ArCERT Jornadas de Seguridad Informática 2009

Tamaño: px

Comenzar la demostración a partir de la página:

Download "ArCERT Jornadas de Seguridad Informática 2009"

Emilia Moreno Gallego
hace 8 años
Vistas:

1 ArCERT Jornadas de Seguridad Informática 2009 La Web desde el ojo de un atacante Nahuel Grisolía 02 de Octubre de 2009 Buenos Aires - Argentina

2 Agenda Agenda Introducción - Intereses y Tendencias Herramientas Hostings Compartidos, Google Hacking, Web Cache & Archive Evitando dejar rastros de un ataque Entrenando y Conociendo el Historial de la Web Casos de Estudio 2

3 Seguridad en aplicaciones Web: Intereses y Tendencias 3

4 Introducción Por que nos interesa la seguridad en Aplicaciones Web? Internet repleta de aplicaciones Web Cualquier empresa, desde las pequeñas que desean hacerse conocer hasta las grandes ya conocidas, poseen aplicaciones públicas Tendencia a migrar a interfaces Web aplicaciones ya existentes Qué empresa no posee en su red interna e incluso publicadas en Internet una gran cantidad de aplicaciones Web que cumplen papeles fundamentales en la operatoria del día a día? 4

5 Infraestructura vs. Web Mundos Distintos Mi servidor Web tiene todos los parches, y corre detrás de un Firewall. Estoy a salvo? Mi aplicación Web no tiene vulnerabilidades, por ende, no hay posibilidades de ataques cierto? Tendencia actual Realizar Testing conjunto, de la aplicación Web y de la infraestructura que la soporta Analizar la interacción de las vulnerabilidades en ambos casos Riesgos por dejar de lado el análisis del aplicativo Web o de la Infraestructura que lo soporta 5

6 Firewalls de aplicaciones Web Qué es un Web Application Firewall (W.A.F.)? Appliance o Server Plugin que filtra o aplica reglas a una transacción HTTP. Reglas basadas en ataques conocidos (ej: XSS o Inyecciones SQL) En qué nos puede ayudar? Protección contra vulnerabilidades conocidas Sistemas Legacy Productos de terceros (código no disponible) Tendencia hacia el uso de un W.A.F. Descuidar la seguridad de la aplicación porque el W.A.F. conoce y filtra los ataques posibles Ojo con la lógica de negocio! 6

7 Frameworks de programación Framework de programación: estructura de soporte definida, mediante la cual otro proyecto de software puede ser organizado. La tendencia es creer que por estar desarrollando con un Framework potente, ágil y bien conocido, se garantiza la seguridad de la aplicación, lo cual es incorrecto. Los Frameworks solucionan parte de las vulnerabilidades conocidas, no obstante otras, (como las de lógica de negocio o de aplicación, etc.) podrían ser pasadas por alto. 7

8 Análisis de seguridad manual vs. herramientas automáticas Qué podría detectar un análisis automático? Qué podría detectar un consultor especializado? Falsos Positivos, Falsos Negativos Errores de lógica de negocios Vulnerabilidades y ataques de mayor complejidad no detectados La correcta combinación de ambos mundos es la práctica más acertada 8

9 Herramientas They are 4 free! 9

10 Herramientas Descubriendo puntos débiles: W3AF Nikto Dirbuster Flasm SWFscan Nmap Scripting Engine Proxies Locales Nessus al puerto Web Metasploit (WMAP) 10

11 Herramientas Explotando expuestos: SQLMap SQLibf SQLSus SQLi Cheat Sheets OWASP BeeF Brutus Bypass de Javascript, de ActiveX, de Flash W3AF 11

12 Herramientas Post Exploitation Attacks: ReDUH HTTPTunnel DBKiss Churrasco Meterpreter Netcat PwDumpX GSecDump Exploit Locales 12

13 Hostings Google Hacking WebCache s Y si el sitio Web no tiene errores? 13

14 Hostings, Google Hacking, Webcache s El sitio objetivo no tiene errores fácilmente explotables! Es posible, entonces, hacer provecho de técnicas y herramientas que nos permitan estudiar el universo de la aplicación en busca de vulnerabilidades, ajenas o no, que nos permiten atacar la misma. 14

15 Evitando dejar rastros del ataque: Being Stealth like a Ninja! 15

16 Evitando dejar rastros del ataque Buenos Aires al desnudo Sin Cifrado Redes Encontradas 16

17 Evitando dejar rastros del ataque Buenos Aires en ropa interior Con WEP Redes Encontradas 17

18 Evitando dejar rastros del ataque Free Web Proxies, Red TOR, Navegación Anónima Se trata de ocultar la dirección IP, utilizando una cadena de servidores que enmascaran la dirección real, haciendo el posible rastreo complicado. Tor es un proyecto que le ayuda a defenderse contra el análisis de tráfico, una forma de vigilancia de la red que amenaza la libertad personal y la privacidad, la confidencialidad en los negocios y relaciones, y la seguridad del estado. (1) (1) 18

19 "Entrenando" y conociendo el "Historial de ataques" 19

20 El entrenamiento fortalece, el conocimiento da poder Debido a cuestiones legales, el entrenamiento debe ser offline, en entornos donde uno sea el dueño de toda la infraestructura objetivo o en casos debidamente pactados. Existen Aplicaciones Web completamente vulnerables para facilitar la explotación y aprendizaje: Hacme Bank, Hacme casino, Hacme Travel Existen además, Sistemas Operativos especialmente diseñados para explotar vulnerabilidades conocidas y aprender las consecuencias que eso conlleva. 20

21 El entrenamiento fortalece, el conocimiento da poder Repositorios de Sitios Vulnerados: Deface s Realizados Sitios Vulnerables a XSS (Cross Site Scripting) Foros del Underground? 21

22 Casos de Estudio Demo* * Si hay tiempo! 22

23 Casos Caso UNO: Plataforma Microsoft Windows con soporte ASPX Caso DOS: Plataforma GNU/Linux con soporte PHP 23

24 Preguntas? Comentarios?

25 GRACIAS! La Web desde el ojo de un atacante Nahuel Grisolía 02 de Octubre de 2009 Buenos Aires - Argentina

Documentos relacionados

100% Laboratorios en Vivo

100% Laboratorios en Vivo Sabemos que la única forma de aprender es haciendo. Por lo mismo todos los laboratorios son con desafíos de hacking en un ambiente en vivo. Con servidores y servicios dentro de