Exposicion univ simon_bolivar

11,138 views
11,190 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
11,138
On SlideShare
0
From Embeds
0
Number of Embeds
10,353
Actions
Shares
0
Downloads
13
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Today’s typical way of fighting cybercrime is that every company is pretty much on their own. They fight the attacks with their own tools separately and attempt to minimize the damage. The result is that over 85% of breaches took way too long to discover. Much damage can be done in that length of time.
  • Exposicion univ simon_bolivar

    1. 1. SEGURIDAD INFORMATICA:Aplicaciones en la Red Ing. Jorge Trujillo Ramirez Consultor de Seguridad Informática 1
    2. 2. LOS CASOS DEL CIBERCRIMENMuchas empresas luchan por su cuenta contra los ataques85% de los ataques demoran entre 2 semenas o meses en ser descubiertos 2
    3. 3. INTRODUCCION– Cuando se habla de la seguridad en aplicaciones Web normalmente, no se habla de las vulnerabilidades de los sistemas operativos o servidores Web.– A menudo, se habla de las vulnerabilidades del propio software y/o aplicaciones desarrolladas por la empresa o por un tercero.– La seguridad en las aplicaciones Web se encuentran ligadas, exclusivamente, con la lógica, código fuente y contenido de una aplicación. 3
    4. 4. – Las vulnerabilidades que afectan a las aplicaciones Web pueden ser explotadas en distintas plataformas, en contraste de lo que ocurre con otros tipos de vulnerabilidades dependientes de la plataforma donde estos se ejecutan o corren. 4
    5. 5. e) Tipos de Aplicaciones: - Web Site Público (información destinada al público) - Intranet (ERP/CRM/Productividad) - Extranet (Productividad/B2B/B2C) 5
    6. 6. VULNERABILIDAD WEB– Para proteger exitosamente una aplicación Web es necesario conocer los tipos de ataques existentes y la vulnerabilidad que éstos explotan para entender sus posibles variaciones.– SecurityFocus, organización dedicada a la seguridad informática, analizó 60,000 incidentes de seguridad en aplicaciones Web ocurridos durante el 2011.– Se determinó que los ataques hacia aplicaciones Web más utilizados aprovechan las vulnerabilidades de las seguridad publicadas y/o conocidas. 6
    7. 7. VULNERABILIDAD WEBa) Zone-h contabiliza 2.500 intrusiones Web con éxito cada día en 2011.b) Se atacan todas las tecnologíasc) Los ataques se han escalado desde el sistema operativo a la aplicación.d) Ataques no masivos.e) Motivos: – Económicos – Venganza – Reto – Just For Fun 7
    8. 8. VULNERABILIDAD WEB– Hoy no se registran nuevos tipos de vulnerabilidades tan sólo variaciones de las conocidas. Normalmente, los ataques se realizan en la capa de aplicación por los puertos (80 y 443)– Esto es confirmado por organizaciones internacionales comprometidas con la seguridad Web: - OWASP www.owasp.org - WebAppSec www.webappsec.org 8
    9. 9. VULNERABILIDAD WEB OW AS PT OP TE Nhttp://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project 9
    10. 10. TIPOS DE ATAQUE Cross Site Scripting (XSS)XSS ocurre cuando portales web de contenidodinámico muestran variables de entrada suplidas porel usuario sin una propia validación. Estavulnerabilidad permite a un atacante la inyección decódigo que será ejecutado por el navegador Web dela persona que visualiza la página, (la víctima) http://www.xssed.org/ 10
    11. 11. TIPOS DE ATAQUE Manipulación del Path La manipulación de path (Path Trasversal) afecta aaplicaciones que toman entrada de los usuarios y la utilizan en un path para acceder al sistema dearchivos. Si el atacante ingresa caracteres especiales que modifican el path la aplicación, podrá permitir el acceso no autorizado a recursos del sistema. 11
    12. 12. TIPOS DE ATAQUE Manipulación del Path www.sitio.com/imprimir.php?file=archivo1.txt www.sitio.com/imprimir.php?file=../../etc/passwd www.sitio.com/imprimir.php?file=../../scripts/db.inc 12
    13. 13. APLICACIONES : WEBGOAT Aplicación Web, deliberadamente, creada para ser insegura basada en J2EE y desarrollada por OWASP. Actualmente existen más de 30 lecciones que incluyen vulnerabilidades comoXSS, Control de Accesos, SQL Injection, Cookies débiles y Manipulación de Parámetros. 13
    14. 14. APLICACIÓN: DAMN VULNERABLE WEB Es una aplicación (PHP/MySQL) de entrenamiento enseguridad Web que se destaca por ser de liviano peso. Permite entrenamiento en seguridad Web en SQL Injection, XSS (Cross Site Scripting), LFI (Local File Inclusion), RFI (Remote File Inclusion), Command Execution, Upload Script y Login Brute Force. 14
    15. 15. TIPOS DE ATAQUESMAN-IN-THE-MIDDLEEs un ataque activo en el cual un sujeto intercepta ymodifica los mensajes transmitidos entre doscomputadores, este tipo de ataque puede ser mitigado confirmar digitales y números de secuencia. 15
    16. 16. TIPOS DE ATAQUESNIFFINGEs un tipo de ataque que consiste en interceptar y acceder alos datos y otra información contenida en un flujo de unasistema de comunicación.Es un ataque pasivo donde un intruso monitorea la red,utilizando dispositivos o programas que le permiten ver losdatos que viajan a través de la red, con la intención de obtenerinformación de la víctima para, posteriormente, realizar unataque. Una contramedida para este tipo de ataques esencriptación de los datos transmitidos. 16
    17. 17. TIPOS DE ATAQUESFUERZA BRUTAEs una manera de intentar acceder a un sistema de maneraexhaustiva. Existen distintos sub-tipos de ataque:DICCIONARIOSe intenta acceder mediante la utilización de una lista de palabras dediccionario más otras palabras relacionadas con la persona yempresa.WAR DIALINGMétodo donde el atacante apoyado de un programa, marca una grancantidad de números telefónicos con el objetivo de encontrar uno endonde exista un modem en lugar de un teléfono. Estos módemspueden proveer fácil acceso. Una contramedida para este tipo deataques es no publicar los números y limitar el acceso a módems. 17
    18. 18. TIPOS DE ATAQUEDENEGACIÓN DE SERVICIOS (DOS)Tipo de ataque en el cual un atacante deja degradado oinoperante un sistema, algunos ejemplos son: –Ping de la muerte –Smurf Attack –Scannig 18
    19. 19. Prevención y detección de ataques.SPOOFINGEste tipo de ataques (sobre protolocos) suele implicar un buenconocimiento del protocolo en el que se va a basar el ataque. Losataques tipo Spoofing bastante conocidos son el IP Spoofing, el DNSSpoofing y el Web Spoofing IP SpoofingCon el IP Spoofing, el atacante genera paquetes de Internet con unadirección de red falsa en el campo From, pero que es aceptada por eldestinatario del paquete. Su utilización más común es enviar lospaquetes con la dirección de un tercero, de forma que la víctima "ve"un ataque proveniente de esa tercera red, y no la dirección real delintruso. 19
    20. 20. TIPOS DE ATAQUESWEB SPOOFINGEn el caso Web Spoofing el atacante crea un sitio webcompleto (falso) similar al que la víctima desea entrar. Losaccesos a este sitio están dirigidos por el atacante,permitiéndole monitorizar todas las acciones de la víctima,desde sus datos hasta las passwords, números de tarjetade créditos, etc. El atacante también es libre de modificarcualquier dato que se esté transmitiendo entre el servidororiginal y la víctima o viceversa. 20
    21. 21. TIPOS DE ATAQUESIP SPLICING-HIJACKINGSe produce cuando un atacante consigue interceptar unasesión ya establecida. El atacante espera a que la victimase identifique ante el sistema y tras ello le suplanta comousuario autorizado. 21
    22. 22. Prevención y detección de ataques. Herramientas disponibles: 22
    23. 23. DEMOSTRACION–CASO I : Servidor de Correo–CASO II: Algo extraño en la Red 23
    24. 24. CORRECIONESLos problemas de seguridad de las redes pueden dividirse deforma general en cuatro áreas interrelacionadas: El secreto, encargado de mantener la información fuerade las manos de usuarios no autorizados.La validación de identificación, encargada de determinar la identidadde la persona/computadora con la que se esta hablando.El control de integridad, encargado de asegurar que el mensajerecibido fue el enviado por la otra parte y no un mensaje manipuladopor un tercero.El no repudio, encargado de asegurar la “firma” de los mensajes, deigual forma que se firma en papel una petición de compra/venta entreempresas. 24
    25. 25. MUCHAS GRACIAS 25

    ×