INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012
Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes y sistemas 1.La importancia de mantener los sistemas seguros 1. Contraseñas, acceso y el cifrado de datos 2.Las redes como vector de ataque 1. Cómo protegerlas 2. VPN s, IDS e IPS 3.Herramientas para la auditoría de sistemas 2
Índice 4. Seguridad Web. 1. Introducción a la Seguridad Web. 2. OWASP. 3. Vulnerabilidades Web hoy en día. 4. Procedimientos y técnicas de auditoría Web. 5. Herramientas para auditorías web 6. Plataformas de aprendizaje 7. Otras fuentes de información (concursos y retos) 5. Servicios de seguridad de INTECO 1. INTECO-CERT 2. OSI (Oficina de Seguridad del Internauta) 3
Seguridad a nivel de usuario 4
Seguridad a nivel de usuario Amenazas Malware SPAM Fraude Pérdida de privacidad 5
Seguridad a nivel de usuario Cómo protegernos Actualizaciones Contraseñas Navegación segura Herramientas de seguridad (antivirus, cortafuegos, etc.) Sentido común 6
La realidad de la seguridad: hackers Olvidar el 85% de lo que aparece en cine y TV No tienen nada que ver con la realidad. Ejemplos: Hackers (1995), Operación Swordfish (2001) o la jungla 4.0 (2007) 7
Qué es seguridad qué no es seguridad El trabajo de un experto en seguridad requiere: Investigación y análisis Seguir una metodología Generar y emitir informes Reportar a la dirección (gerencia de la empresa) Etc. 8
Seguridad en redes y sistemas 9
Seguridad en redes y sistemas La importancia de mantener los sistemas seguros: la información Información? Es un activo de información tangible o intangible que tiene valor para los procesos de un negocio y actividad Fuentes de información Tipo de información Ciclo de vida Es la protección de: Confidencialidad: Acceso a la información por perfiles adecuados Integridad: Datos y sistemas fiables y sin alteración de la información Disponibilidad: Datos y sistemas accesibles en todo momento 10
Seguridad en redes y sistemas Contraseñas y acceso Primera línea de defensa Trata de evitar accesos no autorizados La barrera no es infranqueable 11
Seguridad en redes y sistemas Cifrado de datos Otra línea de defensa Impide la lectura de información en caso de que el sistema haya sido comprometido Puede aplicarse al sistema completo (inicio del sistema - más seguro) 12
Seguridad en redes y sistemas Las redes como vector de ataque El siguiente punto a proteger Existen multitud de ataques que se pueden perpetrar sobre estas tecnologías La ausencia de seguridad implica la pérdida de disponibilidad 13
Seguridad en redes y sistemas Las redes como vector de ataque: Cómo protegerlas? Firewalls o cortafuegos Políticas de control de acceso WiFi..Evitar implementarlas si se desconoce cómo protegerlas de verdad. 14
Seguridad en redes y sistemas Las redes como vector de ataque: soluciones adicionales VPN s IDS IPS 15
Seguridad en redes y sistemas Herramientas para la auditoría de redes y sistemas Cain & Abel WireShark Metasploit FW Nmap Nessus AirCrack Snort 16
Seguridad WEB 17
Seguridad Web Introducción a la seguridad Web Problemática de seguridad en las aplicaciones Web Forman parte del perímetro de la empresa y organizaciones. Desarrollos sin visión de la seguridad. Aplicaciones cada vez más complejas y dinámicas. Resulta fácil atacar una aplicación. La seguridad en Internet no depende exclusivamente de la seguridad de las redes, sino también de las aplicaciones que residen en ellas La seguridad de las aplicaciones Web resulta muy importante y para ello debemos auditarlas y asegurarnos de que no suponen un riesgo para la organización ya que pueden ser un punto de entrada para otros ataques. 18
Seguridad Web OWASP: Open Web Application Security Project Qué es OWASP? Fundación sin animo de lucro. Creada en 2001. Independiente de los fabricantes. Formada por voluntarios. Objetivos: Promover la seguridad de las aplicaciones web. Buscar las causas de la inseguridad. Proporcionar soluciones a las amenazas. Crear herramientas, documentación y estándares. 19
Seguridad Web Vulnerabilidades Web: Vectores de ataque Peticiones Tipos de autenticación Gestión de sesiones Ataques de validación de entrada y salida 20
Seguridad Web Vulnerabilidades Web hoy en día: El Top 10 de vulnerabilidades de OWASP Inyecciones de código. Cross Site Scripting (XSS). Robo de credenciales de sesión o de control de acceso Manipulación de rutas a objetos. Cross Site Request Forgery (CSRF). Configuración defectuosa de seguridad 21
Seguridad Web Vulnerabilidades Web hoy en día: El Top 10 de vulnerabilidades de OWASP Almacenamiento criptográfico inseguro. Fallo en la ocultación de URLs de gestión. Comunicaciones por un canal inseguro. Redirecciones y reenvíos no validados. Versiones: 2004, 2007 y 2010 https://www.owasp.org/index.php/top_10_2010 22
Seguridad Web Procedimientos y técnicas Utilización de la herramienta adecuada para cada aplicación web. Metodología de auditoria. OWASP Testing. Web Application Penetration Checklist. OSSTMM. Chequear todos los resultados de las herramientas. Uso de herramientas para localización de URLs ocultas. Conocer en lo posible la aplicación. 23
Seguridad Web Procedimientos y técnicas Documentarse sobre las vulnerabilidades existentes. Uso de distintos patrones de los ataques XSS (Cross Site Scripting) Cheat Sheet - http://ha.ckers.org/xss.html Nmap Cheat Sheet - http://sbdtools.googlecode.com/files/nmap5%20cheatsheet%20esp%20v 1.pdf Captura de evidencias. No realizar denegaciones de Servicio. Uso de herramientas de aprendizaje como WebGoat o participación en concursos de hacking 24
Seguridad Web Vulnerabilidades más encontradas Vulnerabilidades de SQL inyection. Con obtención de usuarios y contraseñas. Incorrecto manejo de sesiones. Posibilidad de saltarse la autenticación y obtener una sesión privilegiada en la aplicación. Incorrecta configuración del servidor. Listado de directorios. Obtención de información sensible del servidor. Acceso a ficheros de logs. Versiones no actualizadas o con vulnerabilidades. Versiones de PHP, del gestor de contenidos, etc. 25
Herramientas de auditoría Web Aplicaciones comerciales Características comunes Propósito múltiple (no exclusivas por vulnerabilidad). Capacidad de auditoria ante cualquier tipo de aplicativo. Incorporan utilidades para pruebas manuales. Aspectos Configurables. Proporcionan abundante documentación. Suelen ser herramientas lentas. Tienen muchos falsos positivos. Un elevado precio. 26
Herramientas de auditoría Web Acunetix Web Vulnerability Scanner, IBM Rational Scan y HP WebInspect 27
Herramientas de auditoría Web Aplicaciones gratuitas Características comunes La mayoría son para un propósito especifico. Tienen limitaciones para algún tipo de aplicativo. Incorporan utilidades para pruebas manuales. Mayor capacidad de configuración. Proporcionan menos documentación. Suelen ser herramientas lentas. Tienen muchos falsos positivos. Son gratis. 28
Herramientas de auditoría Web WebScarab, Paros BurpSuit y w3af 29
Herramientas de auditoría Web Plataformas de aprendizaje: WEBGOAT https://www.owasp.org/index.php/proyecto_webgoat_owasp 30
Otras fuentes de información CONCURSOS Y RETOS Hack This Site http://www.hackthissite.org/ BadStore http://www.badstore.net/ 31
Servicios de INTECO 32
Servicios de INTECO-CERT Servicios de información Servicios de protección Servicios de formación Servicios de respuesta y soporte FORMACIÓN ON-LINE 33
Servicios de INTECO-CERT Toda la información en: Portal WEB de INTECO-CERT: http://cert.inteco.es Buzón de contacto: contacto@cert.inteco.es Buzón de incidentes: incidencias@cert.inteco.es Buzón de fraude electrónico: fraude@cert.inteco.es Buzón de asesoría legal: legal@cert.inteco.es Buzón de jornadas: jornadas@cert.inteco.es INTECO-CERT tiene vocación de servicio público sin ánimo de lucro y ofrece sus servicios de forma totalmente gratuita 34
Servicios de la OSI 35
Servicios de la OSI Toda la información en: Portal WEB de la Oficina de Seguridad del Internauta: http://www.osi.es Buzón de consultas: consultas@osi.es Soporte por Chat: www.osi.es/es/te-ayudamos/soporte-por-chat Teléfono: 901 111 121 La OSI tiene vocación de servicio público sin ánimo de lucro y ofrece sus servicios de forma totalmente gratuita 36
Muchas gracias Preguntas? 37