introducciÓn a la seguridad en sistemas y webs · 2018-05-21 · 2 Índice 1.seguridad a nivel de...

37
INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012

Upload: others

Post on 10-Apr-2020

5 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

INTRODUCCIÓN A LA

SEGURIDAD EN

SISTEMAS Y WEBS

Marco A. Lozano Merino

Mayo 2012

Page 2: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

2

Índice

1.Seguridad a nivel de usuario

1.Amenazas y protección

2.La realidad de la seguridad: hackers

3.Seguridad en redes y sistemas

1.La importancia de mantener los sistemas seguros

1. Contraseñas, acceso y el cifrado de datos

2.Las redes como vector de ataque

1. Cómo protegerlas

2. VPN’s, IDS e IPS

3.Herramientas para la auditoría de sistemas

Page 3: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

3

Índice

4. Seguridad Web.

1. Introducción a la Seguridad Web.

2. OWASP.

3. Vulnerabilidades Web hoy en día.

4. Procedimientos y técnicas de auditoría Web.

5. Herramientas para auditorías web

6. Plataformas de aprendizaje

7. Otras fuentes de información (concursos y retos)

5. Servicios de seguridad de INTECO

1. INTECO-CERT

2. OSI (Oficina de Seguridad del Internauta)

Page 4: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

4

Seguridad

a nivel de

usuario

Page 5: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

5

Amenazas

Seguridad a nivel de usuario

Malware

SPAM

Fraude

Pérdida de privacidad

Page 6: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

6

Cómo protegernos

Seguridad a nivel de usuario

Actualizaciones

Contraseñas

Navegación segura

Herramientas de

seguridad (antivirus,

cortafuegos, etc.)

Sentido común

Page 7: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

7

Olvidar el 85% de lo que aparece en cine y TV

No tienen nada que ver con la realidad.

Ejemplos: Hackers (1995) , Operación Swordfish (2001) o la

jungla 4.0 (2007)

La realidad de la seguridad: hackers

Page 8: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

8

El trabajo de un experto en seguridad requiere:

• Investigación y análisis

• Seguir una metodología

• Generar y emitir informes

• Reportar a la dirección

(gerencia de la empresa)

• Etc.

Qué es seguridad qué no es seguridad

Page 9: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

9

Seguridad

en redes y

sistemas

Page 10: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

10

Seguridad en redes y sistemas

Es la protección de:

Confidencialidad: Acceso a la información por perfiles adecuados

Integridad: Datos y sistemas fiables y sin alteración de la información

Disponibilidad: Datos y sistemas accesibles en todo momento

¿Información?Es un activo de información tangible o intangible que tiene valor

para los procesos de un negocio y actividad

Fuentes de

información

Tipo de

informaciónCiclo de vida

La importancia de mantener los sistemas seguros: la información

Page 11: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

11

Seguridad en redes y sistemas

Contraseñas y acceso

• Primera línea de defensa

• Trata de evitar accesos no autorizados

• La barrera no es infranqueable

Page 12: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

12

Seguridad en redes y sistemas

Cifrado de datos

• Otra línea de defensa

• Impide la lectura de información en caso de que el sistema

haya sido comprometido

• Puede aplicarse al sistema completo (inicio del sistema - más

seguro)

Page 13: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

13

Seguridad en redes y sistemas

Las redes como vector de ataque

• El siguiente punto a proteger

• Existen multitud de ataques que se pueden perpetrar sobre

estas tecnologías

• La ausencia de seguridad implica la pérdida de disponibilidad

Page 14: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

14

Seguridad en redes y sistemas

Las redes como vector de ataque: ¿Cómo protegerlas?

• Firewalls o cortafuegos

• Políticas de control de acceso

• WiFi…..Evitar implementarlas si se

desconoce cómo protegerlas

“de verdad”.

Page 15: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

15

Seguridad en redes y sistemas

Las redes como vector de ataque: soluciones adicionales

• VPN’s

• IDS

• IPS

Page 16: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

16

Seguridad en redes y sistemas

Herramientas para la auditoría de redes y sistemas

• Cain & Abel

• WireShark

• Metasploit FW

• Nmap

• Nessus

• AirCrack

• Snort

Page 17: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

17

Seguridad WEB

Page 18: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

18

Seguridad Web

Problemática de seguridad en las aplicaciones Web

Forman parte del perímetro de la empresa y organizaciones.

Desarrollos sin visión de la seguridad.

Aplicaciones cada vez más complejas y dinámicas.

Resulta “fácil” atacar una aplicación.

La seguridad en Internet no depende exclusivamente de la seguridad de

las redes, sino también de las aplicaciones que residen en ellas

La seguridad de las aplicaciones Web resulta muy importante y para

ello debemos auditarlas y asegurarnos de que no suponen un riesgo

para la organización ya que pueden ser un punto de entrada para

otros ataques.

Introducción a la seguridad Web

Page 19: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

19

Seguridad Web

¿Qué es OWASP?

Fundación sin animo de lucro.

Creada en 2001.

Independiente de los fabricantes.

Formada por voluntarios.

Objetivos:

Promover la seguridad de las aplicaciones web.

Buscar las causas de la inseguridad.

Proporcionar soluciones a las amenazas.

Crear herramientas, documentación y estándares.

OWASP: Open Web Application Security Project

Page 20: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

20

Seguridad Web

Vulnerabilidades Web: Vectores de ataque

Peticiones

Tipos de autenticación

Gestión de sesiones

Ataques de validación de entrada y salida

Page 21: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

21

Seguridad Web

Vulnerabilidades Web hoy en día:

El Top 10 de vulnerabilidades de OWASP

Inyecciones de código.

Cross Site Scripting (XSS).

Robo de credenciales de sesión o de control de acceso

Manipulación de rutas a objetos.

Cross Site Request Forgery (CSRF).

Configuración defectuosa de seguridad

Page 22: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

22

Seguridad Web

Vulnerabilidades Web hoy en día:

El Top 10 de vulnerabilidades de OWASP

Almacenamiento criptográfico inseguro.

Fallo en la ocultación de URLs de gestión.

Comunicaciones por un canal inseguro.

Redirecciones y reenvíos no validados.

Versiones: 2004, 2007 y 2010

https://www.owasp.org/index.php/Top_10_2010

Page 23: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

23

Seguridad Web

Utilización de la herramienta adecuada para cada aplicación web.

Metodología de auditoria.

OWASP Testing.

Web Application Penetration Checklist.

OSSTMM.

Chequear todos los resultados de las herramientas.

Uso de herramientas para localización de URLs ocultas.

Conocer en lo posible la aplicación.

Procedimientos y técnicas

Page 24: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

24

Seguridad Web

Documentarse sobre las vulnerabilidades existentes.

Uso de distintos patrones de los ataques

XSS (Cross Site Scripting) Cheat Sheet - http://ha.ckers.org/xss.html

Nmap Cheat Sheet -

http://sbdtools.googlecode.com/files/Nmap5%20cheatsheet%20esp%20v

1.pdf

Captura de evidencias.

No realizar denegaciones de Servicio.

Uso de herramientas de aprendizaje como WebGoat o participación en

concursos de hacking

Procedimientos y técnicas

Page 25: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

25

Seguridad Web

Vulnerabilidades de SQL inyection.

Con obtención de usuarios y contraseñas.

Incorrecto manejo de sesiones.

• Posibilidad de saltarse la autenticación y obtener una sesión

privilegiada en la aplicación.

Incorrecta configuración del servidor.

Listado de directorios.

Obtención de información sensible del servidor.

Acceso a ficheros de logs.

Versiones no actualizadas o con vulnerabilidades.

Versiones de PHP, del gestor de contenidos, etc.

Vulnerabilidades más encontradas

Page 26: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

26

Herramientas de auditoría Web

Propósito múltiple (no exclusivas por vulnerabilidad).

Capacidad de auditoria ante cualquier tipo de aplicativo.

Incorporan utilidades para pruebas manuales.

Aspectos Configurables.

Proporcionan abundante documentación.

Suelen ser herramientas lentas.

Tienen muchos falsos positivos.

Un elevado precio.

Aplicaciones comerciales

Características comunes

Page 27: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

27

Herramientas de auditoría Web

Acunetix Web Vulnerability Scanner, IBM Rational Scan y HP WebInspect

Page 28: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

28

Herramientas de auditoría Web

La mayoría son para un propósito especifico.

Tienen limitaciones para algún tipo de aplicativo.

Incorporan utilidades para pruebas manuales.

Mayor capacidad de configuración.

Proporcionan menos documentación.

Suelen ser herramientas lentas.

Tienen muchos falsos positivos.

Son gratis .

Aplicaciones gratuitas

Características comunes

Page 29: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

29

Herramientas de auditoría Web

WebScarab, Paros BurpSuit y w3af

Page 30: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

30

Herramientas de auditoría Web

Plataformas de aprendizaje: WEBGOAT

https://www.owasp.org/index.php/Proyecto_WebGoat_OWASP

Page 31: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

31

Otras fuentes de información

CONCURSOS Y RETOS

Hack This Site

http://www.hackthissite.org/

BadStore

http://www.badstore.net/

Page 32: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

32

Servicios

de INTECO

Page 33: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

33

Servicios de información

Servicios de formación

Servicios de protección

Servicios de respuesta y soporte

FORMACIÓN ON-LINE

Servicios de INTECO-CERT

Page 34: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

34

Servicios de INTECO-CERT

Portal WEB de INTECO-CERT:

http://cert.inteco.es

Buzón de contacto: [email protected]

Buzón de incidentes: [email protected]

Buzón de fraude electrónico: [email protected]

Buzón de asesoría legal: [email protected]

Buzón de jornadas: [email protected]

INTECO-CERT tiene vocación de servicio público sin ánimo de lucro y ofrece sus

servicios de forma totalmente gratuita

Toda la información en:

Page 35: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

35

Servicios de la OSI

Page 36: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

36

Servicios de la OSI

Portal WEB de la Oficina de Seguridad del Internauta:

http://www.osi.es

Buzón de consultas: [email protected]

Soporte por Chat: www.osi.es/es/te-ayudamos/soporte-por-chat

Teléfono: 901 111 121

La OSI tiene vocación de servicio público sin ánimo de lucro y ofrece sus servicios

de forma totalmente gratuita

Toda la información en:

Page 37: INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS · 2018-05-21 · 2 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad

37

Muchas gracias

¿Preguntas?