You are on page 1of 220

DIPLOMADO DE

SEGURIDAD DE LA INFORMACION
SEGURIDAD EN APLICACIONES Y SO
Escuela de Informática y
Telecomunicaciones

1
DIPLOMADO DE
SEGURIDAD DE LA INFORMACION
Introducción
Escuela de Informática y
Telecomunicaciones

2
Introducción
• "Hoy más del 70% de los ataques contra el sitio web de
una compañía o aplicación web se dirigen a la “Capa de
aplicación” y no a la red o al sistema, según el Gartner
Group.
• Los problemas de seguridad en las aplicaciones que
desarrolla una empresa repercuten directamente en la
imagen de la misma ante el mercado, afectando
fuertemente su negocio.
• No obstante, también es importante considerar que
cada aplicación esta soportada por un Sistema
Operativo, que aunque sea una aplicación comercial,
no está exento de vulnerabilidades

Diplomado de Seguridad de la Información 3


DIPLOMADO DE
SEGURIDAD DE LA INFORMACION
Amenazas al Sistema Operativo
Escuela de Informática y
Telecomunicaciones

4
Amenazas al Sistema Operativo
• Componentes del Sistema Operativo:
• Kernel: es el componente mas importante del Sistema
operativo y se encarga de proveer la interfaz entre el
hardware y las aplicaciones.
• Sus principales funciones son:
– Ejecución de procesos
– Carga de programas
– Interfaz entrada/salida (periféricos)
– Supervisión de transmisión de datos

• Tipos de kernel
– Monolíticos
– Microkernel
Diplomado de Seguridad de la Información 5
Amenazas al Sistema Operativo
• Diagrama de operación del Kernel

Diplomado de Seguridad de la Información 6


Amenazas al Sistema Operativo
• Sistema de archivos: realiza la asignación de espacio
y acceso a los archivos del Sistema Operativo bajo un
esquema de permisos.
• Permisos en el Sistema Operativo: son los que
regulan las acciones posibles de ejecutar en los
archivos, éstas pueden ser:
– Lectura
– Escritura
– Ejecución

• Permisos en Linux: están categorizados en propietario


(owner), grupo y Sistema Operativo

Diplomado de Seguridad de la Información 7


Amenazas al Sistema Operativo
• Ejemplo de sistema de permisos en Linux

Diplomado de Seguridad de la Información 8


Amenazas al Sistema Operativo
• Sistema de archivos NTFS: controla los permisos de
los archivos según los siguientes atributos:
– Lectura
– Escritura
– Lectura y ejecución
– Modificación
– Control total

• Los permisos en NTFS son controlados por el dueño


del archivo (owner) y son manejados directamente
desde la interfaz del Sistema Operativo

Diplomado de Seguridad de la Información 9


Amenazas al Sistema Operativo
• Ejemplo de configuración de permisos en NTFS

Diplomado de Seguridad de la Información 10


Amenazas al Sistema Operativo
• Procesos: corresponden a las tareas que ejecuta el
sistema operativo que se alojan en memoria y utiliza los
recursos de hardware.
• Vista de procesos de un sistema Linux

Diplomado de Seguridad de la Información 11


Amenazas al Sistema Operativo
• Vista de procesos de un sistema Windows

Diplomado de Seguridad de la Información 12


Amenazas al Sistema Operativo
• Sistemas Operativos Virtuales: son aquellos que
permiten ejecutar múltiples sistemas operativos en un
mismo hardware. Esta solución permite optimizar los
recursos además de implementar servidores solo vía
configuración de software.
• La mayoría de estas soluciones permiten asignar parte
de los recursos de hardware a cada uno de los
sistemas operativos “huésped” a discreción.
• Las soluciones mas utilizadas son:
– VMWare
– Xen
– Citrix
– Microsoft
Diplomado de Seguridad de la Información 13
Amenazas al Sistema Operativo
Esquema de operación de una solución de
Virtualización de Sistema Operativo

Diplomado de Seguridad de la Información 14


Amenazas al Sistema Operativo
• Gartner de las soluciones SVI

Diplomado de Seguridad de la Información 15


Amenazas al Sistema Operativo
• Principales amenazas al Sistema Operativo:
• Desbordamiento de búfer (Buffer Overflow): ocurre
cuando se excede la capacidad de memoria reservada
para una variable y el sistema no tiene control sobre
dicha variable. La principal consecuencia es la caída
del sistema.
• Puerta trasera (Backdoor): programa que se instala
en el Sistema Operativo, sin el consentimiento del
usuario, que al ejecutarse levanta un servicio a través
del cual el atacante puede tomar control remoto del
servidor

Diplomado de Seguridad de la Información 16


Amenazas al Sistema Operativo
• Malware: software malicioso que ataca un Sistema
Operativo para causar algún daño, sus principales
variantes son:
• Virus: tiene la capacidad de auto-reproducirse a través
de diferentes medios, afectan a archivos o aplicaciones.
• Gusanos: se propagan a través de la red y causan
daño fundamentalmente por exceso de trafico. De este
tipo han sido los daños mas importantes
• Troyano: utiliza un programa licito para transportarse,
no tiene la capacidad de auto-reproducirse.
• Rootkit: infecta al sistema reemplazando una porción
del programa para ejecutar comandos de S. O.

Diplomado de Seguridad de la Información 17


Amenazas al Sistema Operativo
• Adware: infecta a su víctima a través de publicidad no
deseada, típicamente como pop-up de algún servicio de
navegación
• Dialer: al infectar a su víctima inicia conexiones hacia
Internet para bajar archivos o enviar información
• Spyware: tiene la capacidad de leer teclado o robar
información y luego enviarla al atacante a través de
Internet.

Diplomado de Seguridad de la Información 18


Amenazas al Sistema Operativo
• Crecimiento de malware

Fuente: AV-test 2016 Diplomado de Seguridad de la Información 19


Amenazas al Sistema Operativo
• Tipos de malware

Fuente: PandaLabs 2015


Diplomado de Seguridad de la Información 20
Amenazas al Sistema Operativo
• Tipos de malware

Fuente: PandaLabs 2015


Diplomado de Seguridad de la Información 21
Amenazas al Sistema Operativo
• Otros tipos de virus

Diplomado de Seguridad de la Información 22


Amenazas al Sistema Operativo
• Ataques al Sistema Operativo:
• Hoy existen dos tipos de ataques de los cuales un S. O.
puede ser víctima.
• Ataque de servicio: consiste en explotar algún servicio
vulnerable del sistema operativo y a través de el
acceder al servidor o tomar control de este.
• Ataque de cliente: consiste en que el cliente se infecta
con algún archivo o aplicación ejecutado en el servidor
que aprovecha alguna vulnerabilidad en el sistema
operativo de la víctima

Diplomado de Seguridad de la Información 23


Amenazas al Sistema Operativo
• Ataque de servicio

• Ataque de cliente

Diplomado de Seguridad de la Información 24


Amenazas al Sistema Operativo
• Resumen:
• Componentes del Sistema Operativo
– Kernel
– Sistema de archivos
– Procesos

• Sistemas Operativos Virtuales


• Amenazas al Sistema Operativo
– Buffer Overflow
– Backdoor
– Malware

Diplomado de Seguridad de la Información 25


Amenazas al Sistema Operativo
• Resumen (cont.):
• Ataques al Sistema Operativo
– Ataques de Servicio
– Ataques de Cliente

Diplomado de Seguridad de la Información 26


Pregunta 1
• Si usted recibe una llamada de que existe una
vulnerabilidad en un servidor en el puerto 1234. ¿A qué
tipo de malware se refiere?

• A.- Virus
• B.- Spyware
• C.- Backdoor
• D.- Rootkit

Diplomado de Seguridad de la Información 27


Pregunta 2
• ¿Por qué un IDS no es un control de seguridad efectivo
en un sistema SVI?

• A.- Porque no puede revisar el trafico entre servidores


huésped del SVI
• B.- Porque las vulnerabilidades de los servidores
huésped no son visibles desde la red
• C.- Porque el SVI cifra el trafico entre servidores
huésped
• D.- Porque no existen ataques hacia los SVI

Diplomado de Seguridad de la Información 28


DIPLOMADO DE
SEGURIDAD DE LA INFORMACION
Análisis de Seguridad al Sistema Operativo
Escuela de Informática y
Telecomunicaciones

29
Análisis de Seguridad de Sistema Operativo
• Crecimiento de las vulnerabilidades en MS

Fuente: CVE 2016 Diplomado de Seguridad de la Información 30


Análisis de Seguridad de Sistema Operativo
• Vulnerabilidades por S. O.

Fuente: Hot for Security 2015


Diplomado de Seguridad de la Información 31
Análisis de Seguridad de Sistema Operativo
• Vulnerabilidades: como toda aplicación de software, el
S. O. esta sujeto a tener vulnerabilidades y dado que
está expuesto a la red en la mayoría de los casos, esto
hace que mayor su grado de exposición.
• Una vulnerabilidad corresponde a una falla o debilidad
del Sistema Operativo que permite a algún atacante
afectar a algún atributo de la información
• Las vulnerabilidades de un Sistema Operativo están
publicadas por su fabricante con su respectiva solución,
sin embargo existen sitios en los cuales también se
publican vulnerabilidades.
• Uno de los mas conocidos es:
– http://www.cvedetails.com/
Diplomado de Seguridad de la Información 32
Análisis de Seguridad de Sistema Operativo
• Revisión del sitio CVE

Diplomado de Seguridad de la Información 33


Análisis de Seguridad de Sistema Operativo
• Otros sitios que publican vulnerabilidades
• NVD de la NIST:
– http://web.nvd.nist.gov/view/vuln/search

• Security Focus:
– http://www.securityfocus.com/vulnerabilities

• Secunia:
– https://secunia.com/community/advisories/

• OSVDB
– http://osvdb.org/search/advsearch

• X-Force de IBM
– http://www.ibm.com/security/xforce

Diplomado de Seguridad de la Información 34


Análisis de Seguridad de Sistema Operativo
• Ejemplo de búsqueda en Security Focus

Diplomado de Seguridad de la Información 35


Análisis de Seguridad de Sistema Operativo

• Ejemplo de búsqueda en Secunia

Diplomado de Seguridad de la Información 36


Análisis de Seguridad de Sistema Operativo
• Ejemplo de búsqueda en OSVDB

Diplomado de Seguridad de la Información 37


Análisis de Seguridad de Sistema Operativo
• Ranking de vulnerabilidades 2015

Fuente: CVE 2016 Diplomado de Seguridad de la Información 38


Análisis de Seguridad de Sistema Operativo
• Análisis de vulnerabilidades (Vulnerability
Assesment): es el proceso en el cual se identifican y
clasifican las vulnerabilidades de un sistema
informático.
• Para esto existen dos formas:
– Reconocimiento: a través de la información que se tiene del
sistema (Ej: versión del SO) se pueden buscar las
vulnerabilidades asociadas
– Scanning: a través de herramientas especializadas, que
cuentan con bases de datos de vulnerabilidades, se realiza una
revisión al sistema destino y se obtiene un reporte con el detalle
correspondiente.

Diplomado de Seguridad de la Información 39


Análisis de Seguridad de Sistema Operativo
• Reconocimiento de Sistema Operativo:
• La herramienta mas utilizada para esta función es
NMAP
– http://nmap.org/

• Esta disponible con licencia GNU para Windows, Linux


y MacOS
• El comando para reconocimiento de Sistema Operativo
es:
– # nmap –O ipdestino

Diplomado de Seguridad de la Información 40


Análisis de Seguridad de Sistema Operativo
• Scanning de vulnerabilidades:
– La herramienta mas utilizada para esta función es Nessus de
Tenable, esta disponible para Windows y Linux y tiene una
licencia pagada y una licencia gratuita (Home)
– https://www.tenable.com/products/nessus-home

• Operación de Nessus:
– Nessus realizada un mapeo de todos los puertos que están
abiertos en el servidor destino
– A continuación envía los plugin o firmas de trafico que tiene
configurados a los puertos disponibles
– Luego recibe la respuesta del servidor para validar si la
vulnerabilidad existe
– Luego compara el resultado con su base de dato interna para
validar la clasificación de las vulnerabilidades encontradas

Diplomado de Seguridad de la Información 41


Análisis de Seguridad de Sistema Operativo
• Guía de instalación de Nessus:
– http://static.tenable.com/documentation/nessus_6.4_installation
_guide.pdf

• Guía de usuario de Nessus:


– http://static.tenable.com/documentation/nessus_6.4_user_guide
.pdf

• Video explicativo del uso de la herramienta Nessus:


– https://www.youtube.com/watch?v=RIksTQSZVqc&index=3&list
=PLB6BB6F9582BA2C5D

Diplomado de Seguridad de la Información 42


Análisis de Seguridad de Sistema Operativo
• Otras herramientas de análisis de vulnerabilidades:
• Qualys:
– https://www.qualys.com/

• Foudstone de McAfee
– http://www.mcafee.com/us/services/foundstone-
services/index.aspx

• OpenVas (uso libre)


– http://www.openvas.org/

• NexPose de Rapid7
– https://www.rapid7.com/products/nexpose/

• QVM de IBM
– http://www-03.ibm.com/software/products/en/qradar-
Diplomado de Seguridad de la Información
vulnerability-manager/ 43
Análisis de Seguridad de Sistema Operativo
• El mercado de las herramientas de Vulnerability
Assessment según Gartner

Fuente: Gartner 2013 Diplomado de Seguridad de la Información 44


Análisis de Seguridad de Sistema Operativo
• Clasificación de vulnerabilidades: proceso en el cual
se les asigna una puntuación a cada vulnerabilidad
(ranking), existen diferentes criterios para realizar esta
clasificación.
• Clasificación CVE (CVSS): utiliza varios parámetros
para realizar la calificación de puntaje, entre ellos:
– Como afecta la vulnerabilidad a los atributos de la información
(CIA)
– La facilidad de explotación o complejidad de acceso
– Si se requiere o no autenticación para explotar la vulnerabilidad
– Los daños específicos que podría causar una vez explotada,
tales como DoS, control remoto, ejecución de comandos, etc.
– Si permite o no tomar control del objetivo

Diplomado de Seguridad de la Información 45


Análisis de Seguridad de Sistema Operativo
• Ejemplo de clasificación CVSS

Diplomado de Seguridad de la Información 46


Análisis de Seguridad de Sistema Operativo
• Ejemplos de clasificación CVSS

Diplomado de Seguridad de la Información 47


Análisis de Seguridad de Sistema Operativo
• Clasificación de vulnerabilidades según Nessus: en
este caso se utiliza un código de colores para la
clasificación de las vulnerabilidades en 5 niveles
• Ejemplo de clasificación de vulnerabilidades según
Nessus de Tenable:

Diplomado de Seguridad de la Información 48


Análisis de Seguridad de Sistema Operativo
• Clasificación de vulnerabilidades según Microsoft:
existe un sitio donde se publican las vulnerabilidades
reportadas:
– http://technet.microsoft.com/es-es/security/bulletin/

• Este sitio clasifica las vulnerabilidades en tres niveles,


– Crítica
– Importante
– Moderada

• principalmente en función del daño que podría causar si


es explotada.

Diplomado de Seguridad de la Información 49


Análisis de Seguridad de Sistema Operativo
• Ejemplo de clasificación de vulnerabilidades según
Microsoft:

• También se utiliza como criterio de clasificación los


sistemas que están afectados por la vulnerabilidad.
Diplomado de Seguridad de la Información 50
Análisis de Seguridad de Sistema Operativo
• Calculadora de NVD: la NIST propone una
metodología para clasificar las vulnerabilidades según
varios parámetros, en el sitio:
– https://nvd.nist.gov/cvss.cfm?calculator&version=2

• Los principales factores a considerar son:


– Facilidad de explotación
• Acceso
• Complejidad
• Autenticación
– Impacto
• Confidencialidad
• Integridad
• Disponibilidad
Diplomado de Seguridad de la Información 51
Análisis de Seguridad de Sistema Operativo
• Ejemplo de clasificación utilizando la calculadora NVD

Diplomado de Seguridad de la Información 52


Análisis de Seguridad de Sistema Operativo
• Iniciativa OVAL: un intento por estandarizar la
información de seguridad en los análisis de
vulnerabilidades es el Open Vulnerability and
Assessment Language de MITRE, el cual permite
normalizar la información que envían los diferentes
fabricantes de sus análisis de seguridad a través de un
lenguaje estándar basado en XML.
– http://oval.mitre.org/adoption/

• Las fases de esta iniciativa son:


– Declaración
– Implementación
– Cuestionario
– Reconocimiento

Diplomado de Seguridad de la Información 53


Análisis de Seguridad de Sistema Operativo
• Flujo de uso de la iniciativa OVAL

Diplomado de Seguridad de la Información 54


Análisis de Seguridad de Sistema Operativo
• El principal uso que tiene la clasificación de
vulnerabilidades es poder gestionar de mejor forma los
recursos para las tareas de remediación o mitigación.
Como suele pasar en las aéreas de TI o Seguridad de
las empresas, el personal avocado a estas labores es
escaso o es una empresa de terceros.
• Aquellas vulnerabilidades de más alto riesgo o impacto
son las que deben ser remediadas en primer lugar
dentro del plan de trabajo propuesto, a continuación, las
que tengan menor prioridad.
• En la práctica es probable que las vulnerabilidades de
bajo riesgo no se mitiguen o se utilicen métodos
alternativos.

Diplomado de Seguridad de la Información 55


Análisis de Seguridad de Sistema Operativo
• Resumen:
• Vulnerabilidades en el Sistema Operativo
– Búsqueda de vulnerabilidades
– Análisis de vulnerabilidades
– Herramientas de análisis de vulnerabilidades

• Clasificación de vulnerabilidades
– Calculadora NVD
– Iniciativa OVAL

Diplomado de Seguridad de la Información 56


Pregunta 1
• ¿Cuál de las siguientes afirmaciones describe de mejor
forma el concepto de “vulnerabilidad”?

• A.- Una amenaza potencial que puede causar algún


daño.
• B.- Una acción que pueda perjudicar algún atributo de
la información
• C.- Un agente que podría tomar ventaja de una
aplicación
• D.- Un error o debilidad que puede llegar a
comprometer algún atributo de la información

Diplomado de Seguridad de la Información 57


Pregunta 2
• ¿Cuál de los siguientes métodos proporciona la
clasificación de los riesgos asociados a la información
de un sistema informático?

• A.- Gestión de riesgos


• B.- Vulnerability Assessment
• C.- Pentesting
• D.- Clasificación de la información

Diplomado de Seguridad de la Información 58


DIPLOMADO DE
SEGURIDAD DE LA INFORMACION
Mitigación de Vulnerabilidades
Escuela de Informática y
Telecomunicaciones

59
Mitigación de vulnerabilidades
• Definición: es el proceso en el cual se remedia la
problemática asociada a una vulnerabilidad o se inhibe
su efecto. Existen dos formar para realizar esta función
– Control correctivo: el cual corrige la vulnerabilidad a través de
un parche publicado por el fabricante o una corrección en la
configuración
– Control compensatorio: es un método alternativo para
remediar la vulnerabilidad, típicamente un HIDS, IPS o
aislación.

• Toda mitigación tiene un costo, ya sea en esfuerzo o


soluciones de software o hardware, o bien se contrata a
un tercero, por lo que debe ser evaluada en términos
del riesgo asociado.
• Para determinar el costo de una mitigación, debe
saberse comoDiplomado
se realizará.
de Seguridad de la Información 60
Mitigación de vulnerabilidades
• Ciclo de gestión de vulnerabilidades

Diplomado de Seguridad de la Información 61


Mitigación de vulnerabilidades
• Etapas del ciclo de gestión de vulnerabilidades:
– Descubrimiento: en esta etapa se detallan todos los activos
que formaran parte del análisis y se realiza el scanning
– Priorización: en esta etapa se define cuales son los activos
mas críticos para el negocio
– Evaluación: se realiza en función de la criticidad de los activos
y el nivel de riesgo de las vulnerabilidades
– Reporte: corresponde a la medición del nivel de riesgo
encontrado en su conjunto en función de alguna base
predeterminada (política)
– Remediación: en esta etapa se aplican los controles en
función del análisis anterior (orden de prioridad)
– Verificación: se realiza una nueva medición para validar que
las vulnerabilidades fueron mitigadas.

Diplomado de Seguridad de la Información 62


Mitigación de vulnerabilidades
• La principal fuente de información para encontrar
soluciones a las vulnerabilidades encontradas, son los
sitios de los fabricantes.
• Microsoft:
– https://technet.microsoft.com/es-
es/windowsserver/bb332157.aspx

• Ubuntu:
– http://www.ubuntu.com/usn/

• Apple:
– http://lists.apple.com/archives/security-announce

• Red-Hat:
– https://access.redhat.com/security/security-updates/#/
Diplomado de Seguridad de la Información 63
Mitigación de vulnerabilidades
• Ejemplo de un reporte de mitigación de Nessus

Diplomado de Seguridad de la Información 64


Mitigación de vulnerabilidades
• Ejemplo de reporte de mitigación

Diplomado de Seguridad de la Información 65


Mitigación de vulnerabilidades
• Resumen:
• Definición de Mitigación de vulnerabilidades
• Ciclo de Gestión de vulnerabilidades
– Soluciones a las vulnerabilidades encontradas
– Fuentes de información
– Reportes de mitigación

Diplomado de Seguridad de la Información 66


Pregunta 1
• ¿Por qué razón, la mejor fuente de información para
mitigación de vulnerabilidades es el fabricante?

• A.- Porque es quién mejor conoce la aplicación


vulnerable
• B.- Porque siempre es el primero en descubrir sus
vulnerabilidades
• C.- Porque tiene los códigos de la aplicación y puede
encontrar errores fácilmente
• D.- Porque de no hacerlo pone en juego su prestigio

Diplomado de Seguridad de la Información 67


Pregunta 2
• ¿Cuál es el criterio que determina el orden en el que
deben ser mitigadas las vulnerabilidades?

• A.- Nivel de impacto


• B.- Cronológico (las más antiguas primero)
• C.- Importancia del activo vulnerable
• D.- A y C

Diplomado de Seguridad de la Información 68


DIPLOMADO DE
SEGURIDAD DE LA INFORMACION
Hardening de Servidores
Escuela de Informática y
Telecomunicaciones

69
Hardening de Servidores
• Definición: es el proceso a través del cual se mejora la
seguridad de un sistema a ejecutando las labores de
mitigación de vulnerabilidades. Además en este
proceso se incorporan todas las configuraciones
recomendadas por los fabricantes y las entidades de
seguridad, tales como:
• CIS (Center for Internet Security):
– https://benchmarks.cisecurity.org/downloads/browse/index.cfm?
category=benchmarks.os

• NSA:
– https://www.nsa.gov/ia/mitigation_guidance/security_configurati
on_guides/

Diplomado de Seguridad de la Información 70


Hardening de Servidores
• El proceso de hardening mínimo para cumplir los
requerimientos del negocio de cada sistema operativo
se denomina “baseline”.
• Actividades típicas de un proceso de hardening:
– Cerrar puertos no utilizados
– Deshabilitar protocolos no utilizados
– Cambiar parámetros por defecto
– Eliminar usuarios no utilizados
– Utilizar comunicaciones cifradas
– Eliminar los directorios y archivos temporales
– Grabar los registros de log en un servidor independiente

Diplomado de Seguridad de la Información 71


Hardening de Servidores
• Herramientas de Hardening:
• Para el caso de Microsoft, la más utilizada es MBSA
(Microsoft Baseline Security Analyzer), que permite
identificar las actualizaciones de seguridad faltantes en
el Sistema Operativo y los problemas de configuración.
• La versión actual 2.3 soporta:
– Windows 8.1, Windows 8, Windows Server 2012 R2, and
Windows Server 2012

• Sitio de MBSA de Microsoft


• https://www.microsoft.com/en-
us/download/details.aspx?id=7558

Diplomado de Seguridad de la Información 72


Hardening de Servidores
• Ejemplo de reporte de MBSA

Diplomado de Seguridad de la Información 73


Hardening de Servidores
• Herramientas de Hardening:
• Para el caso de Linux, la herramienta mas utilizada es
Bastille:
– http://bastille-linux.sourceforge.net/

• Permite mejorar y medir el nivel de seguridad del S. O.


en forma granular en cada uno de los ítems cubiertos
por la solución
• Los sistemas operativos soportados son:
– Red Hat (Fedora Core, Enterprise), SUSE, Debian, Gentoo, y
Mandrake, además de HP-UX. También soporta Mac OS X.

Diplomado de Seguridad de la Información 74


Hardening de Servidores
• Operación de Bastille:
• Una vez instalada la herramienta, realiza la función de
hardening en base a un cuestionario donde el
administrador decide cada una de las configuraciones
más importantes del sistema operativo
• Al finalizar la herramienta entrega un reporte con el
detalle de la configuración y el puntaje obtenido con el
proceso en puntuación de 1 a 10, donde 10 es el nivel
más alto.
• Link para bajar la herramienta:
– http://bastille-linux.sourceforge.net/running_bastille_on.htm

Diplomado de Seguridad de la Información 75


Hardening de Servidores
• Ejemplo de uso de Bastille:

Diplomado de Seguridad de la Información 76


Hardening de Servidores
• Principios de seguridad en hardening de
servidores:
• Mínimo privilegio: para mayor seguridad es altamente
recomendable que los usuarios trabajen en los
servidores con el usuario de mas bajo privilegio, al igual
que las aplicaciones que se ejecutan en el servidor, en
ningún caso con las cuentas de root o Administrador
• Mínimo punto de exposición: el acceso a los
servidores solo debe ser posible desde aquellos puntos
o redes que requiere para su función, esto reduce
considerablemente la posibilidad de que una
vulnerabilidad no parchada, pueda ser explotada

Diplomado de Seguridad de la Información 77


Hardening de Servidores
• Cifrado de discos en Linux:
• Una de las herramientas mas utilizadas para esta
función es LUKS (Linux Unified Key Setup) que se
utiliza con la librería CryptSetup:
– https://gitlab.com/cryptsetup/cryptsetup

• Comando para cifrar una partición:


– # cryptsetup luksFormat /particion

• Mapear el sistema cifrado


– # cryptsetup luksOpen /particion encrypted-fs

• Añadir la partición al fstab para el arranque


– # tune2fs -l /dev/mapper/encrypted-fs | grep UUID
– # UUID=XXX_XXX /encrypted-fs ext4
Diplomado de Seguridad de la Información 78
Hardening de Servidores
• Cifrado de archivos en Linux:
• La aplicación utilizada para esta función es GPG,
aplicación que esta incluida en la mayoría de las
distribuciones
• El comando para cifrar un archivo:
– # gpg --symetric nombre_archivo

• El comando para descifrar:


– # gpg --decrypt –o archivo_salida archivo_cifrado

• Esta aplicación también permite realizar cifrado


asimétrico, para lo cual se deben crear las claves con el
comando:
– # gpg --gen-key
Diplomado de Seguridad de la Información 79
Hardening de Servidores
• Cifrado de archivos en Windows:
• En el caso de los Sistemas Microsoft, existe una
aplicación GNU llamada TrueCrypt
• URL:
– http://truecrypt.sourceforge.net/

• Características:
– Crea archivos cifrados de cualquier tamaño
– Crea directorios cifrados compartidos
– Permite crear volúmenes o particiones cifradas
– Permite doble autenticación

• Se abandono su desarrollo en 2014, a pesar de que


sigue siendo utilizado
Diplomado de Seguridad de la Información 80
Hardening de Servidores
• VPN: Tecnología utilizada para cifrar y autenticar las
conexiones a un servidor y de esta forma resguardar los
principios de:
– Confidencialidad
– Integridad
– Autenticación

• La solución mas utilizada para servidores Linux es


OpenVPN, de licencia GNU que permite realizar VPN
basadas en OpenSSL
• El sitio web oficial es:
– https://openvpn.net/index.php/open-source/overview.html

Diplomado de Seguridad de la Información 81


Hardening de Servidores
• Algunos comandos útiles de OpenVPN:
• Instalación: # apt-get install openvpn
• Generación de llave de cifrado:
– # openvpn –genkey –secret /archivo_de_llave

• Ejemplo de configuración:

Diplomado de Seguridad de la Información 82


Hardening de Servidores
• OpenVPN:
• Esta solución también permite la operación a través de
certificados digitales bajo el modelo PKI, solo se debe
agregar en el archivo de configuración lo siguiente:

• Referencia:
– https://openvpn.net/index.php/open-
source/documentation/howto.html
Diplomado de Seguridad de la Información 83
Hardening de Servidores
• Seguridad en OpenVPN:
• Las principales recomendaciones para evitar algunos
incidentes de seguridad es agregar los siguientes
comandos al archivo de configuración:
• Evitar ataques DoS:
– # tls-auth llave_precompartida direccion_IP
– # conect-freq no_conexiones tpo_segundos

• Evitar ataques MiTM:


– # ns-cert-type server/client
– # tls-verify script_validacion
– # tls-remote CN

Diplomado de Seguridad de la Información 84


Hardening de Servidores
• Monitoreo de Servidores y Servicios:
• Uno de los aspectos mas importantes para la seguridad
de un servidor es poder monitorear permanente sus
servicios, para ello existen varias herramientas basadas
en los protocolos ICMP y SNMP.
• Una de las mas utilizadas es ICINGA, de licencia GNU
y que permite monitorear las variables mas importantes
de un servidor
• Referencia:
– https://www.icinga.org/download/

Diplomado de Seguridad de la Información 85


Hardening de Servidores
• Instalación de ICINGA:
– # apt-get install icinga

• Configuración de monitoreo de servicio

• Configuración en el servidor a monitorear:


– # apt-get install nagios-nrpe-server

Diplomado de Seguridad de la Información 86


Hardening de Servidores
• Ejemplo de monitoreo con ICINGA

Diplomado de Seguridad de la Información 87


Hardening de Servidores
• Monitoreo de Sistema Interno:
• En seguridad es fundamental monitorear las variables
más importantes del Sistema Operativo como memoria,
CPU, recursos, etc. Para esto existen dos herramientas
muy útiles:
• Top: muestra en tiempo real todos los procesos que se
están ejecutando además de la memoria utilizada y los
principales datos del procesador:
• Por defecto la opción de refresco es cada 3 segundos,
pero es posible modificarla con la opción “D”.

Diplomado de Seguridad de la Información 88


Hardening de Servidores
• Ejemplo de un sistema de monitoreo con “top”

Diplomado de Seguridad de la Información 89


Hardening de Servidores
• HIDS:
• Aplicación que se instala en el servidor que se desea
proteger que permite detectar accesos irregulares a un
servidor
• Uno de sus principales beneficios es que puede
detectar, detener y alertar un incidente de seguridad.
• Además tiene la capacidad de enviar las alertas de
seguridad a un sistema central (SIEM)
• La gran mayoría de empresas de seguridad tiene
alguna solución al respecto, una de las más utilizadas
es OSSEC de licencia GNU.

Diplomado de Seguridad de la Información 90


Hardening de Servidores
• OSSEC:
• Solución de libre distribución que realiza:
– Análisis de logs
– Integridad de archivos
– Monitoreo de políticas de seguridad
– Detección de rootkit
– Alertas en tiempo real
• Referencia:
– http://ossec.github.io/about.html

Diplomado de Seguridad de la Información 91


Hardening de Servidores
• Arquitectura de OSSEC:

Diplomado de Seguridad de la Información 92


Hardening de Servidores
• Protección contra ARP Spoofing:
• Este ataque tiene por objetivo contaminar la tabla ARP
del servidor, de tal forma que envíe su trafico a una
dirección IP falsa.
• Una forma de evitar ser víctima de este ataque es
utilizando la herramienta arpwatch
• Uso:
– # arpwatch –n red –i interface

• Referencia:
– http://www.linuxcommand.org/man_pages/arpwatch8.html

Diplomado de Seguridad de la Información 93


Hardening de Servidores
• Imagen de log de arpwatch

Diplomado de Seguridad de la Información 94


Hardening de Servidores
• Protección contra DHCP Spoofing:
• Este ataque consiste en el envío de una dirección IP a
un requerimiento DHCP desde un servidor falso.
• Una de las formas de protegerse es recibir estos
requerimientos solo desde una dirección IP autorizada,
la del verdadero DHCP server de la red.
• Dado que esta conexión ocurre en capa 2, no es
posible filtrarla a través de una ACL o utilizar IPTables,
por lo tanto utilizaremos la aplicación “etables”,
aplicando el siguiente comando:
– # etables –A INPUT –p 0x800 –ip-proto udp –ip-source
!ip_dhcp_server –j DROP

Diplomado de Seguridad de la Información 95


Hardening de Servidores
• Jaulas con CHROOT:
• El concepto de jaula permite crear un ambiente cerrado
y aislado del resto de componentes del Sistema
Operativo, este proceso también se conoce como
“sandbox” o caja de arena.
• En primer lugar se crea un directorio especial y se
habilitan en él todas las librerías básicas del Sistema
Operativo, con los siguientes comandos:
– # mkdir /var/newroot
– # cd /var/newroot
– # ldd /bin/bash
– # chroot ./

Diplomado de Seguridad de la Información 96


Hardening de Servidores
• Jaulas con CHROOT:
• A continuación se debe especificar el usuario que hará
las veces de “root” dentro de la jaula:
– # chroot –userspec=1001:1001 /var/chroot/
– Donde 1001 es el id del usuario y 1001 es el grupo del usuario

• Finalmente se agregan los comandos que se deseen


ejecutar en la jaula
– # ldd /bin/ls para listar archivos
– # ldd /usr/bin/whoami para identificar el usuario

Diplomado de Seguridad de la Información 97


Hardening de Servidores
• Esquema de jaulas con CHROOT

Diplomado de Seguridad de la Información 98


Hardening de Servidores
• Listas de control de acceso (ACL):
• Permiten definir los atributos de usuarios en los
archivos y directorios del Sistema Operativo, sus
comandos básicos son:
– setacl: se utiliza para establecer ACL en los archivos o
directorios
– getacl: se utiliza para determinar las ACL que tiene configurado
un archivo o directorio
– chacl: permite realizar cambios en las ACL de un archivo o
directorio

• Ejemplo de asignación de ACL:


– # setacl –m u:user:rw- /nombre_archivo
– # getacl /nombre_archivo

Diplomado de Seguridad de la Información 99


Hardening de Servidores
• SSL:
• Mecanismo para aplicaciones web que proporciona
confidencialidad y autenticación de la información
transmitida a través de HTTP
• El protocolo de intercambio de mensajes permite
asegurar al cliente la identidad del servidor además de
cifrar la comunicación mediante un esquema de cifrado
simétrico.
• Hoy en día es posible de utilizar en muchos protocolos
tales como:
– HTTP
– SMTP
– LDAP
Diplomado de Seguridad de la Información 100
Hardening de Servidores
• Configuración de SSL en un servidor Apache
(cont.):
• En el archivo /etc/httpd/conf.d/ssl.conf, agregar la
siguiente entrada:
– SSLEngine on
– SSLCertificateFile /ruta/certificado.cert
– SSLCertificateKeyFile /ruta/llave.key

• Para la validación ejecute el comando:


– # apachectl configtest

• Reinicio de servicios httpd


– # apachectl stop
– # apachectl start
Diplomado de Seguridad de la Información 101
Hardening de Servidores
• Configuración de SSL en un servidor Apache:
• Para solicitar el Certificado SSL ejecutar el siguiente
comando:
– # openssl req -nodes -newkey rsa:2048 -keyout llave.key -out
server.csr

• Solicitar el certificado digital con el archivo creado


“server.csr”
• Una vez recibido el certificado digital se deben tener los
dos archivos principales:
– Archivo de llave privada: llave.key
– Archivo de Certificado Digital: certificado.cert

Diplomado de Seguridad de la Información 102


Hardening de Servidores
• Esquema de operación de SSL

Diplomado de Seguridad de la Información 103


Hardening de Servidores
• Almacenamiento de logs:
• En Seguridad es fundamental mantener registros en
línea de los eventos más importantes en forma
centralizada y con un acceso ágil y robusto.
• Los eventos mas importantes que se deben registrar
son:
– Inicios de sesión
– Accesos a recursos
– Intentos de ataque

• Todo esto hace fundamental contar con un sistema de


almacenamiento de registros (logging) del que se
pueda obtener información valiosa para seguridad

Diplomado de Seguridad de la Información 104


Hardening de Servidores
• Almacenamiento de logs:
• Las principales consideraciones que se deben tener
para un sistema de almacenamiento adecuado son:
– Almacenamiento independiente: es fundamental que los
registros se graben en un servidor distinto a la fuente por
efectos de carga de sistema y espacio de almacenamiento
– Rotación de logs: se debe determinar el tiempo máximo de
almacenamiento de acuerdo a los requerimientos del negocio o
regulaciones, en base a este parámetro deben ser eliminados
los registros mas antiguos
– Logging de aplicaciones: es importante tener una buena
capacidad de interpretación de las diferentes aplicaciones
– Análisis: debe tener la capacidad de permitir extraer
información valiosa, patrones o alertas que puedan ser útiles en
un análisis forense
Diplomado de Seguridad de la Información 105
Hardening de Servidores
• Habilitación de rsyslog en un servidor Linux
• En el archivo de configuración /etc/rsyslog.conf
configurar:
– $ModLoad imupd
– $UDPServerRun 514

• Reiniciar el servicio:
– # /etc/init.d/rsyslog restart

• Comprobar el estado del servicio:


– # netstat -puna

Diplomado de Seguridad de la Información 106


Hardening de Servidores
• Envío seguro de logs:
• Como es sabido, el servicio rsyslog y sus similares
envían y reciben la información en texto claro, lo cual
representa una brecha de seguridad, una posible
solución es habilitar TLS al servicio rsyslog
• Instalación:
– # apt-get install rsyslog-gnutls

• Configuración de /etc/rsyslog.conf

Diplomado de Seguridad de la Información 107


Hardening de Servidores
• Configuración cliente:
• En general todas las aplicaciones clientes tienen la
opción de configurar un servidor de logs externo, en el
caso del sistema operativo Linux, en el archivo
/etc/rsyslog.conf
– *.* @direccion_IP_log_server

• Comprobación de funcionamiento:
• La forma mas utilizada es ejecutar el comando logger
– # logger –t LOG “esto es una prueba”

• A continuación se puede verificar el contenido del


archivo de log en la maquina remota con:
– # tail –f /var/log/syslog
Diplomado de Seguridad de la Información 108
Hardening de Servidores
• Arquitectura de un sistema de logs centralizado

Diplomado de Seguridad de la Información 109


Hardening de Servidores
• Resumen:
• Definición de Hardening
• Herramientas de Hardennig
– MBSA
– Bastille

• Seguridad en Hardening
– Principios de Seguridad
– Cifrado de discos
– Cifrado de archivos
– VPN (OpenVPN)

Diplomado de Seguridad de la Información 110


Hardening de Servidores
• Resumen (cont.):
• Monitoreo de Servicios
– ICINGA
– Monitoreo de Sistema Interno
– HIDS (OSSEC)

• Protección de Servidores
– Protección contra ARP Spoofing
– Protección contra DCHP Spoofing
– Jaulas con CHROOT
– Listas de control de acceso (ACL)

Diplomado de Seguridad de la Información 111


Hardening de Servidores
• Resumen (cont.):
• SSL
– Configuración de SSL

• Almacenamiento de logs
– Configuración de servidor
– Configuración de envío seguro de logs
– Configuración de cliente
– Arquitectura de un sistema de almacenamiento de logs

Diplomado de Seguridad de la Información 112


Pregunta 1
• ¿Cuáles son los pasos recomendados para realizar un
hardening en un servidor?

• A.- Deshabilitar los servicios no utilizados


• B.- Eliminar la cuenta root para evitar escalamiento de
privilegios
• C.- Aumentar la capacidad de RAM para soportar un
buffer overflow
• D.- Utilizar direcciones publicas para evitar el uso de
NAT

Diplomado de Seguridad de la Información 113


Pregunta 2
• ¿Cuál de las siguientes técnicas de hardening nos
ayudaría a evitar el espionaje de una comunicación de
Voz sobre IP?

• A.- Jaulas con CHROOT


• B.- HIDS
• C.- SSL
• D.- OpenVPN

Diplomado de Seguridad de la Información 114


DIPLOMADO DE
SEGURIDAD DE LA INFORMACION
Seguridad en Bases de Datos
Escuela de Informática y
Telecomunicaciones

115
Introducción
• La gran mayoría de los datos sensibles del mundo
están almacenados en sistemas gestores de bases de
datos comerciales tales como Oracle, Microsoft SQL
Server, entre otros, y atacar una bases de datos es uno
de los objetivos favoritos para los criminales.
• Esto puede explicar por qué los ataques externos, tales
como inyección de SQL, subieron 345% en 2012, “Esta
tendencia es prueba adicional de que los agresores
tienen éxito en hospedar páginas Web maliciosas, y de
que las vulnerabilidades y explotación en relación a los
navegadores Web están conformando un beneficio
importante para ellos

Diplomado de Seguridad de la Información 116


Seguridad en Bases de Datos
• Recomendaciones para hardening de bases de
datos:
• Oracle en ambiente UNIX:
– Antes de instalar, configurar umask en 022
– No instalar la base de datos con usuario root
– No usar el directorio /tmp para la instalación, crear uno con
permiso 700

• Oracle en Windows:
– No instalar la base de datos en un controlador de dominio
– Crear una cuenta independiente por cada DBA
– Valide que el usuario de Oracle es propietario de todos los
archivos bajo el directorio $ORACLE_HOME/bin
– Deshabilitar iSQL*plus para los servidores de producción
Diplomado de Seguridad de la Información 117
Seguridad en Bases de Datos
• Recomendaciones para hardening de bases de
datos
• SQL Server:
– Instalar en una partición NTFS
– Utilizar una cuenta de bajo privilegio para la instalación
– NO utilizar las cuentas de Administrador o LocalSystem
– Remover la cuenta de invitado (guest) y las cuentas de ejemplo
– Utilizar la autenticación de Windows en lugar de otro sistema
– Permitir el acceso solo desde la red local
– Deshabilitar las capacidades de envío de correo electrónico
– No instalar los procedimientos extendidos de creación de
usuarios
– No instalar la búsqueda “full-text”
Diplomado de Seguridad de la Información 118
Seguridad en Bases de Datos
• Sitios de interés para información de Seguridad en
Bases de Datos
• SQL Server:
– http://www.sqlsecurity.com/home
– https://technet.microsoft.com/es-ES/sqlserver/ff803383.aspx

• Oracle:
– http://www.oracle.com/technetwork/topics/security/alerts-
086861.html

• DB2:
– http://www-01.ibm.com/support/docview.wss?uid=swg27007053

• MySQL:
– http://dev.mysql.com/downloads/
Diplomado de Seguridad de la Información 119
Seguridad en Bases de Datos
• Sitios especializados en búsqueda de vulnerabilidades
para Bases de Datos:
• Security Tracker:
– http://securitytracker.com/search/search.html

Diplomado de Seguridad de la Información 120


Seguridad en Bases de Datos
• Security Focus:
– http://www.securityfocus.com/bid

Diplomado de Seguridad de la Información 121


Seguridad en Bases de Datos
• Modelo de defensa en profundidad (Defense-in-
depth)
• En el caso de las Bases de Datos, los principales
problemas de seguridad que se pueden presentar son
– Tratamiento de los datos
– Vulnerabilidades en la aplicación
– Problemas de control de acceso
– Vulnerabilidades en el Sistema Operativo

• Por lo tanto, un modelo de seguridad por capas, es una


muy buena metodología para atacar cada una de estas
problemáticas.

Diplomado de Seguridad de la Información 122


Seguridad en Bases de Datos
• Modelo de Defense-in-depth

Aplicación Control de
Acceso

Sistema
Operativo
Errores de
Base de configuración
Datos

Vulnerabilidades

Datos

Confidencialidad

Diplomado de Seguridad de la Información 123


Seguridad en Bases de Datos
• Capas de defensa:
• Aplicación:
– SSL
– Autenticación robusta
– Control de acceso (perfiles)

• Sistema Operativo:
– Análisis de vulnerabilidades y parchado

• Base de Datos:
– Firewall de Bases de Datos
– Auditoria de configuraciones

• Datos:
– Cifrado y ofuscamiento
Diplomado de Seguridad de la Información 124
Seguridad en Bases de Datos
• Modelo de conexión a bases de datos (3 capas)

• Cliente: browser, excel


• Aplicación: Webserver, Servidor de aplicaciones
• Servidor: Motor de Base de Datos

Diplomado de Seguridad de la Información 125


Seguridad en Bases de Datos
• Modelo de conexión a bases de datos:
• Es altamente recomendable que exista una línea de
seguridad entre cada una de las capas, para permitir el
acceso solo a las redes autorizadas

Diplomado de Seguridad de la Información 126


Seguridad en Bases de Datos
• Los servicios de bases de datos utilizan muchos
puertos de conexión además del puerto de servicio, que
pueden ser aprovechados por usuario no autorizado
• A continuación el listado de puertos de Oracle

Diplomado de Seguridad de la Información 127


Seguridad en Bases de Datos
• Vulnerabilidades en Bases de Datos:
• Como toda aplicación las bases de datos están
expuestas a vulnerabilidades, con la diferencia que
estas pueden afectar directamente a la información, es
por esta razón que se hace necesario tener varias
capas de defensa.
• Las vulnerabilidades en las bases de datos pueden
ocurrir por diferentes fuentes, por lo tanto no todas
pueden ser detectadas por herramientas de VM.
• Muchas vulnerabilidades se presentan por problemas
de configuración o exposición inadecuada de los datos

Diplomado de Seguridad de la Información 128


Seguridad en Bases de Datos
• Vulnerabilidades en Bases de Datos
• Oracle:

• SQL Server:

Fuente: CVE 129


Diplomado de Seguridad de la Información
Seguridad en Bases de Datos
• Esquema de vulnerabilidades en una Base de Datos

Diplomado de Seguridad de la Información 130


Seguridad en Bases de Datos
• Herramientas de análisis de vulnerabilidades para
Bases de Datos:
• Las más utilizadas son:
• AppDetective de Trustwave
– https://www.trustwave.com/Products/Database-
Security/AppDetectivePRO/

• SQLSus
– http://sqlsus.sourceforge.net/

• Rational de IBM
– http://www-01.ibm.com/software/cl/rational/

Diplomado de Seguridad de la Información 131


Seguridad en Bases de Datos
• Control de acceso en Bases de Datos:
• Uno de los puntos de seguridad más importante es la
autenticación en las bases de datos, para lo cual es
fundamental realizar el siguiente procedimiento
recomendado:
– Revisar periódicamente el modelo de autenticación
– Revisar la asignación de grupos
– Revisar la asignación de roles
– Revisar la asociación de privilegios
– Realizar una prueba “dry run”
– Revisar en detalle el modelo de asignación de privilegios

Diplomado de Seguridad de la Información 132


Seguridad en Bases de Datos
• El caso de SQL Slammer:
• Sin duda uno de los gusanos más conocidos que atacó
bases de datos es Slammer quien contagió miles de
servidores SQL Server en 2003
• Slammer explotaba una vulnerabilidad de la base de
datos de Microsoft SQL Server 2000 (MS02-039 o CVE-
2002-0649) a través del puerto 1434
• El principal daño era la no disponibilidad de la base de
datos a través de DoS o Buffer Overflow y ejecutar
código remoto utilizando el servicio UDP

Diplomado de Seguridad de la Información 133


Seguridad en Bases de Datos
• Tráfico generado por SLQ Slammer

Diplomado de Seguridad de la Información 134


Seguridad en Bases de Datos
• Modelo de control de Acceso a Bases de Datos

Diplomado de Seguridad de la Información 135


Seguridad en Bases de Datos
• La autenticación es la base del modelo de seguridad
para Bases de Datos

Auditoría
¿Qué hizo?
Cifrado
¿Quién puede
verlo?
Autorización
¿Quién puede hacerlo?

Autenticación ¿Quién es?

Diplomado de Seguridad de la Información 136


Seguridad en Bases de Datos
• Inspección profunda (Deep packet inspection)
• Es la metodología para encontrar ataques hacia las
bases de datos examinando todo el contenido del
paquete, incluyendo los parámetros de las
transacciones SQL.
• Los dispositivos que realizan esta función, se conocen
como firewall de bases de datos y auditan todas las
transacciones hacia y desde la base de datos
• Tienen la capacidad de detener una transacción
considerada fraudulenta o reportar una acción que viole
las políticas de seguridad

Diplomado de Seguridad de la Información 137


Seguridad en Bases de Datos
• Principales actores del mercado de Firewall de Bases
de Datos o DAM (Database Activity Monitoring)

Fuente: Forrester 2012 Diplomado de Seguridad de la Información 138


Seguridad en Bases de Datos
• Las principales funciones de una solución DAM
son:
– Monitorear en tiempo real todas las transacciones hacia las
bases de datos
– Comparar las transacciones con las políticas de seguridad y
reportar las diferencias
– Realizar auditoría de las transacciones críticas
– Controlar el acceso de usuarios hacia la base de datos
– Controlar los permisos de acceso de los usuarios (tablas,
recursos, etc.)
– Ofuscar la respuesta de la base de datos para información
confidencial
– Realizar análisis de vulnerabilidades a las bases de datos

Diplomado de Seguridad de la Información 139


Seguridad en Bases de Datos
• Arquitectura de una solución DAM

Diplomado de Seguridad de la Información 140


Seguridad en Bases de Datos
• Auditoría de configuraciones:
• Los cambios en las configuraciones de una base de
datos, pueden presentar una debilidad en seguridad
dado que no existe un control sobre ellos y tampoco se
realizan bajo un estándar determinado, sólo importa
que el cambio en la configuración tenga efecto.
• A través de vulnerabilidades en las configuraciones es
posible:
– Violar los controles de acceso
– Acceder a archivos o tablas confidenciales
– Alterar información de la base de datos
– Cambiar los parámetros de red

Diplomado de Seguridad de la Información 141


Seguridad en Bases de Datos
• Auditoría de configuraciones:
• La tecnología de auditoría de configuraciones o SCM
(Security Configuration Management) tiene los
siguientes componentes.
• Consola de administración y reportes: es el
encargado de monitorear los agentes en los servidores
y recibir la información de éstos para los reportes
• Base de Datos: es el repositorio central de información
para todos los datos consolidados
• Agente: es la pieza de software que se instala en el
servidor que será auditado y se encarga de monitorear
y reportar los cambios en las configuraciones

Diplomado de Seguridad de la Información 142


Seguridad en Bases de Datos
• Arquitectura de una solucione SCM

Diplomado de Seguridad de la Información 143


Seguridad en Bases de Datos
• Auditoría con herramientas SCM:
• Una herramienta SCM puede auditar las
configuraciones de muchos dispositivos de red, entre
ellos:
– Sistemas de archivos
– Bases de datos
– Servidores de Directorio
– Infraestructura virtual
– Dispositivos de red
– Dispositivos de seguridad

Diplomado de Seguridad de la Información 144


Seguridad en Bases de Datos
• Los principales criterios para elegir una herramienta
SCM son:
– Contenga una gran cantidad de librerías de políticas de
seguridad y normativas
– Soporte para múltiples plataformas
– Soporte para validación de integración de archivos de
configuración (FIM)
– Gestión y control de excepciones
– Soporte para ambientes distribuidos
– Integración con terceros (SIEM)
– Capacidad de políticas múltiples
– Guías de remedición propuestas
– Fácil de utilizar y administrar

Diplomado de Seguridad de la Información 145


Seguridad en Bases de Datos
• Las herramientas SCM más utilizadas en el mercado
son:
• Tripwire
– http://www.tripwire.com/it-security-software/scm/file-integrity-
monitoring/

• Visual SourceSafe de Microsoft


– http://msdn.microsoft.com/en-
us/library/ms181038(v=vs.80).aspx

• Integrity Control de McAfee


– http://www.mcafee.com/us/products/integrity-control.aspx

• Perforce
– https://www.perforce.com/threat-detection

Diplomado de Seguridad de la Información 146


Seguridad en Bases de Datos
• Cifrado y ofuscamiento:
• Una de las formas más efectivas de proteger la
información en las bases de datos, tanto para datos en
tránsito como en reposo es la alteración de la
información, pero guardando su contexto de tal forma
que pueda ser utilizada en ambientes de testing
• Esta tecnología en seguridad de bases de datos se
conoce como “ofuscamiento” o Data Masking
• La mayoría de los fabricantes de soluciones para bases
de datos tienen soluciones para esta problemática.

Diplomado de Seguridad de la Información 147


Seguridad en Bases de Datos
• Operación de una solución de Data Masking

Diplomado de Seguridad de la Información 148


Seguridad en Bases de Datos
• Cifrado de datos en reposo:
• Esta solución permite almacenar los datos en la base
de datos cifrados, de tal forma de protegerlos de
extravío o robo.
• Generalmente se utiliza esquema de cifrado asimétrico,
par generar una única llave de cifrado, que sólo es
compartida, bajo un esquema de confianza, con los
usuarios autorizados a acceder la data.
• El cliente lee el dato cifrado, lo transporta de esta forma
y lo descifra la aplicación cliente que accede a la base
de datos

Diplomado de Seguridad de la Información 149


Seguridad en Bases de Datos
• Cifrado de datos en reposo

Diplomado de Seguridad de la Información 150


Seguridad en Bases de Datos
• Resumen:
• Hardening en Bases de Datos
– Hardening para Oracle
– Hardening para SQL Server

• Vulnerabilidades específicas de Bases de Datos


– Security Tracker
– Security Focus

• Modelo de Defensa en Profundidad (Defense in depth)


– Capas de defensa
– Modelo de conexión de 3 capas

Diplomado de Seguridad de la Información 151


Seguridad en Bases de Datos
• Resumen (cont.):
• Vulnerabilidades en Bases de Datos
– Esquema de vulnerabilidades
– Herramientas de análisis

• Control de acceso en Bases de Datos


– SQL Slammer
– Modelo de control de acceso

• Inspección profunda (DPI)


– Soluciones DAM
– Soluciones SCM
– Cifrado y ofuscamiento

Diplomado de Seguridad de la Información 152


Pregunta 1
• Para obtener información de la transacción en una base
de datos, una solución DAM debe ser capaz de revisar
la capa de ________________ del modelo TCP/IP

• A.- Red
• B.- Transporte
• C.- Aplicación
• D.- Sesión

Diplomado de Seguridad de la Información 153


Pregunta 2
• ¿Cuál de los siguientes ítems NO es revisado por una
herramienta SCM?

• A.- Tamaño de los archivos


• B.- Permisos de los archivos
• C.- Existencia de un archivo
• D.- Sector físico donde se graba el archivo

Diplomado de Seguridad de la Información 154


Pregunta 3
• ¿Por qué razón una herramienta SCM podría detectar
la presencia de un troyano?

• A.- Porque maneja patrones de virus al igual que un AV


• B.- Porque revisa la memoria y detecta cuando el
troyano se instala ahí
• C.- Porque puede detectar cambios en los archivos y
registros del servidor
• D.- Porque revisa el trafico de red y detecta anomalías

Diplomado de Seguridad de la Información 155


DIPLOMADO DE
SEGURIDAD DE LA INFORMACION
Seguridad en aplicaciones web
Escuela de Informática y
Telecomunicaciones

156
Seguridad en aplicaciones web
• Introducción:
• Para nadie es una sorpresa saber que las aplicaciones
web están creciendo a tasas muy altas.

Diplomado de Seguridad de la Información 157


Seguridad en aplicaciones web
• Crecimiento de Internet

Fuente: Netcraft 2015 (escala logarítmica)


Diplomado de Seguridad de la Información 158
Seguridad en aplicaciones web
• Crecimiento de Internet en Chile

Fuente: NIC Chile 2016 Diplomado de Seguridad de la Información 159


Seguridad en aplicaciones web
• Tipos de aplicaciones:
• La tendencia del uso de las aplicaciones web ha
cambiado profunda y rápidamente, migrando hacia
aplicaciones de mayor interacción de usuarios, entre las
principales se cuentan
– Aplicaciones financieras (bancos)
– Compras por Internet
– Redes sociales

• Hoy en día es mucha mas la información sensible que


se maneja en las aplicaciones web lo cual plantea un
importante desafío para la Seguridad de la Información

Diplomado de Seguridad de la Información 160


Seguridad en aplicaciones web
• Componentes de una aplicación web

Diplomado de Seguridad de la Información 161


Seguridad en aplicaciones web
• Principales amenazas:
• Las principales amenazas existentes hoy en las
aplicaciones web son:
– Robo de información
– Perdida de información
– Denegación de servicio
– Defacement
– Suplantación de usuario
– Fraude
– Secuestro de sesión
– Manipulación de parámetros

Diplomado de Seguridad de la Información 162


Seguridad en aplicaciones web
• Malware on line: Top 5

Diplomado de Seguridad de la Información 163


Seguridad en aplicaciones web
• Time to market:
• Dado que hoy en día, la principal preocupación de las
empresas en obtener un rédito comercial de las
aplicaciones web, la premura con la cual se publican
produce una merma importante en la seguridad.
• Generalmente los procesos de revisión de seguridad se
realizan al final del ciclo de desarrollo de las
aplicaciones o bien cuando estas ya están en
producción.
• Muchas veces es tarde o demasiado costoso corregir
fallas de seguridad en dichas instancias.

Diplomado de Seguridad de la Información 164


Vulnerabilidades en aplicaciones web
• SQL Injection:
• Consiste en insertar sentencias SQL en los parámetros
de una aplicación web, típicamente en formularios, a
través de los cuales es posible acceder a información
confidencial
• También es posible ejecutar sentencias de alteración
de información como “insert” o “delete”.
• En algunos casos es posible ejecutar instrucciones de
operación en la base de datos o en el DBMS

Diplomado de Seguridad de la Información 165


Vulnerabilidades en aplicaciones web
• Ejemplo de SQL Injection

Diplomado de Seguridad de la Información 166


Vulnerabilidades en aplicaciones web
• Explotación de SQL Injection:
• En un formulario se inserta una sentencia SQL cuyo
valor debe ser “verdadero”, de esta forma es enviada
como sentencia a la DB sin validación
• A continuación se muestra un ejemplo:

Diplomado de Seguridad de la Información 167


Vulnerabilidades en aplicaciones web
• Explotación de SQL Injection (cont.):
• También es posible obtener los datos de una base
completa de usuarios, tal como se muestra a
continuación:

Diplomado de Seguridad de la Información 168


Vulnerabilidades en aplicaciones web
• Secuestro de sesión (Session Hijacking):
• Esta vulnerabilidad explota la falta de mecanismos de
control de una aplicación web, la cual es administrada
por un identificador de sesión o “token”.
• El atacante es capaz de robar y alterar los parámetros
de la sesión si que el servidor pueda notar dicho
cambio.
• Las aplicaciones más utilizadas dentro de este ataque
son:
– Robo de credenciales
– Suplantación de identidad
– Man in the middle

Diplomado de Seguridad de la Información 169


Vulnerabilidades en aplicaciones web
• Ejemplo de secuestro de sesión

Diplomado de Seguridad de la Información 170


Vulnerabilidades en aplicaciones web
• Explotación de Session Hijacking
• Para esta función se utiliza la herramienta ZAP Proxy
de OWASP:
– https://www.owasp.org/index.php/ZAP

• La que permite intervenir una sesión HTTP operando


como proxy del cliente browser

Diplomado de Seguridad de la Información 171


Vulnerabilidades en aplicaciones web
• Explotación de Session Hijacking (cont.):
• Una vez capturada la sesión, es posible cambiar algún
parámetro

Diplomado de Seguridad de la Información 172


Vulnerabilidades en aplicaciones web
• Cross Site Scripting (XSS):
• Esta vulnerabilidad permite inyectar alguna sentencia
dentro del código html de una aplicación, en lenguaje
JavaScript, dando al usuario la sensación de una
alteración de la pagina original.
• Sus principales aplicaciones son:
– Ataques de navegación dirigida
– Ataques de phishing
– Instalación de malware
– Defacement
– Robo de credenciales

Diplomado de Seguridad de la Información 173


Vulnerabilidades en aplicaciones web
• Ejemplo de Cross Site Scripting

Diplomado de Seguridad de la Información 174


Vulnerabilidades en aplicaciones web
• Explotación de XSS:
• Una de las herramientas utilizadas para este efecto es
ZAP Proxy de OWASP, la que permite detener el flujo
de navegación y cambiar los parámetros de inyección.
• Muestra de cambio en la aplicación ZAP Proxy

Diplomado de Seguridad de la Información 175


Vulnerabilidades en aplicaciones web
• Explotación de XSS:

Diplomado de Seguridad de la Información 176


Vulnerabilidades en aplicaciones web
• Cross Site Request Forgery (CSRF):
• Esta vulnerabilidad obliga al usuario a realizar acciones
no deseadas dado que permite modificar los
parámetros de una sesión http, aprovechando el inicio
de sesión de un usuario es posible alterar parámetros
de autenticación.
• Algunas de las acciones que es posible realizar a través
de este ataque son:
– Alteración de datos de usuarios
– Creación de usuarios no deseados
– Cambio de configuraciones
– Cambio de contraseñas

Diplomado de Seguridad de la Información 177


Vulnerabilidades en aplicaciones web
• Ejemplo de CSRF

Diplomado de Seguridad de la Información 178


Vulnerabilidades en aplicaciones web
• Explotación de CSRF:
• Para esto se utiliza la herramienta de OWASP
CSRFTester disponible en:
– https://www.owasp.org/index.php/File:CSRFTester-1.0.zip

• Esta herramienta permite identificar una pagina


vulnerable a CSRF y además crear la pagina html para
su explotación, opera como proxy y captura la sesión de
autenticación:

Diplomado de Seguridad de la Información 179


Vulnerabilidades en aplicaciones web
• Explotación de CSRF (cont.):
• Luego permite generar un archivo html con los
parámetros que se desean manipular

Diplomado de Seguridad de la Información 180


Vulnerabilidades en aplicaciones web
• Explotación de CSRF (cont.):
• Finalmente, se edita el archivo html generado, se
cambian los parámetros y se ejecuta aprovechando la
autenticación del usuario.

Diplomado de Seguridad de la Información 181


Vulnerabilidades en aplicaciones web
• Inyección de comandos:
• Esta vulnerabilidad permite ejecutar comandos de
sistema operativo a través de entradas de datos en
aplicaciones web, tales como formularios.
• Debido a lo no validación de las entradas es posible
obtener información confidencial del sistema.
• Las principales aplicaciones de esta vulnerabilidad son:
– Obtener información del Sistema Operativo
– Obtener información de la aplicación web
– Ejecutar comandos desde el servidor atacado
– Alterar información de la aplicación web

Diplomado de Seguridad de la Información 182


Vulnerabilidades en aplicaciones web
• Flujo de ataque de Ejecución de comandos

Diplomado de Seguridad de la Información 183


Vulnerabilidades en aplicaciones web
• Explotación de Inyección de comandos:
• Para lograr la explotación de esta vulnerabilidad es
necesario ingresar los comandos de sistema operativo
en el formulario con un parámetro de separación
• De esta forma la aplicación que no valida los comandos
adecuadamente procederá con la ejecución del
comando en el sistema operativo con los privilegios del
usuario que ejecuta la aplicación web

Diplomado de Seguridad de la Información 184


Vulnerabilidades en aplicaciones web
• Explotación de Inyección de comandos (cont.):
• Otro caso, permite obtener la base de datos de usuarios
del Sistema Operativo

Diplomado de Seguridad de la Información 185


Análisis de seguridad en aplicaciones web
• Tipos de evaluaciones:
• Para realizar un análisis de seguridad de aplicaciones
web, existen tres metodologías utilizadas:
– Evaluación de vulnerabilidades (VA): este proceso tiene por
objetivo identificar y clasificar las vulnerabilidades de una
aplicación web, es un proceso que se realiza,
fundamentalmente, con herramientas.
– Test de penetración o Ethical Hacking: tiene por objetivo
lograr la explotación de las vulnerabilidades mas criticas, para
de esta forma generar la evidencia de la existencia de dicha
vulnerabilidad y el nivel de daño que puede causar. Además se
obliga al reporte de las vulnerabilidades explotadas a algún
organismo de seguridad o bien al dueño de la aplicación.

Diplomado de Seguridad de la Información 186


Análisis de seguridad en aplicaciones web
• Las fases de un análisis de vulnerabilidad son las
siguientes:
– Inventariar los activos que serán parte del análisis
– Asignar un valor de importancia a cada uno de los activos en
función de rol en el negocio de la compañía
– Identificar las vulnerabilidades con una o más herramientas que
además las cataloguen en función de su nivel de riesgo
– Eliminar los falsos positivos que se produzcan con la
información adicional de los activos que están bajo análisis
– Entregar un reporte con el detalle y la clasificación de todas las
vulnerabilidades encontradas y el procedimiento de mitigación
en cada caso.
– Opcional: la ejecución de la mitigación, generalmente no forma
parte de este proceso.

Diplomado de Seguridad de la Información 187


Análisis de seguridad en aplicaciones web
• Ejemplo de clasificación de vulnerabilidades según
Acunetix: herramienta especializada en
vulnerabilidades de aplicaciones web
• Utiliza cuatro niveles:

Diplomado de Seguridad de la Información 188


Análisis de seguridad en aplicaciones web
• Ejemplo de reporte de una vulnerabilidad en una
aplicación web

Diplomado de Seguridad de la Información 189


Análisis de seguridad en aplicaciones web
• Las fases de un test de penetración son las
siguientes:
– Reconocimiento: corresponde a la etapa preparatoria en la
cual se recopila toda la información necesaria para el análisis,
esto es servidores, usuarios, redes, etc.
– Existen dos tipos de reconocimiento dentro del proceso:
• Reconocimiento Pasivo: en el cual se obtiene la información
sin interactuar con los usuarios u objetivos
• Reconocimiento activo: en el cual se obtiene la información
interactuando con el usuario u objetivo
– Scanning: corresponde al barrido de puertos que se realiza
sobre el objetivo con el propósito de obtener la información de
que servicios esta ejecutando, sistema operativo, uptime del
sistema, etc. Este proceso, generalmente se automatiza a
través de herramientas.

Diplomado de Seguridad de la Información 190


Análisis de seguridad en aplicaciones web
• Fases de un test de penetración (cont.):
– Ganar acceso: en esta etapa es cuando se logra explotar la
vulnerabilidad obteniendo acceso al sistema , ya sea al sistema
operativo o a alguna de las aplicaciones. A este nivel es donde
ocurre el escalamiento de privilegio para poder obtener acceso
todo el sistema.
– Mantenimiento del acceso: en esta etapa es cuando se
produce el daño a los sistemas de información a través de
envío de archivos o manipulación de datos o configuraciones
– Borrado de huellas: en esta fase se borran todos los registros
del ataque de tal forma que no quede evidencia en el sistema,
el borrado de logs y registros forman parta de esta etapa.

Diplomado de Seguridad de la Información 191


Análisis de seguridad de aplicaciones web
• SDLC:
• Software Development Life Cycle: Corresponde a la
metodología de desarrollo que permite crear o modificar
aplicaciones en fases.
• Hoy en día, se aplica a todo tipo de desarrollo de
aplicaciones, en particular a aplicaciones web.
• Las fases de las que consta esta metodología son:
– Análisis
– Diseño
– Desarrollo
– Pruebas
– Finalización

Diplomado de Seguridad de la Información 192


Análisis de seguridad en aplicaciones web
• Esquema grafico de SDLC

Diplomado de Seguridad de la Información 193


Análisis de seguridad en aplicaciones web
• Fases de un SDLC:
• Análisis: en esta etapa se definen los objetivos de la
aplicación, su viabilidad y análisis de requerimientos en
forma detallada y la elección de la metodología y
lenguaje de programación
• Diseño: acá se describen en detalle los diagramas y
procesos de negocio que formarán parte de la
aplicación, los diagramas de jerarquía y reglas de
negocio, en general todo el detalle para que el
programador pueda empezar a trabajar

Diplomado de Seguridad de la Información 194


Análisis de seguridad en aplicaciones web
• Fases de un SDLC (cont.):
• Desarrollo: realización del código de programación,
unidades de prueba, todos los módulos que forman
parte de la aplicación previo a su integración al modulo
principal
• Pruebas: todas las pruebas a las que pueda ser
sometida la aplicación, funcionales, de estrés, pruebas
de usuario, pruebas de seguridad. En caso de alguna
falla, el módulo afectado debe volver a la fase
correspondiente.
• Finalización: corresponde a la entrega del proyecto, su
implementación y validación de parte del área usuaria

Diplomado de Seguridad de la Información 195


Análisis de seguridad en aplicaciones web
• Seguridad en SDLC:
• Consiste en aplicar revisiones de seguridad en cada
una de las fases del proceso, con el objetivo de
minimizar el impacto de una posible vulnerabilidad o
error de programación.
• Según los especialistas, las etapas de revisión
prematuras reducen los costos de mitigación
posteriores
• Resolviendo el 50% de las vulnerabilidades en la etapa
de desarrollo, se ahorra un 75% en mitigación
– Fuente: Gartner

Diplomado de Seguridad de la Información 196


Análisis de seguridad en aplicaciones web
• Seguridad en SDLC

Diplomado de Seguridad de la Información 197


Análisis de seguridad en aplicaciones web
• Hay algunos que prefieren vivir en la ignorancia

Diplomado de Seguridad de la Información 198


Análisis de seguridad en aplicaciones web
• Ahorro de costos en SDLC

Fuente: AMC 2012 199


Diplomado de Seguridad de la Información
Análisis de seguridad en aplicaciones web
• OWASP (Open Web Application Security Project):
• Organización sin fines de lucre que existe desde el año
2001, dedicada principalmente a desarrollar, mantener
y operar aplicaciones web en forma segura
• OWASP se encarga de la publicación de información
que ayuda a mejorar los procesos de desarrollo de
aplicaciones web en cada una de sus fases
• Sitio web:
– https://www.owasp.org/index.php/Main_Page

Diplomado de Seguridad de la Información 200


Análisis de seguridad en aplicaciones web
• Guía de revisión de OWASP:
• Una de las publicaciones mas importantes de OWASP
es la guía de revisión de aplicaciones:
– https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_
Table_of_Contents

• Este documento incluye:


– Aplicaciones para pentesting web
– Herramientas para desarrollo seguro
– Métodos de revisión de aplicaciones
– Métodos de revisión de control de acceso
– Testing de vulnerabilidades
– Revisión de criptografía

Diplomado de Seguridad de la Información 201


Análisis de seguridad de aplicaciones web
• Guía de mitigación de OWASP:
• En el sitio de OWASP se encuentra la guía de
mitigación de las vulnerabilidades en el documento
“OWASP Top 10 2013”, el que se puede encontrar en el
siguiente link:
– https://www.owasp.org/index.php/Top_10

• En este documento se encuentra la información para


realizar las mitigaciones de cada una de las
vulnerabilidades

Diplomado de Seguridad de la Información 202


Análisis de seguridad de aplicaciones web
• Guía de mitigación OWASP (cont.):

Diplomado de Seguridad de la Información 203


Análisis de seguridad en aplicaciones web
• OWASP en SDLC
• OWASP recomienda la siguiente metodología para
revisión de código dentro del modelo SDLC

Análisis Diseño Desarrollo Pruebas Finalización

Análisis de Riesgo Análisis de Código Métricas de PenTesting


- Usuarios - Manual Seguridad
- Arquitectura - Automático

Diplomado de Seguridad de la Información 204


Análisis de seguridad en aplicaciones web
• Herramientas proxy:
• Una de las técnicas mas utilizadas para realizar análisis
de seguridad en aplicaciones web es la de realizar un
proxy de la conexión al servidor, de tal forma que pueda
ser analizada pro una aplicación, la que hace las veces
de proxy
• Para ello se debe configurar el browser con la función
proxy habilitada en las conexiones de red, asociada al
puerto que sirve la aplicación de seguridad
• Las aplicaciones mas utilizadas que cumplen esta
función son:
– Zaproxy, BurpSuite, W3AF, WebScarab.

Diplomado de Seguridad de la Información 205


Análisis de seguridad para aplicaciones web
• Zaproxy:
• Esta herramienta permite inyectar comandos para
validar la existencia de vulnerabilidades en la aplicación
web, tales como SQL Injection, CRLF, etc.

Diplomado de Seguridad de la Información 206


Análisis de seguridad en aplicaciones web
• Zaproxy (cont.):
• También permite realizar revisiones de seguridad
pasivas en las aplicaciones web, con el objeto de
determinar si esta es vulnerable, utilizando la técnica
del “parsing” que consiste en ejecutar un comando y
medir la respuesta

Diplomado de Seguridad de la Información 207


Análisis de seguridad en aplicaciones web
• BurpSuite:
• Permite interceptar una petición web y cambiar los
parámetros para comprobar la validación y si la
aplicación es vulnerable a inyección de código o cambio
de parámetros

Diplomado de Seguridad de la Información 208


Análisis de seguridad en aplicaciones web
• BurpSuite (cont.):
• También es posible, a través de esta aplicación, realizar
análisis de fuerza bruta o ataques de diccionario, con el
objeto de medir si la aplicación tiene validación de
parámetros o control de autenticación.

Diplomado de Seguridad de la Información 209


Análisis de seguridad en aplicaciones web
• W3AF:
• Aplicación de código abierto que permite auditar y
explotar vulnerabilidades, tiene un perfil para detectar
las 10 vulnerabilidades “top 10”, según el reporte de
OWASP

Diplomado de Seguridad de la Información 210


Análisis de seguridad en aplicaciones web
• WebScarab:
• Su herramienta “spider” permite capturar el árbol de
navegación del usuario conectado al proxy, de esta
forma conocer todas las url que forman parte de la
aplicación

Diplomado de Seguridad de la Información 211


Análisis de seguridad de aplicaciones web
• Herramientas de análisis de aplicaciones web
• W3AF
– http://w3af.org/

• ZAP Proxy de OWASP


– https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_
Project

• BurpSuite de PortSwigger
– http://portswigger.net/burp/download.html

• WebScarab de OWASP
– https://www.owasp.org/index.php/Category:OWASP_WebScara
b_Project

Diplomado de Seguridad de la Información 212


Análisis de seguridad en aplicaciones web
• Resumen:
• Introducción
– Crecimiento en Internet
– Tipos de aplicaciones

• Principales amenazas
– OWASP Top 10
– SQL Injection
– Session Hijacking
– XSS
– CSRF
– Inyección de comandos

Diplomado de Seguridad de la Información 213


Seguridad en aplicaciones web
• Resumen (cont.):
• Evaluaciones de seguridad
– Fases de un análisis de seguridad
– Clasificación de vulnerabilidades web
– Test de penetración web

• SDLC
• OWASP
– Guía de revisión de OWASP
– Métodos de mitigación

• Herramientas

Diplomado de Seguridad de la Información 214


Pregunta 1
• ¿Qué vulnerabilidad permite realizar la redirección del
contenido estático de una aplicación web, manteniendo
el contexto de confianza?

• A.- CSRF
• B.- XSS
• C.- SQL Injection
• D.- Command Injection

Diplomado de Seguridad de la Información 215


Pregunta 2
• ¿A qué vulnerabilidad corresponde la siguiente
sentencia?
– <script>alert("This is a test.")</script>

• A.- SQL Injection


• B.- Cross Site Scripting
• C.- Inyección de comandos
• D.- CSRF

Diplomado de Seguridad de la Información 216


Pregunta 3
• ¿En cuál de las siguientes fases de un SLDC
corresponde realizar un análisis de riesgo de la
aplicación?

• A.- Análisis o requerimiento


• B.- Desarrollo
• C.- Diseño
• D.- Pruebas

Diplomado de Seguridad de la Información 217


Pregunta 4
• ¿Cuál de las siguientes definiciones se ajusta más a la
metodología propuesta por OWASP?

• A.- Un framework de seguridad


• B.- Una lista de vulnerabilidades y su correspondiente
mitigación
• C.- Una base de datos de parches para aplicaciones
web
• D.- Una certificación de seguridad para aplicaciones
web

Diplomado de Seguridad de la Información 218


Pregunta 5
• ¿En que fase de un SDLC seguro se utilizaría una
herramienta como W3AF?

• A.- Diseño
• B.- Finalización
• C.- Pruebas
• D.- Desarrollo

Diplomado de Seguridad de la Información 219


DIPLOMADO DE
SEGURIDAD DE LA INFORMACION
SEGURIDAD EN APLICACIONES Y SO
Escuela de Informática y
Telecomunicaciones

220

You might also like