fs2008 VII foro de seguridad RedIris Seguridad en Web BCN 27&&28/03

Transcripción

1 fs2008 VII foro de seguridad RedIris Seguridad en Web BCN 27&&28/03

2 Vulnerabilidades

3 Dónde están llegando las cosas... Los bancos británicos se aseguran contra el phishing: cargarán las pérdidas a los usuarios de sistemas inseguros. 6. Abril La Asociación de la Banca Británica (BBS) ha publicado un código (que ha entrado en vigor el pasado 31 de marzo) que responsabiliza de posibles pérdidas en sus cuentas de banca electrónica a los usuarios que actúen de forma fraudulenta, pero también a todos aquellos que no observen un "cuidado razonable" (punto 12.11). Lo que la banca británica entiende por "cuidado razonable" se aclara en los puntos 12.5 y 12.9, a los que nos remite. Por ejemplo, el punto 12.9 especifica lo siguiente: Mantenga seguro su PC. Utilice antivirus y spyware (sic) actualizados y un cortafuegos personal.

4

5

6 Motivaciones

7 Motivaciones Advertised Price (in US Item Dollars) United States-based credit card with card verification value $1$6 United Kingdom-based credit card with card verification $2$12 value An identity (including US bank account, credit card, date of birth, and government issued identification number) $14$18 List of 29,000 s $5 Online banking account with a $9,900 balance $300 Yahoo Mail cookie exploit advertised to facilitate full access when successful $3 Valid Yahoo and Hotmail cookies $3 Compromised computer $6$20 Phishing Web site hosting per site $35 Verified PayPal account with balance (balance varies) $50$500 Unverified PayPal account with balance (balance varies) $10$50 Skype account $12 World of Warcraft account one month duration $10 Advertised prices of items traded on underground economy servers. Source: Symantec Corporation.

8 Motivaciones $

9 Ataques al cliente web Drive-by downloads Software (malware) descargado desde el ordenador sin la intervención o el conocimiento del usuario Simplemente por visitar una página Web Sin pulsar explícitamente en un enlace Explota vulnerabilidades en el navegador o sus extensiones, software asociado (Adobe Reader, Flash...), software cliente, o el SO (y librerías) Cliente Web?

10 Ataques al servidor web

11 Al servidor web?

12 Vulnerabilidades más explotadas Remote File Inclusion SQL Injection: pero no sólo SQL, cualquier BBDD: LDAP, ficheros... Cross Site Scripting (XSS) Cross Site request forgery (CSRF) Tendencia hacia el: - {ER} Cross Site [a-za-z0-9 ]* \([A-Z]*\) - Cross Site Printing - Cross Site lo que sea... Ver lista OWASP TOP 10

13 Vulnerabilidades más explotadas

14 Anatomía de un ataque típico

15 SQL Injection La inyección de código SQL se produce cuando datos suministrados por el usuario son enviados sin filtrar a un intérprete como parte de una consulta (Query), con el fin de modificar el comportamiento original, para ejecutar comandos o consultas arbitrarias en la base de datos. <code> sql_query= SELECT * FROM users WHERE username = '" + username_string + "' AND userpass = '" + password_string + "'" </code>

16 SQL Injection username: prueba password: test Consulta final en DB: SELECT * FROM users WHERE username = 'prueba' AND userpass = 'test'

17 SQL Injection username: prueba' password: test Consulta final en DB: SELECT * FROM users WHERE username = 'prueba'' AND userpass = 'test' Microsoft OLE DB Provider for ODBC Drivers (0x80040E14) [Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark before the character string ' AND userpass=userpass_string'

18 SQL Injection: 'OR 1=1; - username:'or 1=1; password: test Consulta final en DB: SELECT * FROM users WHERE username = '' OR 1=1 ; AND userpass = 'test' ; DROP TABLE... ; SELECT * FROM......

19 SQL Injection Objetivos: Evadir autenticaciones, controles de acceso. Obtener y/o modificar datos arbitrarios de la BBDD Leer ficheros del sistema operativo Ejecutar comandos en el S.O. Blind SQL Injection

20 XSS Cross Site Scripting La vulnerabilidad ocurre cuando una aplicación recibe datos enviados por el usuario, y los devuelve al browser sin validarlos o codificarlos. Para poder explotar esta vulnerabilidad generalmente el atacante tendrá que engañar a la víctima en abrir un link, visitar una página, ver una imagen, etc... Que se puede hacer con ellos?: Robo de información de autenticación y secuestro de cuentas Robo y envenenamiento de cookies Phishing Escaneo de puertos de intranet Vulnerabilidades del browser

21 XSS Cross Site Scripting La vulnerabilidad ocurre cuando una aplicación recibe datos enviados por el usuario, y los devuelve al browser sin validarlos o codificarlos. Para poder explotar esta vulnerabilidad generalmente el atacante tendrá que engañar a la víctima en abrir un link, visitar una página, ver una imagen, etc... Prueba simple: <script>alert("xss")</script> Puedo dejarlo de forma permanente? Libro de visitas, SQL Injection, etc.. Lo siguiente un defacement (desfigurar): <html><body><img SRC=" Sin comillas: <script>alert(string.fromcharcode(116, 48, 112, 80, 56, 117, 90, 122))</script> Obtención de cookies: document.location = "

22 RFI [Remote] File Inclusion La inclusión remota de ficheros o código permite a los atacantes incluir código y datos arbitrarios en la aplicación vulnerable, que luego se ejecutará en el servidor. Muchas aplicaciones permiten subir ficheros, fotos,documentos, etc... La inclusión de los ficheros puede ser tanto local como remota. La podemos encontrar en urls del tipo:

23 RFI [Remote] File Inclusion Si logramos incluir código, ficheros o realizar un upload podemos... Ejecutar comandos a través de una consola web. (Darkraver web-kit) Paneles de control (c99, r57) Cliente SQL a través de http. Subir y ejecutar cualquier binario (Port redirectors, túneles, etc) Cualquier cosa que se nos ocurra. Control total del servidor :P

24 Failure to Restrict URL Access Usualmente la aplicación protege solamente las funcionalidades más sensibles, evitando publicar los links o las urls a los usuarios no autorizados. Los atacantes explotan esta vulnerabilidad accediendo directamente a estas funcionalidades Existen muchos diccionarios creados para explotar esta vulnerabilidad: Diccionarios de distintos idiomas Diccionarios por contexto dependiendo del servidor Web, servidor de aplicaciones, y Aplicaciones /admin :P

25 CSRF Cross Site Request Forgery El atacante fuerza al browser de la víctima a realizar una petición, en la sesión autenticada o no, de una aplicación sin el conocimiento del usuario. <IMG SRC= />

26 Automatizando los ataques Para todos estos ataques hay herramientas especializadas y muy potentes: SQL Injections Sqlbif: SqPyfia: Sqlmap: Sqlix : Failure tor restrict URL access: Wfuzz: Dirb: - WebSlayer - ProxyStrike - Mtools -...

27 Recomendaciones generales Activar SIEMPRE las actualizaciones automáticas cuando el software lo permite Mantenerse informado sobre los cambios del software Página Web Oficial del fabricante Listas de correo Instalar y usar software AntiVirus (No protege contra todo el código malicioso) Seguir el principio de: No lo habilites sino lo necesitas Usar cuentas con privilegios limitados Administrador para la gestión y el mantenimiento del SO y software Usuario sin privilegios para el uso diario Educar al usuario para evitar comportamientos inseguros En Firefox: Extension 'no-script'

28 Abriendo los ojos

29 OWASP The Open Web Application Security Project (OWASP) is a worldwide free and open community focused on improving the security of application software. Our mission is to make application security "visible," so that people and organizations can make informed decisions about application security risks. Everyone is free to participate in OWASP and all of our materials are available under an open source license. The OWASP Foundation is a 501c3 not-for-profit charitable organization that ensures the ongoing availability and support for our work.

30 OWASP gran cantidad de proyectos interesantes

31 OWASP Top Ten Project 2007 Educar desarrolladores, diseñadores, arquitectos y organizaciones sobre las consecuencias de las vulnerabilidades en la seguridad. Todos los años contamos con un nuevo proyecto Top Ten. A1 - Cross Site Scripting (XSS) A2 - Injection Flaws A3 - Malicious File Execution A4 - Insecure Direct Object Reference A5 - Cross Site Request Forgery (CSRF) A6 - Information Leakage and Improper Error Handling A7 - Broken Authentication and Session Management A8 - Insecure Cryptographic Storage A9 - Insecure Communications A10 - Failure to Restrict URL Access

32 WebScarab / WebScarab NG Framework para análisis de aplicaciones que se comunican por HTTP/HTTPS Multiplataforma Totalmente extensible Utilización como proxy: podemos revisar y modificar las peticiones hechas por el navegador antes de ser enviadas al servidor, y revisar y modificar las respuestas del servidor antes que lleguen al navegador. Útil, no? :P Análisis SessionID: podemos analizar las cookies de forma fácil Simulador de ancho de banda Fuzzer: automatizar tareas repetitivas a la hora de reemplazar listas de valores...

33 WebScarab / WebScarab NG White Box Hacking Comprobar nuestras propias aplicaciones Podemos divertirnos por ahí :P

34 WebGoat Una deliberadamente insegura aplicación web J2EE, para aprender lecciones sobre seguridad web. Qué mejor forma de aprender que hacer lo que ellos hacen? Conjunto de lecciones sobre ataques que tendremos que pasar, de menor a mayor dificultad. Nos da acceso al fuente para que podamos ver qué no debemos hacer, explicaciones de la solución, estadísticas de cómo van nuestros ataques. Necesitaremos como herramienta adicional un Proxy HTTP/HTTPS, WebScarab? Podemos jugar a hackear cosas, o bajarnos el fuente, arreglarlo, y ver si es segura nuestra forma de programar. Es bastante divertido, y a la vez estamos aprendiendo.

35 WebGoat Lecciones Cross Site Scripting Access Control Thread Safety Hidden Form Field Manipulation Parameter Manipulation Weak Session Cookies Blind SQL Injection Numeric SQL Injection String SQL Injection Web Services Fail Open Authentication Dangers of HTML Comments... etc...

36 WebGoat Recomendado para desarrolladores Java para pasar una tarde de domingo.

37 OWASP Testing Guide v2/3 Information Gathering Authentication Data Validation Testing: Oracle, LDAP, XSS... DoS Web Services AJAX Testing Cómo escribir un informe de seguridad OWASP Guide v3 Próxima traducción al castellano Es una guía de buenas prácticas: Gestión de sesiones, autenticación, autorización, WS, Ajax, Phising, Mantenimiento...

38 OWASP varios Se está viendo la forma de patrocinar a OWASP por parte de CRUE y CENATIC Todas sus guías las venden en papel, sin ánimo de lucro (14 EUR la más cara con 547pág.) Existen muchos más proyectos: OWASP Legal Project OWASP CSRFGuard Project: filtro J2EE mitigar ataques CSRF OWASP LiveCD Education Generador de informes de seguridad OWASP Code Review...

39 Software Libre

40 Software Libre, tenemos un problema El hecho que el mercado gire la cabeza hacia el software libre, ha hecho que muchos atacantes también lo hagan hacia él. Tienen el código fuente. Nosotros no nos preocupamos demasiado. Hemos de estar más al día en BBDD de vulnerabilidades No olvidemos que dentro del Software Libre también existen aplicaciones mal hechas. Hemos de añadir un factor más en la selección: cuán seguro es un software, antes de cogerlo porque sí.

41

42 Software Libre: Soluciones OPCIÓN 1: preguntadnos OPCIÓN 2: yo es un producto seguro existe un equipo detrás estamos dispuestos a meter mano bbdd de vulnerabilidades lista de correo del producto

43 Medidas

44 White Box Hacking Hemos de probar nuestra aplicación, al igual que lo harían ellos, por lo que nos vendrá muy bien seguir el curso de WebGoat. Este tipo de trabajos deben hacerlo personas ajenas al desarrollo de la aplicación en cuestión: - empresa de seguridad externa - formar equipo en ATICA No lo hagáis, y si lo hacéis por vuestra propia cuenta, por favor, avisad.

45 Las aplicaciones seguras no nacen por generación espontánea, son el resultado de una organización, que decide que hará que sus aplicaciones serán seguras...

46 Política de seguridad - Necesitamos de una política de seguridad. Sí, aquí en ATICA. - Esta ha de ser tomada como un objetivo de la organización. - No sólo pensemos en la seguridad web, también en la física. - Hagámos una, y vamos a usarla.

47 QA Tiene calidad nuestro código fuente?

48 Medimos la calidad de nuestro software? Si no lo medimos difícilmente podremos decir si es de calidad o no...

49 ...no tan importante es elegir entre una metodología u otra, como elegir al menos una...

50 Metodología Qué metodologías utilizamos? Obviamente dependerá del proyecto: RUP, UML, SCRUM Por qué? El desarrollo ad-hoc es desestructurado a la hora de hacer aplicaciones seguras. Existen metodologías que incluyen este objetivo. Diseño, testeo y documentación. Ahora todos juntos: Diseño, testeo y documentación!

51 Coding Standards Tenemos que converger a tener estándares en el código a la hora de programar. El mantenimiento se hará más fácil. No dependeremos tanto de las personas. A alguien nuevo le sería más fácil ponerse al día. Por poner un ejemplo:

52 Formación Estamos faltos de formación en temas de seguridad Soluciones Autoformación Nos formamos entre nosotros (eso estaría bien) Sería fructífero contarnos los unos a los otros, aunque sea una vez al año que hacemos. 1 hora de cada 1 de nosotros. Así sabríamos un poco mejor, que cuando uno de nosotros tira una gota a un lago, las ondas llegan hasta la orilla. Formación externa

53 Leer, leer, leer... El índice de lectura en España mejora ligeramente y se sitúa en el 57 por ciento Y yo digo que el 37,3% de las estadísticas son falsas. Sé que no tenemos Labs Days como en Google.

54 Conclusiones Necesidad de una política de seguridad Utilizar metodologías Utilizar estándares de código Necesitamos formación en materia de seguridad Hey! También tenemos deberes nosotros: leer y autoformarnos... QA, emepecemos a medir nuestra calidad Concluyo sabiendo que el 90% de vosotros me odiaréis de por vida... (el 37,3% de las estadísticas son falsas)

55 Un enfoque práctico UCLM

56 Similar a la UMU...

57 Similar a la UMU...

58 Todos somos la UCLM

59 Seguridad en aplicaciones Web Problemática

60 OWASP Top10 SANS Top10

61 Enfoque organizativo

62 Gestión de la seguridad por perfiles Buscar puntos de control de la seguridad.

63 Dónde actuar

64 Dónde actuar

65 Estrategia de seguridad web

66 Estrategia de seguridad web A, administradores D, desarrollo S, seguridad externa? WAF, Web Application Firewalls WASS, Web Application Security Scanners

67 Plan de mejora Seguridad en aplicaciones web Ámbito: Aplicaciones web corporativas

68 Marco normativo Requisitos para las aplicaciones web

69 Análisis de la situación de partida Diferencias entre las directrices y la situación de partida Cuestiones Personal y organización Políticas (logs, red, incidentes) Procedimientos y métodos (parcheo, cambios, etc.) Entorno (red, servicios, etc.) Inventarios Aplicaciones, bases de datos, servidores y personal Herramientas, lenguajes, librerías, frameworks Necesaria adaptación: Desarrollo Explotación Evaluación Apoyo

70 Adaptación: DESARROLLO

71 Adaptación: EXPLOTACIÓN

72 Adaptación: EVALUACIÓN

73 Adaptación: APOYO

74 Plan de choque Futuro

75 Referencias Open Web Application Security Project (OWASP) Web Application Security Consortium (WASC) Center for Internet Security (CIS) Raul Siles