Académique Documents
Professionnel Documents
Culture Documents
raul@raulsiles.com
Ponente
Ral Siles GSE Consultor de seguridad independiente Miembro del Honeynet Project (SHP)
www.honeynet.org
ndice
Evolucin de las amenazas e incidentes en Internet
Papel de los servidores y aplicaciones Web en los ataques a usuarios finales
Servidores
Firewalls
Firewalls personales
Mltiples servicios:
DNS, FTP, RPCs Web: defacements
Hoy en da
Clientes The Wild Wide West (WWW) Ataques va Web Servidores Web
$$$$$$$$$ y !
6
Drive-by downloads
Software (malware) descargado desde el ordenador sin la intervencin o el conocimiento del usuario Simplemente por visitar una pgina Web
Sin pulsar explcitamente en un enlace
Explota vulnerabilidades en el navegador o sus extensiones, software asociado (Adobe Reader, Flash), software cliente, o el SO (y libreras)
Situacin en los ltimos 6 meses?
Seguridad en aplicaciones Web 2008 Ral Siles - www.raulsiles.com
7
Drive-By
Adobe Reader Quick Time Java MS Office Adobe Flash Navegador
Firefox, IE, Safari, etc
HTTP es un protocolo complejo que permite procesar datos del usuario Web 2.0: + complejidad Tcnicas de ataque sencillas Anonimato de Internet (proxies annimos) Cdigo propietario y (probablemente) no verificado En busca de dinero! (E-commerce) Cambio constante del cdigo, versiones? Cul es la versin actual de tu aplicacin Web? 2.9.905?
Seguridad en aplicaciones Web 2008 Ral Siles - www.raulsiles.com
10
11
Vulnerabilidades Web
12
OWASP Top 10
A1 Cross Site Scripting (XSS) A2 Ataques de inyeccin A3 Ejecucin de ficheros y cdigo malicioso A4 Referencias directas a objetos inseguras A5 Cross Site Request Forgery (CSRF) A6 Filtrado de informacin y gestin incorrecta de errores A7 Autentificacin y gestin de sesiones A8 Almacenamiento criptogrfico inseguro A9 Comunicaciones inseguras A10 Fallo al restringir el acceso a URLs 2008: Cross-Site lo que sea
Seguridad en aplicaciones Web 2008 Ral Siles - www.raulsiles.com
14
SANS Top 20
Riesgos de seguridad (2007) Vulnerabilidades en servidores
S.1 Aplicaciones Web Vuln. en aplicaciones Web comerciales u open-source Aplicaciones propietarias?
http://www.sans.org/top20/
15
Exploits Web
16
18
Servidores Web comprometidos Servidores de Web hosting compartido Servidores Web publicando contenido malicioso de 3s
Anuncios (Ads), contadores; relaciones entre compaas
http://www.zone-h.org
Seguridad en aplicaciones Web 2008 Ral Siles - www.raulsiles.com
20
Vulnerabilidad:
Inyeccin SQL en Dreamweaver Ausencia de validacin de entrada en el cdigo vulnerable (segn cada aplicacin Web) Contenidos de la Web almacenados en BD
Exploits:
MS06-014 (MDAC) y MS07-004 (VML) Instalacin de keylogger/backdoor: w1c.exe (WoW)
http://www.websense.com/securitylabs/alerts/alert.php?AlertID=733 Seguridad en aplicaciones Web 2008 Ral Siles - www.raulsiles.com
21
Insercin de Javascript/HTML en la versin mvil para atacar a los usuarios del portal
Cuando se arregle, qu pasa con los perfiles ya contaminados?
Seguridad en aplicaciones Web 2008 Ral Siles - www.raulsiles.com
23
Restaurar la base de datos, backup? La Web maliciosa explota una vulnerabilidad en Real Player para la que no hay parche:
http://isc.sans.org/diary.html?storyid=3810
Seguridad en aplicaciones Web 2008 Ral Siles - www.raulsiles.com
25
Para todas las tablas de usuario (U), buscar las columnas de tipo VARCHAR y hacer un UPDATE de la fila, aadiendo <script></script> http://isc.sans.org/diary.html?storyid=3823
26
Se contratan traductores: Razn aqu! ltima semana febrero 08: IberCaja La Caixa Openbank Cajamadrid Santander
http://211.35.49.230
http://0xd3.0x23.0x31e6/.clientes.ibercaja.es/Login_asp.htm
Seguridad en aplicaciones Web 2008 Ral Siles - www.raulsiles.com
27
28
http://www.bankofamerica.com/global/ mvc_objects/images/bmhd_logo.gif
DETECCI DETECCIN!
Credenciales: keyloggers
Defacements clsicos vs. Defacements silenciosos (~ malware)
Seguridad en aplicaciones Web 2008 Ral Siles - www.raulsiles.com
31
XSSed
El siguiente objetivo
Dispositivos embebidos
34
3
Ejecucin de la accin en la Web del dispositivo (Ej.-cambio de configuracin)
Internet
Atacante
36
Dispositivo embebido
5
Ejecucin de la accin en la Web del dispositivo (Ej.-cambio de configuracin)
Generacin y publicacin del cdigo malicioso (peticin al dispositivo embebido)
4
Usuario / Admin
LAN
3
Acceso a URL maliciosa que contiene la referencia a la Web del dispositivo y los parmetros adecuados
1
Internet Servidor Web malicioso
37
Cambiar la clave del dispositivo, deshabilitar seguridad WiFi, modificar el firewall, etc
http://securityvulns.com/Rdocument808.html
Seguridad en aplicaciones Web 2008 Ral Siles - www.raulsiles.com
38
Mltiples vulnerabilidades:
Ej.- XSS en la lista de contactos Convertir el dispositivo en un bug o escucha: llamada al atacante silenciosa (sonido ambiente)
Hoy y en el futuro
Clientes y disp. embebidos Ataques va Web Servidores Web
Firewalls
Ataques dirigidos
$$$$$$$$$ y !
Seguridad en aplicaciones Web 2008 Ral Siles - www.raulsiles.com
42
UCLM
44
45
y desarrolladores
(roles)
Vulnerabilidades y amenazas Tipos de ataques Mecanismos de defensa Cdigo seguro Ejemplos prcticos!
Seguridad como elemento clave en el ciclo de vida de desarrollo de SW El conocimiento es poder! y la unin hace la fuerza!
http://radajo.blogspot.com/2007/04/writing-secure-code-root-cause-of.html Seguridad en aplicaciones Web 2008 Ral Siles - www.raulsiles.com
47
Web Application Security Scanners (WASS) Web Application Firewalls (WAF) Auditoras de seguridad
Caja negra: prueba de intrusin Caja blanca: revisin de cdigo
Externalizar la seguridad de
S A Arquitectura
Formacin Formacin
D A D
S S
WAF WAF
A S
UCLM
51
Referencias
Web 2.0 Hacking
http://www.gnucitizen.org/blog/for-my-next-trick-hacking-web20
III OWASP Spain Chapter Meeting: "Amenazas e incidentes de seguridad en entornos Web: realidad o ficcin - Raul Siles (14-03-2008)
http://www.owasp.org/index.php/Spain
Referencias (2)
Libro "Linksys WRT54G Ultimate Hacking (http://wrt54ghacks.com) Insecure Magazine N 14
http://insecuremag.com
GNUCitizen: www.gnucitizen.org
http://www.gnucitizen.org/blog/security-and-hacking-scenein-london/
Drive-By Pharming
http://www.symantec.com/avcenter/reference/Driveby_Phar ming.pdf Seguridad en aplicaciones Web 2008 Ral Siles - www.raulsiles.com
53
www.raulsiles.com
Muchas gracias!!
Raul Siles www.raulsiles.com raul@raulsiles.com
Seguridad en aplicaciones Web 2008 Ral Siles www.raulsiles.com
54