Seguridad en Servicios de Hosting

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Seguridad en Servicios de Hosting"

Ana Castilla Carrizo
hace 8 años
Vistas:

1 Tendencias de la Tecnología en Seguridad Informática 2009 Seguridad en Servicios de Hosting Juan Pablo Perez Etchegoyen 16 de Septiembre de 2009 Buenos Aires - Argentina

2 Agenda Introducción Hosting/Housing Housing Diferencias Contramedidas Detalles técnicost PCI Casos Reales Conclusión 2

3 Introducción Introducción Una marcada tendencia que se está dando entre algunas empresas es tercerizar la ubicación de ciertos servicios, principalmente aplicaciones web. Esto normalmente se da por ciertas razones:. Minimización de costos. Evitar pasos burocráticos internos en la empresa. Desarrollo/Hosting brindado por la misma empresa. Delegación de administración de infraestructura. Este tipo de esquemas, acarrean grandes riesgos de seguridad, si no se toman en cuenta o se exigen las medidas mínimas necesarias. El problema más común en estos esquemas es el del compromiso completo de aplicaciones, perdiendo confidencialidad e integridad, con ataques tales como defacement s en aplicaciones de la empresa. 3

Delegación de administración de infraestructura. Este tipo de esquemas, acarrean grandes riesgos de seguridad, si no se toman en cuenta o se exigen las medidas mínimas necesarias.

4 Ventajas / Desventajas VENTAJAS DESVENTAJAS Hosting Pocas medidas de seguridad Accesos pseudo-públicos al servidor Imposibilidad de utilizar sitios con SSL Bajos Costos Desarrollos provistos por la misma Empresa de hosting Delegación de la administración de infraestructura y servicios No existe la necesidad de una infraestructura de Data Center. DESVENTAJAS VENTAJAS Housing Administración externa. Alto costo mensual. Servidores de la empresa, ubicados fuera de la empresa. Menores costos iniciales (no requiere compra de hardware) Servicios 7X24 brindados por proveedor Delegación de la administración de infraestructura y servicios No existe la necesidad de una infraestructura de Data Center. Posibilidad de habilitar SSL. 4

DESVENTAJAS VENTAJAS Housing Administración externa. Alto costo mensual. Servidores de la empresa, ubicados fuera de la empresa.

5 Contramedidas Puntos a exijir,, en materia de seguridad, a nuestro proveedor de servicios hosting: Hosting Existencia de Firewalls entre internet y el servidor Hardening del sistema. Medidas de seguridad standard para servidores Medidas de seguridad standard en Data-Centers Completa separación de usuarios mediante permisos. Medidas de seguridad en Web Server y lenguaje de scripting (php/asp). Procedimientos de seguridad para configuración/alta de usuarios y entornos. Housing Existencia de Firewalls entre internet y el servidor Hardening del sistema. Medidas de seguridad standard para servidores Medidas de seguridad standard en Data-Centers 5

Medidas de seguridad standard para servidores Medidas de seguridad standard en Data-Centers Completa separación de usuarios mediante permisos.

6 Detalles técnicos en medidas de seguridad Usuarios: Separación de usuarios y correcta asignación de permisos, de forma tal que un usuario cualquiera no pueda, bajo ningún punto, acceder a los datos de otro usuario, ya sea configurando permisos para el usuario o grupo. Configuraciones Procesos: Implementar y establecer los controles necesarios para asignar y controlar que cada identificador de usuario pertenezca a un usuario. Puertos: Filtrar a nivel de protocolos (TCP/UDP) los servicios que no deben ser accesibles, de forma tal que solamente estén accesibles públicamente los servicios necesarios. Servicios: Actualizar las aplicaciones a las últimas versiones. Minimizar las aplicaciones instaladas en el equipo. Asegurar TODAS las aplicaciones que se encuentren instaladas. Instalar un antivirus. Lenguaje de scripting (PHP/ASP) : Habilitar safe_mode y open_basedir en php. Almacenar las variables de sesión en la base de datos preferentemente. De ser posible, configurar ASP impersonation, para que las aplicaciones se ejecuten con diferentes usuarios. 6

Configuraciones Procesos: Implementar y establecer los controles necesarios para asignar y controlar que cada identificador de usuario pertenezca a un usuario.

7 PCI El Standard PCI, en su apéndice A, contempla las medidas de seguridad que deben tenidas en cuenta por los proveedores de servicios de Hosting, para poder hostear aplicaciones que procesen datos de tarjetas de crédito. Resumiendo, los puntos sonlos siguientes: Restringir cada entidad existente para tener acceso únicamente a los datos de su entorno. También debe poder ejecutar procesos que únicamente accedan a los datos de la entidad y no a los del resto de las entidades. Existencia de logs y trazas de auditoría para cada entidad Existencia de procesos para investigación Forense en caso de compromiso 7

Resumiendo, los puntos sonlos siguientes: Restringir cada entidad existente para tener acceso únicamente a los datos de su entorno.

8 Algunos Casos Reales 8

9 Casos Reales - Caso 1 Compromiso de la aplicación a través del Hosting Compromiso a través del hosting Paso 1: Análisis de la aplicación objetivo, verificando que la misma posee un alto nivel de seguridad. Esta aplicación se encuentra en un servidor en Hosting Compartido. Paso 2: Búsqueda de Aplicaciones alternativas hosteadas en el mismo servidor que la aplicación objetivo. Utilizando, por ejemplo el sitio web Paso 3: Relevamiento de aplicaciones hosteadas en el mismo servidor, buscando vulnerabilidades triviales, que permitan un compromiso directo del servidor. Paso 4: Explotación de vulnerabilidad en aplicación alternativa, permitiendo acceder y modificar archivos en la aplicación objetivo. Paso 5: Compromiso de aplicación objetivo. Pudiéndose generar incluso un defacement de la misma. 9

Utilizando, por ejemplo el sitio web www.onsamehost.

10 Casos Reales - Caso 2 Compromiso de un hosting completo Own de un hosting en 5 pasos Paso 1: Compromiso de una aplicación en un server compartido. Aprovechando una vulnerabilidad de File Upload. Se sube una shell al server y se realiza un análisis del server, con los privilegios del usuario www-data. Paso 2: Se detecta que en el servidor hay un tomcat application server, en el puerto por defecto, ejecuitándose con altos privilegios y con la interfaz administrativa instalada. Paso 3: Se accede al archivo de usuarios del tomcat, el cual posee las contraseñas en claro. Paso 4: En la interfaz administrativa de tomcat, se instala una shell web en java.. Paso 5: Se logra ejecución de comandos con altos privilegios en el server, obteniendo los hashes de las contraseñas de usuarios del sistema operativo. Paso 6: Se crackean estas contraseñas, detectándose que son válidas en el servidor y en varios otros servidores. 10

Paso 2: Se detecta que en el servidor hay un tomcat application server, en el puerto por defecto, ejecuitándose con altos privilegios y con la interfaz administrativa instalada.

11 Conclusiones 11

12 Preguntas

Documentos relacionados

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego Infraestructura Tecnológica Sesión 10: Sistemas cortafuego Contextualización Actualmente tendemos a utilizar los sistemas de comunicación en una forma masiva, por lo que no siempre tenemos el cuidado adecuado