Curso basicoseguridadweb slideshare2

614 views

Published on

Curso básico seguridad web 2:
Vulnerabilidades

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
614
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
29
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Curso basicoseguridadweb slideshare2

  1. 1. SEGURIDAD Y APLICACIONES WEB Licencia Creative Commons Esta obra esta distribuida bajo una licencia de: <ul><li>Reconocimiento (Attribution): En cualquier explotación de la obra autorizada por la licencia hará falta reconocer la autoría.
  2. 2. No Comercial (Non commercial): La explotación de la obra queda limitada a usos no comerciales.
  3. 3. Compartir Igual (Share alike): La explotación autorizada incluye la creación de obras derivadas siempre que mantengan la misma licencia al ser divulgadas. </li></ul>
  4. 4. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. Vulnerabilidades
  5. 5. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. <ul><li>Vulnerabilidad. Descripción: </li></ul><ul><ul><li>Entendemos por vulnerabilidad aquellos errores de diseño, implementación o configuración en las aplicaciones o sistemas (sistema operativo, software servidor, aplicaciones, aplicaciones web,...) que nos permiten realizar un ataque sobre la información o recursos del sistema.
  6. 6. La explotación de una vulnerabilidad consistirá en utilizar dicha vulnerabilidad para obtener la información o control sobre los recursos del sistema. </li></ul></ul>
  7. 7. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. <ul><li>Algunas vulnerabilidades muy comunes: </li></ul><ul><ul><li>En aplicaciones web </li><ul><li>Sql Injection (SQLi)
  8. 8. Cross Site Scripting (XSS)
  9. 9. Abuso de funcionalidad </li></ul><li>BufferOverflow </li><ul><li>A través de esta técnica se consigue escribir en áreas de memoria del sistema fuera del contexto de aplicación, consiguiendo la ejecución de código inyectado. </li></ul></ul></ul>
  10. 10. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. <ul><li>Existen diversidad de formas de clasificar vulnerabilidades </li></ul><ul><ul><li>Explotabilidad (existen exploits)
  11. 11. Impacto
  12. 12. Vector de acceso (local, red, remoto,...) </li></ul></ul><ul><li>Existen buscadores de vulnerabilidades donde podemos encontrarlas clasificadas en función de diferentes parámetros </li></ul>
  13. 13. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. <ul><li>El tipo de vulnerabilidad más peligroso es una vulnerabilidad 0day </li></ul><ul><ul><li>Es aquella que es desconocida tanto para el fabricante como para el público
  14. 14. Por lo tanto: </li><ul><li>No existe parche que aplicar
  15. 15. No existe forma de detección conocida (los IDS no la encontrarán) </li></ul></ul></ul>
  16. 16. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. ¿Como saber las vulnerabilidades que tiene un determinado producto? Existen buscadores de vulnerabilidades: http://cert.inteco.es/vulnSearch/Actualidad/Actualidad_Vulnerabilidades/buscador_vulnerabilidades/?postAction=getVulns
  17. 17. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. RIESGO
  18. 18. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. ¿Quien va a querer atacar mi ordenador o sistema? Para responder a esta pregunta que mejor que algunas estadísticas
  19. 19. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. Vulnerabilidades y Malware en internet Algunas datos representativos en cuanto al número de vulnerabilidades y malware reportado a lo largo de los últimos años: <ul><li>8000 nuevas vulnerabilidades durante este año
  20. 20. 60 millones de elementos malware diferentes detectados. </li></ul>
  21. 21. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. Número de vulnerabilidades reportadas por año
  22. 22. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. Fabricantes ordenados por número de vulnerabilidades reportadas por año (mayor a menor)
  23. 23. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. Número de ficheros malware diferente detectados.
  24. 24. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. Número de vulnerabilidades web (% del total de vulnerabilidades) por año
  25. 25. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. Parece que existe bastante malware y vulnerabilidades en internet ¿NO?
  26. 26. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. Número de equipos limpiados por cada mil analizados (2010) (Reporte de Microsoft) „ Opinión”: España se encuentra entre los países del mundo con más equipos infectados
  27. 27. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. ASDF ASDF Número de infecciones (medidas en función de los equipos limpiados)(Reporte de Microsoft)
  28. 28. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet.
  29. 29. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. La utilidad de este tipo de estadísticas es relativa ya que son estadísticas parciales. Suelen ser recogidas por algún fabricante de antivirus por lo que representa a un segmento de los equipos Como podemos ver viendo las dos últimas transparencias: <ul><li>Según microsoft los equipos en los que se ha detectado infección (suponiendo 29 millones de usuarios en España) es de un 9%
  30. 30. Según Panda Labs de un 42% </li></ul>Ni para ti ni para mi, pongamos un 25% que sería la probabilidad anual que tenemos de resultar infectados por malware
  31. 31. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. Porcentajes de ataques web más utilizados (2010)
  32. 32. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. Número de correos electrónicos con phising con respecto del total de SPAM ¡1 de cada 445 correos es SPAM!
  33. 33. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. Actividad Botnet por zona geográfica Actividad Botnet por zona geográfica Actividad Botnet por zona geográfica Actividad Botnet por zona geográfica
  34. 34. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. Número ataques a sitios web diarios
  35. 35. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. Uso de redes sociales en España (2010) El uso de la redes sociales para la distribución de malware afecta a un gran número de usuarios
  36. 36. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. Venta de bienes y servicios en el mercado negro Si existe demanda existe gente que se encarga de conseguirlo. Los precios dan a entender ventas masivas
  37. 37. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. <ul><li>Otros hechos significativos a resaltar durante el período 2010 son: </li></ul><ul><ul><li>Se estima que el 50% del código dañino recibido por los principales proveedores antivirus es nuevo.
  38. 38. La categoría de software dañino que ha experimentado un mayor incremento (51%) son los programas de captura de información del usuario, especialmente los keylogger y los troyanos bancarios.
  39. 39. Un 99,4% de los programas dañinos son para Windows.
  40. 40. Las redes sociales se han convertido en una nueva vía principal de distribución de código dañino, especialmente Twitter y Facebook.
  41. 41. Los archivos en PDF siguen siendo la fuente predominante de explotación de vulnerabilidades. </li></ul></ul>
  42. 42. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. Uso de sistemas operativos en España
  43. 43. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. Uso de navegadores y sus versiones en España
  44. 44. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. La creación de malware es una actividad que busca maximizar el número de equipos infectados para aumentar el beneficio por malware distribuido. Se creará malware que pueda ser ejecutado en las plataformas mayoritarias: <ul><li>Windows
  45. 45. Internet Explorer </li></ul>
  46. 46. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. Estudio antivirus, tanto por ciento de virus no detectados de entre una muestra de 400 ficheros con malware Con usar un único antivirus en nuestro sistema no estamos protegidos del 100% de virus conocidos por no hablar de los desconocidos
  47. 47. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. A continuación vamos a hacer el ejercicio mental de valorar el riesgo en nuestras actividad habitual con el ordenador de casa
  48. 48. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. <ul><li>Activos: </li></ul><ul><ul><li>Portátil
  49. 49. Fotos familiares últimos 5 años
  50. 50. Datos personales (currículum, escaneo de DNI, números de cuentas bancarios, contraseñas, …)
  51. 51. Datos personales II(Uso que hago de internet, búsquedas que realizo, páginas que visito, artículos que leo... ¿tendencias políticas, religiosas,...? </li></ul></ul>
  52. 52. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. <ul><li>Uso que se da al ordenador </li></ul><ul><ul><li>Acceso al banco y compras electrónicas
  53. 53. Acceso a correo electrónico personal y de empresa
  54. 54. Instalación de software fraudulento (crackeado)
  55. 55. Abro los adjuntos y pincho en los enlaces de los correos y redes sociales.
  56. 56. Adobe Reader 8
  57. 57. Uso windows XP e Internet explorer 7. (Sin actualizaciones)
  58. 58. Tengo un antivirus que comprueba todos los archivos </li></ul></ul>
  59. 59. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. <ul><li>Amenazas en función del uso: </li></ul><ul><ul><li>Robo de credenciales
  60. 60. Control total del sistema por parte de terceros
  61. 61. A través de vulnerabilidades en: </li><ul><li>SO (Vulnerabilidades en los servicios expuestos a internet/intranet)
  62. 62. Navegador (Pinchar un enlace a un sitio inseguro + vulnerabilidad conocida en navegador puede servir para ser controlado en remoto)
  63. 63. Instalación de un troyano, backdoor, keylogger, ... al instalar un crack o software pirateado, etc...
  64. 64. Instalación de malware al abrir un PDF </li></ul></ul></ul>
  65. 65. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. <ul><li>Riesgo de que las amenazas se materialicen: </li></ul><ul><ul><li>Alto debido a malas prácticas: </li><ul><li>Actualizaciones automáticas de so y software adicional no activadas
  66. 66. Apertura de adjuntos de fuentes no confiables
  67. 67. Clic en enlaces no confiables
  68. 68. Instalación de software pirata </li></ul></ul></ul>
  69. 69. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. Gran parte de los usuarios y empresas actuales se podrían ver reflejados en gran parte con el ejemplo anterior. Queda a mi juicio mucho camino por andar para considerar nuestros sistemas al menos un poco seguros.
  70. 70. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. <ul><li>Conclusiones: </li></ul><ul><ul><li>El riesgo de que alguien quiera atacar tu sistema/s existe
  71. 71. Existe un mercado de delincuencia organizada alrededor de la venta de información y recursos informáticos robados.
  72. 72. Existen vulnerabilidades en todos los sistemas.
  73. 73. Debemos contemplar la seguridad como una dimensión importante en nuestro uso de las tecnologías informáticas. </li></ul></ul>
  74. 74. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. Conclusiones: (Valoración personal) <ul><li>El riesgo de resultar afectado es ALTO </li></ul><ul><ul><li>El número de vulnerabilidades y malware existente hace muy probable resultar infectado
  75. 75. El interés de los atacantes esta tanto en el usuario particular como en las organizaciones </li><ul><li>Existe un mercado para vender la información (secretos comerciales, cuentas bancarias,... y los recursos de máquina: botnets) </li></ul><li>La plataforma más atacada es windows+iExplorer+Adobe
  76. 76. Todas las plataformas tienen vulnerabilidades </li></ul></ul>
  77. 77. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. ¿Que pensáis vosotros?
  78. 78. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. ¿Que podemos hacer? <ul><li>Analizar la situación de cada uno de nuestros activos (tanto como usuario como empresa)
  79. 79. Valorar su importancia
  80. 80. Protegerlos en consecuencia </li></ul>
  81. 81. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. ¿Como aumentamos la seguridad? <ul><li>La seguridad es una dimensión más a contemplar en todos los aspectos de un sistema/empresa.
  82. 82. Aumentar la formación de los usuarios. </li></ul><ul><ul><li>Todos los usuarios, técnicos y no tan técnicos </li></ul></ul><ul><li>Entender la seguridad como un proceso continuo de mejora </li></ul>Entre otras muchas cosas...
  83. 83. SEGURIDAD Y APLICACIONES WEB [I n ]Seguridad en internet. La seguridad siempre irá reñida con la funcionalidad por lo que se debe llegar a un compromiso. El sistema más seguro es aquel que esta apagado, desenchufado y desconectado de la red Evidentemente dicho sistema no provee ninguna funcionalidad Un sistema debe proveer la funcionalidad para la que ha sido diseñado con el máximo nivel de seguridad posible.

×