SSL y otras barreras porque están dentro de las solicitudes legales de HTTP. Por este motivo, el código de las aplicaciones Web forma parte del perímetro de seguridad y no puede ser ignorado. 6. Aspectos generales de seguridad en los desarrollos Web El tema de la seguridad debe ser considerado desde las primeras etapas del proyecto. Desde el diseño hasta la propia implementación, es necesario considerar cuales son los aspectos clave de seguridad. Es importante recordar la relevancia de la identificación de riesgos y de la valuación de los mismos. Dentro de las especificaciones de los planes de prueba para una aplicación se debería incluir el tema de la seguridad, definiendo como objetivo probar que el sistema sea inmune a determinada clase de ataques, en forma similar a lo que luego de instalado, se consideraría un test de penetración. Considerar la seguridad de los datos privados de terceros que manejan las aplicaciones, de forma de evitar contingencias legales. La infraestructura a nivel de seguridad debería seguir razonablemente el concepto de múltiples capas, contando con diferentes niveles de protección en cada zona Vulnerabilidades de las aplicaciones Web ARCHIVO: ASIT CT Pautas de seguridad para aplicaciones web v1 Nº. PÁG: 4 / 10

5 En esta sección se incluyen algunas de las vulnerabilidades que presentan más frecuentemente las aplicaciones Web. Esta lista no es exhaustiva ni siquiera definitiva, las vulnerabilidades irán cambiando a medida que evolucione la tecnología por lo que es recomendable, cada vez que comience un nuevo desarrollo o durante el mantenimiento de una aplicación, evaluar la probabilidad de que éstas u otras vulnerabilidades sean explotadas por posibles amenazas y en consecuencia, tratar de asegurar las aplicaciones. 1. Cross Site Scripting (XSS): Esta vulnerabilidad posibilita un tipo de ataque en el cual la información ingresada en un área es insertada sin validar o codificar, en otra área de confianza, lo que puede resultar en un ataque usando credenciales confiables. Una falla de XSS permite que la aplicación Web pueda ser utilizada como un mecanismo para transportar un ataque al navegador del usuario final. Un ataque exitoso puede obtener datos de la sesión del usuario, atacar la máquina local o engañar al usuario final mostrando contenido falso 2. Inyección de código ( SQL Injection): En particular la inyección en el SQL es la más común: ocurre cuando datos ingresados por un usuario se envían a un intérprete como parte de un comando o query. Los datos ingresados por un atacante engañan al intérprete para ejecutar comandos en forma involuntaria. Los ataques de este tipo permitirían a un atacante utilizar la aplicación Web como transmisor de código malicioso 3. Referencia insegura a un objeto: Esta vulnerabilidad ocurre cuando un desarrollador expone una referencia a un objeto de implementación interna, tal como un archivo, directorio, registros de una base de datos o claves, como parámetro URL o de un form. Por ejemplo, una aplicación presenta al usuario una opción (referencia interna a un objeto) a la que no debiera tener acceso. A menos que el control de acceso se realice en ese punto, un atacante podría manipular esa referencia para acceder a otros objetos sin autorización. 4. Fuga de información y manejo inadecuado de errores: El manejo inadecuado de los errores que ocurren durante la operación de la aplicación, puede resultar en un ataque a la misma. Se puede llegar a divulgar información que puede ser utilizada más tarde por un atacante, para explotar una vulnerabilidad. Si un agresor puede provocar que ocurran errores que la aplicación web no maneja, puede llegar a obtener información detallada del sistema, denegar servicios, provocar que fallen mecanismos de seguridad o hacer caer el servidor. 5. Brechas en la gestión de autenticación y de sesiones: ARCHIVO: ASIT CT Pautas de seguridad para aplicaciones web v1 Nº. PÁG: 5 / 10

6 Otra de las vulnerabilidades más frecuentes consiste en quebrar el sistema de autenticación o la gestión de sesiones, lo que supone que posibles agresores pueden comprometer contraseñas, claves, cookies de sesión y otros tokens y asumir la identidad de otro usuario. La gestión de la autenticación y el manejo de sesiones son críticos en la seguridad de una aplicación Web 6. Almacenamiento criptográfico inseguro: Las aplicaciones Web frecuentemente utilizan funciones de criptografía para proteger información sensible y credenciales. Si para implementar estas funciones se realiza una selección incorrecta de los algoritmos, o los mismos no están correctamente codificados, se redunda en una protección débil. Lo mismo ocurre si se trabaja en ambientes desprotegidos: DBMS, File System, memoria. 7. Comunicaciones inseguras: Las aplicaciones frecuentemente fallan al encriptar tráfico de red cuando es necesario proteger comunicaciones sensibles. La encriptación (generalmente SSL) debe usarse para todas las conexiones autenticadas, especialmente las páginas Web accesibles desde Internet, pero también las conexiones con el backend. Una falla en el modo de encriptación o la divulgación del mismo expone a la aplicación a un posible ataque. 8. Ocultamiento de URL restringidas: Es frecuente encontrar en algunos sitios que la seguridad depende del hecho de que el atacante no conoce la dirección URL para tener acceso a ella. Sin embargo, un atacante motivado, hábil o simplemente con suerte puede encontrar el acceso a estas páginas, invocar funciones y ver información. La seguridad por medio de la oscuridad no es suficiente para proteger funciones e información sensibles en una aplicación Protección ante estas vulnerabilidades 1. Cross Site Scripting (XSS) o Validar y limpiar los parámetros o entrada de datos o Codificar (encoding) la respuesta del servidor o Limitar el largo de los parámetros 2. Inyección de código ( SQL Injection) o Evitar la concatenación de parámetros o Filtrar y validar la entrada para eliminar caracteres sospechosos o Ejecutar con permisos limitados: servidor de aplicaciones sin permisos de root, DBMS con permisos sólo sobre el esquema. 3. Referencia insegura a un objeto ARCHIVO: ASIT CT Pautas de seguridad para aplicaciones web v1 Nº. PÁG: 6 / 10

7 o Evitar exponer referencias de objetos privados a los usuarios siempre que sea posible o Validar cualquier referencia de objeto privado extensivamente, con el enfoque de aceptar lo conocido o Verificar la autorización a todos los objetos referenciados 4. Fuga de información y manejo inadecuado de errores o Asegurar que el equipo de desarrollo comparta un enfoque común para el manejo de excepciones o Evitar detalles en un mensaje de error, sobretodo información técnica o Volcar los detalles del mensaje de error a un archivo de log o Modificar las páginas de error por defecto. 5. Brechas en la gestión de autenticación y de sesiones o Evitar una autenticación pobre de los usuarios. Utilizar un mecanismo de autenticación simple, con un número de factores y fortaleza adecuados o Proteger adecuadamente las contraseñas en tránsito (SSL) o Proteger adecuadamente las contraseñas guardadas (encripción o hash) o Utilizar mecanismos de gestión de sesión del proveedor y ningún cookie del lado del cliente o Crear una nueva sesión a partir de la autenticación exitosa o Asegurar que cada página tiene un link al logout y que éste destruye todas las sesiones del lado del servidor y la cookies del lado del cliente o Proteger el identificador de sesión o No enviar datos de autenticación como parte de un HTTP GET o Implementar correctamente el SSO 6. Almacenamiento criptográfico inseguro o Garantizar un almacenamiento seguro para la claves de encriptación, certificados y contraseñas relacionadas o Utilizar algoritmos criptográficos reconocidos y asegurarse de que no existen vulnerabilidades abiertas o No permitir que personal sin experiencia desarrolle algoritmos criptográficos o Si es posible, almacenar sólo el hash del valor en vez del valor o Minimizar el uso de la encriptación, proteger solo lo necesario. 7. Comunicaciones inseguras o Usar SSL para todas las conexiones autenticadas o que trasmitan información de valor o sensible, como credenciales, detalles de tarjetas de crédito, información de salud o cualquier otra información privada. o Asegurar que las comunicaciones entre los elementos de la infraestructura, tales como aquellas entre servidores web y sistemas de base de datos, estén adecuadamente protegidos a través del uso de seguridad de la capa de transporte. 8. Ocultamiento de URL restringidas ARCHIVO: ASIT CT Pautas de seguridad para aplicaciones web v1 Nº. PÁG: 7 / 10

8 o Asegurar que el cumplimiento de la matriz de accesos sea parte de la arquitectura y diseño de la aplicación o Asegurar que todas las funciones URL y del negocio estén protegidas por un mecanismo de control de acceso que verifique el rol del usuario y los derechos asignados por encima de cualquier otro proceso que se esté desarrollando. o Desarrollar test de penetración antes del despliegue o liberación de código, para asegurarse que la aplicación no pueda ser mal utilizada por un atacante motivado y hábil. o Asegurar que las acciones administrativas y de alto privilegio estén protegidas, no confiar en que los usuarios no estarán en conocimiento de URLs o APIs especiales. 7. Recomendaciones de seguridad En general las recomendaciones para proteger a las aplicaciones Web de los posibles riesgos, están basadas en las siguientes recomendaciones generales de seguridad: - Defensa en profundidad: donde un control podría ser razonable, varios que combatan los riesgos en diferente forma son mejores. Realizar múltiples validaciones a lo largo de una aplicación. - Privilegios al mínimo: otorgar la menor cantidad de privilegios posible para permitir las acciones legítimas - Manejo de errores en forma segura: si una aplicación falla, todas las operaciones siguientes deberían ser rechazadas - Minimizar el área de ataque: cuanto menos se pueda atacar, mejor. Cada funcionalidad agrega un problema de seguridad en potencia. - Utilizar valores por defecto seguros: la operativa normal de una aplicación debe ser segura. - Considerar los sistemas externos inseguros ya que en general, no se tienen detalles de su construcción. - Seguridad sin oscuridad: la clave para la seguridad de una aplicación no debe recaer sobre cómo mantener detalles ocultos. - Mantener la seguridad simple: evitar el uso de codificación o arquitecturas complejas cuando un enfoque más simple es posible. - Mantenerse actualizado: estar informado de dónde y cómo se arreglan los errores conocidos. - Separar las responsabilidades ARCHIVO: ASIT CT Pautas de seguridad para aplicaciones web v1 Nº. PÁG: 8 / 10

9 7.1. Buenas prácticas para garantizar la seguridad en las aplicaciones Web - Controlar los datos o parámetros ofrecidos por el usuario: o Evitar publicar información suministrada por un usuario sin validarla primero o Evitar que el usuario pueda pasar cadenas SQL que puedan ser ejecutadas directamente en el servidor o Controlar el tamaño de todo dato enviado por el cliente antes de guardarlo en una variable o espacio de memoria controlado por la aplicación - Utilizar las aplicaciones para detección de intrusos o Determinar cuando un parámetro enviado por un usuario puede ser erróneo o cuando necesariamente involucra un intento de intrusión o Cerrar las sesiones y potencialmente, suspender los privilegios del usuario ante un intento de intrusión o Generar como mínimo un registro en el log o una alarma en tiempo real - Controlar el flujo de información entre el cliente y el sitio o Información de autenticación (secretos del usuario) o Parámetros de aplicaciones, por ejemplo información disponible en el GET o datos privados o No utilizar solamente controles de ingreso de datos que se ejecuten en el navegador del cliente o Reducir al mínimo la información que es enviada desde el cliente, utilizar en el servidor los datos que ya se conocen de la sesión - Información existente en la propia página o Evitar comentarios en el código de la aplicación, que puedan generar riesgos como por ejemplo, pruebas anteriores, trozos de scripts comentados, identificación de los desarrolladores, etc. o Evitar utilizar información privada (usuario/password, información de conexiones a bases de datos o servidores internos) en el fuente de páginas dinámicas para minimizar el impacto de posibles ataques de tipo source diclosure ARCHIVO: ASIT CT Pautas de seguridad para aplicaciones web v1 Nº. PÁG: 9 / 10

10 8. Vigencia A partir de mayo de Referencias Generales: - Código de buenas prácticas para la gestión de la seguridad de la información UNIT-ISO/IEC 17799: Seguridad en aplicaciones web PWC Noviembre Seguridad en las Aplicaciones Web Ing. Pablo Garbusi - ISACA Organizations Should Implement Web Application Security Scanning, 2005 Amrit T. Williams, Neil MacDonald Gartner Group - MarketScope for Web Application Security Vulnerability Scanners, 2006 Joseph Feiman, Neil MacDonald Gartner Group ARCHIVO: ASIT CT Pautas de seguridad para aplicaciones web v1 Nº. PÁG: 10 / 10