Exposicion univ simon_bolivar
25
1 SEGURIDAD INFORMATICA: Aplicaciones en la Red Ing. Jorge Trujillo Ramirez Consultor de Seguridad Informática
-
Upload
grupo-educativo-cepea -
Category
Documents
-
view
10.125 -
download
0
Transcript of Exposicion univ simon_bolivar
1
SEGURIDAD INFORMATICA:
Aplicaciones en la Red
Ing. Jorge Trujillo Ramirez
Consultor de Seguridad Informática
2
LOS CASOS DEL CIBERCRIMENLOS CASOS DEL CIBERCRIMEN
Muchas empresas luchan por su cuenta contra los ataques 85% de los ataques demoran entre 2 semenas o meses en ser descubiertos
3
INTRODUCCION
a) Cuando se habla de la seguridad en aplicaciones Web normalmente, no se habla de las vulnerabilidades de los sistemas operativos o servidores Web.
b) A menudo, se habla de las vulnerabilidades del propio software y/o aplicaciones desarrolladas por la empresa o por un tercero.
c) La seguridad en las aplicaciones Web se encuentran ligadas, exclusivamente, con la lógica, código fuente y contenido de una aplicación.
4
d) Las vulnerabilidades que afectan a las aplicaciones Web pueden ser explotadas en distintas plataformas, en contraste de lo que ocurre con otros tipos de vulnerabilidades dependientes de la plataforma donde estos se ejecutan o corren.
5
e) Tipos de Aplicaciones:
- Web Site Público (información destinada al público)
- Intranet (ERP/CRM/Productividad)
- Extranet (Productividad/B2B/B2C)
6
VULNERABILIDAD WEB
a) Para proteger exitosamente una aplicación Web es necesario conocer los tipos de ataques existentes y la vulnerabilidad que éstos explotan para entender sus posibles variaciones.
b) SecurityFocus, organización dedicada a la seguridad informática, analizó 60,000 incidentes de seguridad en aplicaciones Web ocurridos durante el 2011.
c) Se determinó que los ataques hacia aplicaciones Web más utilizados aprovechan las vulnerabilidades de las seguridad publicadas y/o conocidas.
7
VULNERABILIDAD WEB
d) Zone-h contabiliza 2.500 intrusiones Web con éxito cada día en 2011.
e) Se atacan todas las tecnologíasf) Los ataques se han escalado desde el sistema
operativo a la aplicación.g) Ataques no masivos.h) Motivos:
– Económicos– Venganza– Reto– Just For Fun
8
VULNERABILIDAD WEB
i) Hoy no se registran nuevos tipos de vulnerabilidades tan sólo variaciones de las conocidas. Normalmente, los ataques se realizan en la capa de aplicación por los puertos (80 y 443)
j) Esto es confirmado por organizaciones internacionales comprometidas con la seguridad Web:
- OWASP www.owasp.org- WebAppSec www.webappsec.org
9
VULNERABILIDAD WEB
http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
OWASP TOP TEN
10
TIPOS DE ATAQUE
Cross Site Scripting (XSS)XSS ocurre cuando portales web de contenido dinámico muestran variables de entrada suplidas por el usuario sin una propia validación. Esta vulnerabilidad permite a un atacante la inyección de código que será ejecutado por el navegador Web de la persona que visualiza la página, (la víctima)
http://www.xssed.org/
11
TIPOS DE ATAQUE
Manipulación del PathLa manipulación de path (Path Trasversal) afecta a
aplicaciones que toman entrada de los usuarios y la utilizan en un path para acceder al sistema de
archivos. Si el atacante ingresa caracteres especiales que modifican el path la aplicación, podrá permitir el
acceso no autorizado a recursos del sistema.
12
TIPOS DE ATAQUE
Manipulación del Pathwww.sitio.com/imprimir.php?file=archivo1.txt
www.sitio.com/imprimir.php?file=../../etc/passwdwww.sitio.com/imprimir.php?file=../../scripts/db.inc
13
APLICACIONES : WEBGOAT
Aplicación Web, deliberadamente, creada para ser insegura basada en J2EE y desarrollada por OWASP.
Actualmente existen más de 30 lecciones que incluyen vulnerabilidades comoXSS, Control de Accesos, SQL Injection, Cookies débiles y Manipulación de Parámetros.
14
APLICACIÓN: DAMN VULNERABLE WEB
Es una aplicación (PHP/MySQL) de entrenamiento en seguridad Web que se destaca por ser de liviano peso.
Permite entrenamiento en seguridad Web en SQL Injection, XSS (Cross Site Scripting), LFI (Local File Inclusion), RFI (Remote File Inclusion), Command
Execution, Upload Script y Login Brute Force.
15
MAN-IN-THE-MIDDLE
Es un ataque activo en el cual un sujeto intercepta y modifica los mensajes transmitidos entre dos computadores, este tipo de ataque puede ser mitigado con firmar digitales y números de secuencia.
TIPOS DE ATAQUESTIPOS DE ATAQUES
16
SNIFFING
Es un tipo de ataque que consiste en interceptar y acceder a los datos y otra información contenida en un flujo de una sistema de comunicación.
Es un ataque pasivo donde un intruso monitorea la red, utilizando dispositivos o programas que le permiten ver los datos que viajan a través de la red, con la intención de obtener información de la víctima para, posteriormente, realizar un ataque. Una contramedida para este tipo de ataques es encriptación de los datos transmitidos.
TIPOS DE ATAQUETIPOS DE ATAQUE
17
FUERZA BRUTAEs una manera de intentar acceder a un sistema de manera exhaustiva. Existen distintos sub-tipos de ataque:
DICCIONARIOSe intenta acceder mediante la utilización de una lista de palabras de diccionario más otras palabras relacionadas con la persona y empresa.
WAR DIALINGMétodo donde el atacante apoyado de un programa, marca una gran cantidad de números telefónicos con el objetivo de encontrar uno en donde exista un modem en lugar de un teléfono. Estos módems pueden proveer fácil acceso. Una contramedida para este tipo de ataques es no publicar los números y limitar el acceso a módems.
TIPOS DE ATAQUESTIPOS DE ATAQUES
18
DENEGACIÓN DE SERVICIOS (DOS)
Tipo de ataque en el cual un atacante deja degradado o inoperante un sistema, algunos ejemplos son:
–Ping de la muerte
–Smurf Attack
–Scannig
TIPOS DE ATAQUETIPOS DE ATAQUE
19
SPOOFING
Este tipo de ataques (sobre protolocos) suele implicar un buen conocimiento del protocolo en el que se va a basar el ataque. Los ataques tipo Spoofing bastante conocidos son el IP Spoofing, el DNS Spoofing y el Web Spoofing IP Spoofing
Con el IP Spoofing, el atacante genera paquetes de Internet con una dirección de red falsa en el campo From, pero que es aceptada por el destinatario del paquete. Su utilización más común es enviar los paquetes con la dirección de un tercero, de forma que la víctima "ve" un ataque proveniente de esa tercera red, y no la dirección real del intruso.
Prevención y detección de ataques. Prevención y detección de ataques.
20
WEB SPOOFING
En el caso Web Spoofing el atacante crea un sitio web completo (falso) similar al que la víctima desea entrar. Los accesos a este sitio están dirigidos por el atacante, permitiéndole monitorizar todas las acciones de la víctima, desde sus datos hasta las passwords, números de tarjeta de créditos, etc. El atacante también es libre de modificar cualquier dato que se esté transmitiendo entre el servidor original y la víctima o viceversa.
TIPOS DE ATAQUESTIPOS DE ATAQUES
21
IP SPLICING-HIJACKING
Se produce cuando un atacante consigue interceptar una sesión ya establecida. El atacante espera a que la victima se identifique ante el sistema y tras ello le suplanta como usuario autorizado.
TIPOS DE ATAQUESTIPOS DE ATAQUES
22
Herramientas disponibles:
Prevención y detección de ataques. Prevención y detección de ataques.
23
DEMOSTRACION
–CASO I : Servidor de Correo
–CASO II: Algo extraño en la Red
24
Los problemas de seguridad de las redes pueden dividirse de forma general en cuatro áreas interrelacionadas:
El secreto, encargado de mantener la información fuera de las manos de usuarios no autorizados.
La validación de identificación, encargada de determinar la identidad de la persona/computadora con la que se esta hablando.
El control de integridad, encargado de asegurar que el mensaje recibido fue el enviado por la otra parte y no un mensaje manipulado por un tercero.
El no repudio, encargado de asegurar la “firma” de los mensajes, de igual forma que se firma en papel una petición de compra/venta entre empresas.
CORRECIONESCORRECIONES
25
MUCHAS GRACIAS
