You are on page 1of 27

Evolucin de la seguridad en

aplicaciones de comercio
electrnico
Dr. Gonzalo lvarez Maran
CSIC

Evolucin de la
seguridad en
aplicaciones de
comercio electrnico

Dr. Gonzalo lvarez Maran

Quin
o Investigador en criptografa y criptoanlisis
en el CSIC
o Creador del Criptonomicn
o Auditor de seguridad de aplicaciones web
o Autor de los libros Los mejores trucos
para Internet y Seguridad informtica para
empresas y particulares
o gonzaloalvarez.com
Evolucin seguridad comercio electrnico -2-

Dr. Gonzalo lvarez Maran

Qu
I.
II.
III.
IV.
V.

Un poco de historia
Bienvenido al mundo real, Neo
Pero, qu son los ataques web?
Medidas de proteccin?
Conclusiones

Evolucin seguridad comercio electrnico -3-

Dr. Gonzalo lvarez Maran

Cundo
o Definicin

Distribucin, compra, venta, marketing de servicios y


productos a travs de sistemas electrnicos: Internet

o Aos 70: Electronic Data Interchange (EDI)


o Aos 90: servidores web seguros con carritos de
la compra y pagos con tarjeta de crdito
o 1998-2000: El boom de las punto com
o 2000-2001: El crack de las punto com
o 2004+: Reaparecen las viejas formas de delito:
picaresca, extorsin, fraude, crimen organizado
Evolucin seguridad comercio electrnico -4-

Dr. Gonzalo lvarez Maran

Cree lo increble
o Comercio electrnico = Aplicacin web
o El mundo real no es lo que nos han enseado a
creer

Cortafuegos
SSL
Bastionado/Parches
Arquitectura segura de red
Auditoras de seguridad

Evolucin seguridad comercio electrnico -5-

Dr. Gonzalo lvarez Maran

Cortafuegos
o Asla la red privada de Internet
o Slo se permite acceso a unos servicios y el resto
se prohbe

Evolucin seguridad comercio electrnico -6-

Dr. Gonzalo lvarez Maran

Cortafuegos
o Ventajas

Slo deja abiertos puerto 80 y 443


Detiene algunos ataques DoS

o Limitaciones

No entienden el significado de HTTP


Dejan pasar el 100% de los ataques web

Evolucin seguridad comercio electrnico -7-

Dr. Gonzalo lvarez Maran

SSL
o
o
o
o

Confidencialidad: cifrado de datos


Integridad de mensajes
Autenticacin de servidores mediante certificados
Autenticacin de cliente con certificados (opcional)

Evolucin seguridad comercio electrnico -8-

Dr. Gonzalo lvarez Maran

SSL
o Ventajas

Cifra el contenido de las comunicaciones: canal seguro


Permite autenticar servidores (y clientes)

o Limitaciones

Slo protege los datos en trnsito, no en origen ni


destino
Los ataques web pasan cifrados, pero pasan
No proporciona un mecanismo de pago seguro
Dificulta la labor del IDS

Evolucin seguridad comercio electrnico -9-

Dr. Gonzalo lvarez Maran

Bastionado/Parches
o Bastionado de la plataforma

SO Eliminacin de servicios innecesarios, configuracin


de permisos, eliminacin de archivos, etc.
Web Eliminacin de extras, borrado de aplicaciones de
ejemplo, configuracin segura, etc.

o Aplicacin de parches

Solucionan vulnerabilidades descubiertas en los


productos
Actualizacin religiosa de parches

Evolucin seguridad comercio electrnico -10-

Dr. Gonzalo lvarez Maran

Bastionado/Parches
o Ventajas

Fcil bastionar: listas de comprobacin, herramientas


automatizadas, etc.
Fcil actualizar: herramientas de gestin de
actualizaciones
Evitan ataques ya conocidos y solucionados

o Limitaciones

Los parches llegan tarde y no solucionan el mal hecho


Las aplicaciones web no se parchean
La mayora de ataques web no explotan agujeros de la
plataforma, sino de la aplicacin

Evolucin seguridad comercio electrnico -11-

Dr. Gonzalo lvarez Maran

Arquitectura segura de red


o Separacin por funcionalidad separacin de
amenazas

Web
Firewall

Internet

BD

Apli
Firewall

DMZ

Evolucin seguridad comercio electrnico -12-

Intranet

Dr. Gonzalo lvarez Maran

Arquitectura segura de red


o Ventajas

Ser (casi) imposible acceder directamente a la BD

o Limitaciones

Existen caminos indirectos para acceder a la BD a


travs de la aplicacin
Inyeccin de SQL
Manipulacin de sesiones
Acceso a los logs

Evolucin seguridad comercio electrnico -13-

Dr. Gonzalo lvarez Maran

Auditoras de seguridad
o Auditoras automatizadas peridicas

SO, Red, BD, Web


Con herramientas automatizadas:
Nessus, WebInspect, AppScan
Solucionan la mitad del problema

o Auditoras manuales externas


puntuales

Caja negra/gris/blanca
Completas
Solucionan el problema una vez

Evolucin seguridad comercio electrnico -14-

Dr. Gonzalo lvarez Maran

Auditoras automatizadas
o Las mquinas no son perfectas

Nunca encontrarn todos los agujeros (tampoco los


humanos)
Algunos anlisis no se pueden automatizar
Las aplicaciones se defienden contra las mquinas
Crean muchos falsos positivos

Evolucin seguridad comercio electrnico -15-

Dr. Gonzalo lvarez Maran

Auditoras de seguridad
o Ventajas

Independencia
Experiencia en seguridad

o Limitaciones

Precio muy elevado


Los sitios web cambian frecuentemente
Slo se realizan una vez
Nuevas vulnerabilidades / Nuevo cdigo

1 semana despus
Evolucin seguridad comercio electrnico -16-

1 ao despus
Dr. Gonzalo lvarez Maran

Qu son los ataques web?


o Vulnerabilidades en la aplicacin web: .NET,
J2EE, PHP, etc.
o Vulnerabilidades en el servidor web: Apache, IIS,
Tomcat, WebLogic, WebSphere, etc.
Ataque

Aplicacin Web
Servidor Web

Base de datos

Sistema Operativo

Evolucin seguridad comercio electrnico -17-

Dr. Gonzalo lvarez Maran

Estudio de vulnerabilidades
o Tcnicas

Gestin de errores
Configuracin servidor
Validacin de entrada
Ideal para herramientas
automatizadas

o Lgicas o funcionales

Evolucin seguridad comercio electrnico -18-

Errores permitidos por diseo,


pero no previstos por el
diseador o no considerados un
riesgo
Errores que saltan a la vista,
slo identificados por humanos

Dr. Gonzalo lvarez Maran

Cmo protegerse
o Construir de forma segura

Diseo/Codificacin seguros

o Averiguar si lo construido es
seguro

Auditoras de seguridad

o Asegurar lo que ya est


construido

Cortafuegos de aplicacin

Evolucin seguridad comercio electrnico -19-

Dr. Gonzalo lvarez Maran

Diseo/Codificacin seguros
o Los programadores deberan conocer sus
herramientas, lenguajes y plataformas
o La seguridad debera introducirse desde el diseo
de la aplicacin, no al final
o Los desarrolladores deberan estar concienciados
en seguridad

El BO es el error ms extendido y el ms peligroso


El XSS es ubicuo y nada inofensivo
La inyeccin de SQL es muy frecuente y peligrosa

Evolucin seguridad comercio electrnico -20-

Dr. Gonzalo lvarez Maran

Cortafuegos de aplicacin: la
ltima frontera?
o Basado en firmas

Base de datos con patrones de ataques


Se buscan coincidencias en la peticin
Enfoque negativo

o Basado en anomalas

Definicin del comportamiento normal


Se buscan peticiones anmalas
Inteligencia artificial para aprendizaje
Enfoque positivo

Evolucin seguridad comercio electrnico -21-

Dr. Gonzalo lvarez Maran

Cortafuegos de aplicacin o IPS


o Ventajas

Detecta los ataques antes de que


lleguen al servidor en oposicin a
anlisis de logs
El CISO alcanza paz de espritu

o Inconvenientes

No detecta ataques lgicos


Problemas de escalamiento
Tan bueno como su directiva

Evolucin seguridad comercio electrnico -22-

Dr. Gonzalo lvarez Maran

Delitos informticos
o Los bancos slo se protegen a s mismos:

Phising La vctima paga


Compras fraudulentas El comercio paga

o En la medida en que el banco no es responsable


de las prdidas ocasionadas por su falta de inters
en la seguridad, no hace nada por mejorarla

Evolucin seguridad comercio electrnico -23-

Dr. Gonzalo lvarez Maran

Delitos Informticos: Adis al


comercio electrnico (17/2/2006)
o No cabe hablar de engao bastante por parte de los acusados por
cuanto que nos encontramos ante una compra realizada no en un
comercio abierto al pblico donde pueda existir una relacin de
confianza entre las partes compradora y vendedora que lleve a sta a
no comprobar si quien realiza la compra es realmente titular de la
tarjeta usada como medio de pago, sino que se trata de una compraventa realizada a travs de una pgina web remitiendo la mercanca
R.F.S.L. sin realizar la ms mnima comprobacin para cerciorarse
de que quien realizaba el pedido era realmente el titular de la tarjeta a
la que haba que cargar el importe de la venta y no otra persona que
usase ese nmero FRAUDULENTAMENTE como realmente sucedi,
que el perjuicio patrimonial no es consecuencia directa del
ENGAO empleado por los acusados sino de la FALTA DE
DILIGENCIA por parte de la empresa vendedora. Por lo cual al ser
inidneo el engao no cabe hablar de delito de estafa.
Evolucin seguridad comercio electrnico -24-

Dr. Gonzalo lvarez Maran

Problema de fondo de seguridad


en el comercio electrnico
o Las nuevas tecnologas no son
nuevas, de hecho son muy
antiguas (aos 60)
o Internet no est preparado para
el comercio electrnico seguro:
el robo de identidad es trivial
o Todo el peso de la culpa recae
sobre la vctima
o La legislacin vigente apoya a
los grandes grupos financieros
Evolucin seguridad comercio electrnico -25-

Dr. Gonzalo lvarez Maran

Conclusiones
o Los controles de seguridad tradicionales
(cortafuegos, SSL, bastionado, parches, escaneos
rutinarios, arquitectura segura) no detienen
ataques web
o Otras medidas de seguridad (codificacin segura,
cortafuegos de aplicacin) protegen contra la
mayora de vulnerabilidades, aunque no todas
o No se ha avanzado (nada?) en seguridad
o No es posible estar 100% seguros, pero s es
posible gestionar el riesgo
Evolucin seguridad comercio electrnico -26-

Dr. Gonzalo lvarez Maran