INTRODUCCIN.

LA CONSECUENCIA DIRECTA, EN LO QUE A SEGURIDAD SE REFIERE, ES LA NO TOMA DE CONCIENCIA DE LAS VULNERABILIDADES INHERENTES A NIVEL TCNICO QUE CONVIVEN CON LAS APLICACIONES WEB. LAS IMPLICANCIAS DIRECTAS VAN DESDE LAS PRDIDAS ECONMICAS,DE IMAGEN, DE CLIENTES, DE CONFIANZA, ETC../ LA SEGURIDAD, EN INFORMTICA COMO EN OTRAS REAS, SE BASA EN LA PROTECCIN DE ACTIVOS. ESTOS ACTIVOS PUEDEN SER ELEMENTOS TAN TANGIBLES COMO UN SERVIDOR O UNA BASE DEDATOS,OPUEDENSERLA REPUTACINDE UNAEMPRESA. QU ESLASEGURIDAD? LA SEGURIDAD ES UNA MEDIDA, NO UNA CARACTERSTICA / LA SEGURIDAD ES DIFCIL DE MEDIRSE, NO TIENE UNIDADES. / TAMBIN ES UN PROBLEMA QUE EST CRECIENDO Y QUE REQUIERE UNA CONTINUA SOLUCIN EVOLUTIVA / LA SEGURIDAD DEBE DE SER CONSIDERADA TODO EL TIEMPO (ESPECIFICACIONES INICIALES, IMPLEMENTACIN, PRUEBAS Y DURANTEEL MANTENIMIENTO) SEPUEDENTENERATAQUES ENTRESNIVELES: 1) SEGURIDAD DE LA COMPUTADORA DEL USUARIO.- LOS USUARIOS DEBEN CONTAR CON NAVEGADORES Y PLATAFORMAS SEGURAS, LIBRES DE VIRUS Y VULNERABILIDADES. TAMBIN DEBE GARANTIZARSE LA PRIVACIDAD DELOSDATOSDEL USUARIO. RECOMENDACIN: ASEGURAR EL EQUIPO DEL USUARIO.- VULNERAR EL EQUIPO DEL USUARIO QUIZS NO TENGA EL IMPACTO DE VULNERAR EL SERVIDOR, SIN EMBARGO ES UN PROBLEMA MS DIFCIL DE ERRADICAR (1 SERVIDOR, 5000 CLIENTES): APLICAR ACTUALIZACIONES (PARCHES) AL SISTEMA OPERATIVO; USO DE ANTIVIRUS, FIREWALLS PERSONALES Y LA EDUCACIN DE LOS USUARIOS. 2) SEGURIDAD DEL SERVIDOR WEB Y DE LOS DATOS ALMACENADOS AH.- SE DEBE GARANTIZAR LA OPERACIN CONTINUA DEL SERVIDOR, QUE LOS DATOS NO SEAN MODIFICADOS SIN AUTORIZACIN (INTEGRIDAD) Y QUE LA INFORMACIN SLO SEA DISTRIBUIDA A LAS PERSONAS AUTORIZADAS (CONTROLDEACCESO). RECOMENDACIN: ASEGURAR EL SERVIDOR EN UNA FORMA FUNDAMENTAL: EL SISTEMA OPERATIVO, YA SEA POR MEDIO DE ACTUALIZACIONES (PARCHES) Y HABILITANDO LOS MECANISMOS PROPIOS DE LA PLATAFORMA/ -GARANTIZAR LA SEGURIDAD DEL SERVIDOR WEB PROPIAMENTE (IIS, APACHE, ETC.) /-AUDITAR LAS APLICACIONES QUE INTERACTAN EN LAS DOS CAPASANTERIORES(MDULOS,BIBLIOTECAS). 3) SEGURIDAD DE LA INFORMACIN QUE VIAJA ENTRE EL SERVIDOR WEB Y EL USUARIO.- GARANTIZAR QUE LA INFORMACIN EN TRNSITO NO SEA LEDA (CONFIDENCIALIDAD), MODIFICADA O DESTRUIDA POR TERCEROS/ ASEGURAR QUE EL ENLACE ENTRE CLIENTE Y SERVIDOR NO PUEDA INTERRUMPIRSE FCILMENTE (DISPONIBILIDAD). RECOMENDACIN: ASEGURAR LA INFORMACIN EN TRNSITO.- ESTO SE PUEDE LOGRAR POR DIVERSOS MEDIOS: ASEGURANDO LA RED FSICAMENTE (SWITCHES EN LUGAR DE HUBS); ESCONDER LA INFORMACIN (ESTEGANOGRAFA); CIFRAR LA INFORMACIN (CRIPTOGRAFA) POR MEDIO DE ALGORITMOS DIVERSOS (SSL, VPNS). /////DESARROLLO DE UN ATAQUE A UNA WEB: CONFIGURACION DE LA APLICACIN WEB, APLICACIN WEB HACKING, AMENAZAS DE APLICACIONES WEB, DESARROLLO DE UN ATAQUE, MEDIDAS DE DEFENSA, HERRAMIENTAS DE HACKING DE APLICACIONES WEB.

GENERALMENTE PODEMOS EVALUAR LA SEGURIDAD DE UN ACTIVO EN BASE A TRES ASPECTOS PRINCIPALES QUE NO NECESITAN EXPLICACIN: INTEGRIDAD, DISPONIBILIDAD, CONFIDENCIALIDAD. ESTOS TRES ASPECTOS A SU VEZ DEPENDEN DE OTROS TRES ELEMENTOS PRINCIPALES QUE ENGLOBAN PRCTICAMENTE TODOS LOS DISTINTOS CONTROLES QUE SE PUEDEN ESTABLECERENUNSISTEMAINFORMTICO: AUTENTICACIN:LOS CLIENTES DE NUESTRAS APLICACIONES O SERVICIOS DEBEN SER IDENTIFICADOS DE FORMA NICA, SEAN USUARIOS FINALES, OTROS SERVICIOS O COMPUTADORAS EXTERNAS. AUTORIZACIN: UN NIVEL DE AUTORIZACIN DADO DETERMINA QU TIPO DE OPERACIONES O TRANSACCIONES PUEDE EFECTUAR UN CLIENTEDADO SOBRE UN RECURSO DADO. REGISTRO Y AUDITORIA: LUEGO DE EFECTUADA UNA OPERACIN, ES IMPORTANTE QUE ESTA SEA REGISTRADA ADECUADAMENTE, EN PARTICULAR ES ESENCIAL SI QUEREMOS EVITAR EL REPUDIO DE TRANSACCIONES EFECTUADA POR UN CLIENTE. NOS ENFOCAREMOS PRINCIPALMENTE EN LAS EXTERNAS, POR SER (GENERALMENTE)LAS MSPELIGROSASEIMPREDECIBLES. ES SABIDO POR OTRO LADO QUE LAS APLICACIONES MS ROBUSTAS Y RESISTENTES A ATAQUES SON AQUELLAS EN LAS CUALES LAS CUESTIONES DE SEGURIDAD FUERON CONSIDERADAS DESDE LAS PRIMERAS ETAPAS DEL DESARROLLO. NECESIDADES DE SEGURIDAD EN UNA APLICACIN WEB: QUE EXISTA UN AMBIENTE SEGURO/ HAY QUE DARLE VALOR A LA PRIVACIDAD/ HAY QUE DARLE MS VALOR A LA INFORMACIN DE LOS CLIENTES/ DEBEMOS RECORDAR, SON LOS USUARIOS LOS QUE HARN USO DEL SISTEMA/ HAY QUE HACER LA EXPERIENCIA DEL USUARIO SEGURA Y MEJORADA/ LOS USUARIOS PUEDEN SER BUENOS, PERO TAMBIN PUEDEN SER MALOS. SEGURIDADENELAMBIENTE ASPECTOS A CONSIDERAR: QUIN DEBE DE TENER ACCESO FSICO A LOS SERVIDORES?/ QUIN DEBE DE TENER ACCESO MEDIANTE SHELL?/ PODR EL SERVIDOR WEB ESCRIBIR EN EL SISTEMA DE ARCHIVOS?/ ES NECESARIO TENER LENGUAJES DE PROGRAMACIN O SERVICIOS ADICIONALES EN EL SERVIDOR?/ LOS SERVICIOS DE PUEDEN DIVIDIR EN VARIOS SERVIDORES? BLOQUEOS BSICOS EN EL SO: APAGAR SERVICIOS SIN USO/ ACTUALIZAR LOS COMPONENTES DEL SISTEMA, /USAR LOS ARCHIVOS DE CONFIGURACIONES RECOMENDADA S/HABILITAR UN ANALIZADOR DE LOGS (BITCORAS) /HABILITAR UN ANALIZADOR DE INTEGRIDAD DEL SISTEMA/CONFIGURAR UN FIREWALL LOCAL CON LOS PUERTOS ESTRICTAMENTE NECESARIOS(WEB:80,443). EVOLUCIN DEL DESARROLLO DE APLICACIONES WEB: INFORMATIVOS Y CONTENIDO ESTTICO (HTML ESTTICO) / DHTML (D DE DINMICO), QUE INCLUYE LA POSIBILIDAD DE INCLUIR COMPORTAMIENTO DINMICO EN LA PGINA. EJEMPLO: MENS, HOJAS DE ESTILO / LENGUAJES DE PROGRAMACIN DEL LADO DEL CLIENTE COMO JAVASCRIPT, VBSCRIPT, APPLETS (JAVA)/ INCORPORACIN DE MULTIMEDIA (FLASH, SILVERLIGTH)/ LENGUAJES DE PROGRAMACIN DEL LADO DEL SERVIDOR (TECNOLOGA CGI) / LENGUAJES DE PROGRAMACIN DEL LADO DEL SERVIDOR DE SIGUIENTE GENERACIN (ASP, PHP, JSP, ETC.) / DESARROLLO DE TECNOLOGA PARA LA SEGURIDAD (USO DE CLAVES, ENCRIPTACIN) / APLICACIONES EN WEB COMO COMERCIO ELECTRNICO./ E-GOVERNMENT, E-PROCUREMENT, INTERNETBANKING,ETC./SERVICIOSWEB. MITOS SOBRELASEGURIDADWEB EL USUARIO SOLAMENTE ENVIAR ENTRADAS ESPERADAS HTML ADMITE EL USO DE TAGS QUE MANIPULAN LA ENTRADAS A

LA APLICACIN, POR EJEMPLO SI LA APLICACIN UTILIZA CAMPOS OCULTOS PARA ENVIAR INFORMACIN SENSIBLE ESTOS PUEDEN SER FCILMENTE MANIPULADOS DESDE EL CLIENTE. LA VALIDACIN SE PUEDE REALIZARSE NICAMENTE DEL LADO DEL CLIENTE CON JAVASCRIPT - SI NO SE EFECTA NINGUNA VALIDACIN DEL LADO DEL SERVIDOR, CUALQUIER ATACANTE QUE EVITE ESTA VALIDACIN (PARA NADA DIFCIL DE LOGRAR) TENDRACCESO TOTALA TODALAAPLICACIN. EL USO DE FIREWALLS ES SUFICIENTE - COMO EXPLICAMOS ANTERIORMENTE, SI EL FIREWALL TIENE QUE HABILITAR LOS PUERTOS 80 Y/O 443 PARA QUE LA APLICACIN SEA ACCESIBLE AL EXTERIOR, NO PODR HACER NADA PARA DETECTAR ENTRADAS MALICIOSAS DEL CLIENTE, Y POR SUPUESTO NO ES PROTECCIN CONTRAATAQUESINTERNOS. EL USO DE SSL ES UNA SOLUCIN SUFICIENTE - SSL SIMPLEMENTE CUBRE EL REQUEST/RESPONSE HTTP DIFICULTANDO LA INTERCEPCIN DEL TRFICO ENTRE CLIENTE Y SERVIDOR, PERO NO AGREGA SEGURIDAD AL SERVIDOR NI EVITA ELENVO DE CDIGOMALICIOSODESDEELCLIENTE. AMENAZASCOMUNES LOS MLTIPLES ATAQUES EXTERNOS A LOS QUE PUEDE ESTAR EXPUESTO UN SITIO WEB SON USUALMENTE CLASIFICADOS EN 6 CATEGORAS PRINCIPALES. AUTENTICACIN: SON LAS QUE EXPLOTAN EL MTODO DE VALIDACIN DE LA IDENTIDAD DE UN USUARIO, SERVICIO O APLICACIN; FUERZA BRUTA; AUTENTICACIN INSUFICIENTEM DBIL VALIDACIN DE RECUPERACIN DE PASSWORD / AUTORIZACIN: EXPLOTAN EL MECANISMO DE UN SITIO WEB DE DETERMINAR SI UN USUARIO O SERVICIO TIENE LOS PERMISOS NECESARIOS PARA EJECUTAR UNA ACCIN: PREDICCIN DE CREDENCIALES O SESIN; AUTORIZACIN INSUFICIENTE; EXPIRACIN DE SESIN INSUFICIENTE; FIJADO DE SESION. ATAQUES LGICOS: EXPLOTAN LA LGICA DE LA APLICACIN (EL FLUJO PROCEDURAL UTILIZADO POR LA APLICACIN PARA EFECTUAR CIERTA ACCIN: ABUSO DE FUNCIONALIDAD; DENIAL OF SERVICE; INSUFICIENTE ANTI-AUTOMATISMO; INSUFICIENTE VALIDACIN DE PROCESOS; MANIPULACIN DE ENTRADAS (URL, CAMPOS). ATAQUES AL CLIENTE: ATACAN AL USUARIO DE LA APLICACIN: CONTENT SPOOFING; CROSS-SITE SCRIPTING. EJECUCIN DE COMANDOS: ATAQUES DISEADOS PARA EJECUTAR COMANDOS REMOTOS EN EL SERVIDOR.: BUFFER OVERFLOW;FORMAT STRING; LDAP INJECTION; EJECUCIN DE COMANDOS (OS COMMANDING); SQL INJECTION; SSI INJECTION; XPATH INJECTION ROBO DE INFORMACIN: ATAQUES QUE APUNTAN A ADQUIRIR INFORMACIN ESPECFICA SOBRE EL SITIO WEB: INDEXADO DE DIRECTORIO; CAMINOS TRANSVERSALES; PREDICCIN DE UBICACIN DE RECURSOS; ESCAPEDEINFORMACIN. ANLISISDELAARQUITECTURADEAPLICACIONESWEB AQU SE ANALIZAN LOS COMPONENTES DE LA ARQUITECTURA DE UNA APLICACIN WEB, DESDE EL CLIENTE WEB A LAS BASES DE DATOS, PASANDO POR EL ANLISIS DEL MEDIO DE TRANSPORTE PRIMARIO: EL PROTOCOLO DE TRANSMISIN DE HIPERTEXTOHTTP. LA OPERACIN HTTP DEFINE UN MECANISMO DE SOLICITUDES DE RECURSOS Y RESPUESTAS ASOCIADAS POR PARTE DE UN SERVIDOR WEB. ESTOS RECURSOS SE LLAMAN URI (IDENTIFICADORES UNIFORMESDE RECURSOS). CARACTERSTICAS PUNTUALES DE HTTP COMO LA AUSENCIA DE ESTADO, ES TIL PARA ATACANTES, YA QUE NO NECESITAN IMPLEMENTAR ATAQUES COMPLICADOS MULTIETAPAS. LOS WEB SITES DEBEN ESTAR CONFIGURADOS ATRAVS DEL PUERTO TCP 80, LA CONFIGURACIN MS COMN DE LOS CORTAFUEGOS ES A TRAVS DEL PUERTO TCP 80, POR LO QUE SE ENCUENTRAN INDEFENSOS FRENTE A ATAQUES. EL SITIO WEB FUNCIONALDEBEESTARACCESIBLE.

MUCHAS APLICACIONES WEB CORREN SOBRE EL PROTOCOLO SSL (SECURE SOCKETS LAYER), SSL PROPORCIONA LA POSIBILIDAD DE CIFRADO EN LA CAPA DE TRANSPORTE, PERO EL MECANISMO DE SOLICITUD - RESPUESTA DE HTTP, NO ES MODIFICADOYAPORTAMUY POCO ALASEGURIDADGLOBAL. / SERVIDORES VS. APLICACIONES WEB/ ANLISIS DE DIFERENCIAS DE VULNERABILIDADES/ VULNERABILIDADES A NIVEL DE RED/VULNERABILIDADESA NIVELDESISTEMA LAAPLICACINWEB EL CEREBRO DE LOS WEB SITES ACTUALES ES LA LGICA DE SERVIDOR. COMPRENDER LAS ARQUITECTURAS N-NIVELES ES IMPORTANTE DESDELA SEGURIDADDELASAPLICACIONES. CAPA DE PRESENTACIN: TIENE CAPACIDADES PARA ACEPTAR ENTRADAS YDESPLEGAR LOS RESULTADOS CAPA LGICA: CAPTURA LAS ENTRADAS DE LA CAPA DE PRESENTACIN, REALIZANDO OPERACIONES DIVERSAS SOBRE LOSDATOSYDEVUELVE EL RESULTADO ALAPRESENTACIN CAPA DE DATOS: PERMITE EL ALMACENAMIENTO PERMANENTE DE LA INFORMACIN. LA CAPA LGICA PUEDE CONSULTAR O ACTUALIZAR ANLISISDELAARQUITECTURADEAPLICACIONESWEB PLANTEAMOS UNA ARQUITECTURA WEB CON LOS SIGUIENTES ELEMENTOS: CLIENTES, FIREWALL, CACHE / LOAD BALANCER, SERVIDOR WEB YSERVIDORDEBASEDE DATOS ARQUITECTURAWEBCLIENTE/SERVIDOR. CLIENTE.EJECUTA UNINTRPRETEDEHTML. SERVIDOR. CONTROLA EL ACCESO, SIRVE LA PGINA SOLICITADA, Y PUEDE EJECUTAR APLICACIONES ESPECIALES (EJ.PROCESAR FORMULARIOS). BACKEND.ENTREGA DATOS ALSERVIDOR. SERVIDOR DE APLICACIONES. ENLAZA EL SERVIDOR A LA BASE DEDATOS. ARQUITECTURA DE DOS NIVELES:.- ES LA MS SIMPLE, SE TIENE ELNIVELDELCLIENTEYEL NIVELDELSERVIDOR. ARQUITECTURA DE 3 CAPAS: EL PRIMER NIVEL CONSISTE EN LA CAPA DE PRESENTACIN QUE INCLUYE NO SLO EL NAVEGADOR, SINO TAMBIN EL SERVIDOR WEB QUE ES EL RESPONSABLE DE DAR A LOS DATOS UN FORMATO ADECUADO. EL SEGUNDO NIVEL EST REFERIDO HABITUALMENTE A ALGN TIPO DE PROGRAMA O SCRIPT. FINALMENTE, EL TERCER NIVEL PROPORCIONA AL SEGUNDO LOS DATOS NECESARIOS PARA SUEJECUCIN. OTRAVISTADELAARQUITECTURA. LOS SITIOS WEB ACTUALES SON COMPLEJOS, LA LGICA DE SERVIDOR ES LA INTELIGENCIA DE LAS APLICACIONES, ESTAS PUEDEN SER VULNERABLES A NUMEROSOS TIPOS DE ATAQUES. ESTAR EN CAPACIDAD DE CONOCER LA OPERACIN DE LOS MISMOS Y LAS CORRESPONDIENTES CONTRAMEDIDAS, PARA SER IMPLEMENTADAS EN SUS APLICACIONES, ES UNA NECESIDAD DEL DESARROLLADOR.SE DEBE TENER EN CUENTA QUE EXISTEN MEDIDAS DE SEGURIDAD QUE UNO IMPLEMENTA CREANDO EL CDIGO NECESARIO Y QUE ADEMS EXISTEN Y APARECEN EN FORMA PERMANENTE, TECNOLOGAS DONDE LA SEGURIDAD SE HA IMPLEMENTADO EN OTRO ORDEN DE MAGNITUD, UNO DEBE USARLAS, CUANDO ELLO OCURRE. LAS APLICACIONES SINSEGURIDAD,NO TIENENVALOR COMERCIAL. ESTA CAPACITACIN, VINCULADA A LA SEGURIDAD, ES OPCIONAL EN LOS CURSOS DE BASE DE DATOS Y DESARROLLO DEAPLICACIONES WEB.