INTRODUCCIÓN A LA

SEGURIDAD EN

SISTEMAS Y WEBS

Marco A. Lozano Merino

Mayo 2012

2

Índice

1.Seguridad a nivel de usuario

1.Amenazas y protección

2.La realidad de la seguridad: hackers

3.Seguridad en redes y sistemas

1.La importancia de mantener los sistemas seguros

1. Contraseñas, acceso y el cifrado de datos

2.Las redes como vector de ataque

1. Cómo protegerlas

2. VPN’s, IDS e IPS

3.Herramientas para la auditoría de sistemas

3

Índice

4. Seguridad Web.

1. Introducción a la Seguridad Web.

2. OWASP.

3. Vulnerabilidades Web hoy en día.

4. Procedimientos y técnicas de auditoría Web.

5. Herramientas para auditorías web

6. Plataformas de aprendizaje

7. Otras fuentes de información (concursos y retos)

5. Servicios de seguridad de INTECO

1. INTECO-CERT

2. OSI (Oficina de Seguridad del Internauta)

4

Seguridad

a nivel de

usuario

5

Amenazas

Seguridad a nivel de usuario

Malware

SPAM

Fraude

Pérdida de privacidad

6

Cómo protegernos

Seguridad a nivel de usuario

Actualizaciones

Contraseñas

Navegación segura

Herramientas de

seguridad (antivirus,

cortafuegos, etc.)

Sentido común

7

Olvidar el 85% de lo que aparece en cine y TV

No tienen nada que ver con la realidad.

Ejemplos: Hackers (1995) , Operación Swordfish (2001) o la

jungla 4.0 (2007)

La realidad de la seguridad: hackers

8

El trabajo de un experto en seguridad requiere:

• Investigación y análisis

• Seguir una metodología

• Generar y emitir informes

• Reportar a la dirección

(gerencia de la empresa)

• Etc.

Qué es seguridad qué no es seguridad

9

Seguridad

en redes y

sistemas

10

Seguridad en redes y sistemas

Es la protección de:

Confidencialidad: Acceso a la información por perfiles adecuados

Integridad: Datos y sistemas fiables y sin alteración de la información

Disponibilidad: Datos y sistemas accesibles en todo momento

¿Información?Es un activo de información tangible o intangible que tiene valor

para los procesos de un negocio y actividad

Fuentes de

información

Tipo de

informaciónCiclo de vida

La importancia de mantener los sistemas seguros: la información

11

Seguridad en redes y sistemas

Contraseñas y acceso

• Primera línea de defensa

• Trata de evitar accesos no autorizados

• La barrera no es infranqueable

12

Seguridad en redes y sistemas

Cifrado de datos

• Otra línea de defensa

• Impide la lectura de información en caso de que el sistema

haya sido comprometido

• Puede aplicarse al sistema completo (inicio del sistema - más

seguro)

13

Seguridad en redes y sistemas

Las redes como vector de ataque

• El siguiente punto a proteger

• Existen multitud de ataques que se pueden perpetrar sobre

estas tecnologías

• La ausencia de seguridad implica la pérdida de disponibilidad

14

Seguridad en redes y sistemas

Las redes como vector de ataque: ¿Cómo protegerlas?

• Firewalls o cortafuegos

• Políticas de control de acceso

• WiFi…..Evitar implementarlas si se

desconoce cómo protegerlas

“de verdad”.

15

Seguridad en redes y sistemas

Las redes como vector de ataque: soluciones adicionales

• VPN’s

• IDS

• IPS

16

Seguridad en redes y sistemas

Herramientas para la auditoría de redes y sistemas

• Cain & Abel

• WireShark

• Metasploit FW

• Nmap

• Nessus

• AirCrack

• Snort

17

Seguridad WEB

18

Seguridad Web

Problemática de seguridad en las aplicaciones Web

Forman parte del perímetro de la empresa y organizaciones.

Desarrollos sin visión de la seguridad.

Aplicaciones cada vez más complejas y dinámicas.

Resulta “fácil” atacar una aplicación.

La seguridad en Internet no depende exclusivamente de la seguridad de

las redes, sino también de las aplicaciones que residen en ellas

La seguridad de las aplicaciones Web resulta muy importante y para

ello debemos auditarlas y asegurarnos de que no suponen un riesgo

para la organización ya que pueden ser un punto de entrada para

otros ataques.

Introducción a la seguridad Web

19

Seguridad Web

¿Qué es OWASP?

Fundación sin animo de lucro.

Creada en 2001.

Independiente de los fabricantes.

Formada por voluntarios.

Objetivos:

Promover la seguridad de las aplicaciones web.

Buscar las causas de la inseguridad.

Proporcionar soluciones a las amenazas.

Crear herramientas, documentación y estándares.

OWASP: Open Web Application Security Project

20

Seguridad Web

Vulnerabilidades Web: Vectores de ataque

Peticiones

Tipos de autenticación

Gestión de sesiones

Ataques de validación de entrada y salida

21

Seguridad Web

Vulnerabilidades Web hoy en día:

El Top 10 de vulnerabilidades de OWASP

Inyecciones de código.

Cross Site Scripting (XSS).

Robo de credenciales de sesión o de control de acceso

Manipulación de rutas a objetos.

Cross Site Request Forgery (CSRF).

Configuración defectuosa de seguridad

22

Seguridad Web

Vulnerabilidades Web hoy en día:

El Top 10 de vulnerabilidades de OWASP

Almacenamiento criptográfico inseguro.

Fallo en la ocultación de URLs de gestión.

Comunicaciones por un canal inseguro.

Redirecciones y reenvíos no validados.

Versiones: 2004, 2007 y 2010

https://www.owasp.org/index.php/Top_10_2010

23

Seguridad Web

Utilización de la herramienta adecuada para cada aplicación web.

Metodología de auditoria.

OWASP Testing.

Web Application Penetration Checklist.

OSSTMM.

Chequear todos los resultados de las herramientas.

Uso de herramientas para localización de URLs ocultas.

Conocer en lo posible la aplicación.

Procedimientos y técnicas

24

Seguridad Web

Documentarse sobre las vulnerabilidades existentes.

Uso de distintos patrones de los ataques

XSS (Cross Site Scripting) Cheat Sheet - http://ha.ckers.org/xss.html

Nmap Cheat Sheet -

http://sbdtools.googlecode.com/files/Nmap5%20cheatsheet%20esp%20v

1.pdf

Captura de evidencias.

No realizar denegaciones de Servicio.

Uso de herramientas de aprendizaje como WebGoat o participación en

concursos de hacking

Procedimientos y técnicas

25

Seguridad Web

Vulnerabilidades de SQL inyection.

Con obtención de usuarios y contraseñas.

Incorrecto manejo de sesiones.

• Posibilidad de saltarse la autenticación y obtener una sesión

privilegiada en la aplicación.

Incorrecta configuración del servidor.

Listado de directorios.

Obtención de información sensible del servidor.

Acceso a ficheros de logs.

Versiones no actualizadas o con vulnerabilidades.

Versiones de PHP, del gestor de contenidos, etc.

Vulnerabilidades más encontradas

26

Herramientas de auditoría Web

Propósito múltiple (no exclusivas por vulnerabilidad).

Capacidad de auditoria ante cualquier tipo de aplicativo.

Incorporan utilidades para pruebas manuales.

Aspectos Configurables.

Proporcionan abundante documentación.

Suelen ser herramientas lentas.

Tienen muchos falsos positivos.

Un elevado precio.

Aplicaciones comerciales

Características comunes

27

Herramientas de auditoría Web

Acunetix Web Vulnerability Scanner, IBM Rational Scan y HP WebInspect

28

Herramientas de auditoría Web

La mayoría son para un propósito especifico.

Tienen limitaciones para algún tipo de aplicativo.

Incorporan utilidades para pruebas manuales.

Mayor capacidad de configuración.

Proporcionan menos documentación.

Suelen ser herramientas lentas.

Tienen muchos falsos positivos.

Son gratis .

Aplicaciones gratuitas

Características comunes

29

Herramientas de auditoría Web

WebScarab, Paros BurpSuit y w3af

30

Herramientas de auditoría Web

Plataformas de aprendizaje: WEBGOAT

https://www.owasp.org/index.php/Proyecto_WebGoat_OWASP

31

Otras fuentes de información

CONCURSOS Y RETOS

Hack This Site

http://www.hackthissite.org/

BadStore

http://www.badstore.net/

32

Servicios

de INTECO

33

Servicios de información

Servicios de formación

Servicios de protección

Servicios de respuesta y soporte

FORMACIÓN ON-LINE

Servicios de INTECO-CERT

34

Servicios de INTECO-CERT

Portal WEB de INTECO-CERT:

http://cert.inteco.es

Buzón de contacto: contacto@cert.inteco.es

Buzón de incidentes: incidencias@cert.inteco.es

Buzón de fraude electrónico: fraude@cert.inteco.es

Buzón de asesoría legal: legal@cert.inteco.es

Buzón de jornadas: jornadas@cert.inteco.es

INTECO-CERT tiene vocación de servicio público sin ánimo de lucro y ofrece sus

servicios de forma totalmente gratuita

Toda la información en:

35

Servicios de la OSI

36

Servicios de la OSI

Portal WEB de la Oficina de Seguridad del Internauta:

http://www.osi.es

Buzón de consultas: consultas@osi.es

Soporte por Chat: www.osi.es/es/te-ayudamos/soporte-por-chat

Teléfono: 901 111 121

La OSI tiene vocación de servicio público sin ánimo de lucro y ofrece sus servicios

de forma totalmente gratuita

Toda la información en:

37

Muchas gracias

¿Preguntas?