22 de septiembre de 2015
Transcripción
22 de septiembre de 2015
FRAMEWORK DE ATAQUES WEB v 1.0 Como los Ciberdelincuentes se aprovechan de sitios web inseguros “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Agenda • • • • • • ¿Qué pasa cuando un sitio web se encuentra sin seguridad? Técnica de robo de Credenciales viajando de forma insegura Técnica hombre en el medio (MiTM) Re-direccionamiento y reenvíos no válidos Configuración por defecto Cross Site Scripting Frame SQL Injection Técnica de web Shell Técnicas de DOS ¿Qué pasa cuando un sitio web se encuentra con seguridad? Buenas prácticas para sitios web. “Best Practices” 5 Alertas de Sitios web Vulnerables Sitios Web comprometidos Reflexión “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Técnica de robo de Credenciales viajando de forma insegura “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Técnica hombre en el medio (MiTM) “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Re-direccionamiento y reenvíos no válidos “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Configuración por defecto “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Google Dorks “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Google Dorks ext:pwd inurl:(service | authors | administrators | users) “# -FrontPage-“ http://csml9.pme.nthu.edu.tw:8080/old%20webs/frontpage%20webs/content/_vti_pvt/service.pwd http://www.ksghauser.harvard.edu/philanthropyclassics/_vti_pvt/service.pwd http://www.ricepropulsion.com/_vti_pvt/service.pwd filetype:sql “MySQL dump” (pass|password|passwd|pwd) filetype:sql “# dumping data for table” “`PASSWORD` varchar” http://dis.unal.edu.co/~icasta/GGP/_Ver_2009_1/GGP_2009_1_gr2/GGP20091GR2_Ciclo2/GGP20091GR2_C2Ef/Instalacion_Producto/CreacionB D-SIAC.sql http://ccia.ei.uvigo.es/docencia/SCS/1112/jee/scs_reservas.sql http://proyectocompartedeporte.googlecode.com/svn-history/r135/trunk/compartedeporte/src/compartedeporte.sql http://www.aviatecenter.com/burdekin/handle/my_db.sql http://www.tuttoacasaonline.com/sql/ion_auth.sql intitle:”index of” “Index of /” password.txt http://www.cse.buffalo.edu/~rapaport/727cva/EMAIL/ http://gray-world.net/etc/passwd/ http://www.hackershandbook.org/1000/ camera linksys inurl:main.cgi 700 cámaras disponibles para que un hacker nos vea. No hace falta contraseña, para entrar http://camera.hadstenhouse.com/main.cgi?next_file=v_video.htm http://mail.duncan.ca:58650/img/main.cgi?next_file=main.htm inurl:”ViewerFrame?Mode=” 83.000 cámaras disponibles para espiar sin necesidad de contraseña http://74.94.148.163:8080/ViewerFrame?Mode=Motion http://60.45.63.26/ViewerFrame?Mode=Motion&Language=0 http://61.211.241.239/ViewerFrame?Mode=Motion&Language=1 http://kamera-mu.licanet.cz/ViewerFrame?Mode=Motion&Language=0 http://shiretoko.miemasu.net/CgiStart?page=Single&Mode=Motion&Language=1 Impresoras http://ps-112low-c400.facil.columbia.edu/web/guest/en/websys/webArch/mainFrame.cgi “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Cross Site Scripting Frame “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 SQL Injection “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Técnica de web Shell Upload http://remingtonsconstruction.com/var_off.php5 “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Técnica de web Shell Upload http://corz.org/corz/c99.php “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Técnica de D.O.S (POC) https://thc.org/thc-ssl-dos/ “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Técnica de D.O.S (ATTACK) https://thc.org/thc-ssl-dos/ “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Técnica de D.O.S (LOIC) “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 BUENAS PRÁCTICAS DE SEGURIDAD INFORMÁTICA PARA SITIOS WEB “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Credenciales viajando de forma Segura “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Credenciales viajando de forma Segura (MiTM) “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Identificando Certificados Digitales válidos “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Sitios web Comprometidos “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Algunos sitios comprometidos a nivel nacional “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Algunos sitios comprometidos a nivel nacional http://www.fiducoldex.com.co/ http://zonehmirrors.org/defaced/2014/09/01/www.fiducoldex.com.co/www.fiducoldex.com.co/index.html https://coagronorte.com.co/ https://www.zone-h.org/mirror/id/24828886/ http://www.csc.gov.co/framework/ http://zonehmirrors.org/defaced/2015/09/10/portaltransaccional.csc.gov.co/portaltransaccional.csc.gov.co/index.html%3FA ccesoID=84634F2D9217&RegistroID=47124C00B17A http://www.mineducacion.gov.co/1621/w3-channel.html http://zonehmirrors.org/defaced/2015/09/11/portalapp.mineducacion.gov.co/portalapp.mineducacion.gov.co/auditoria/ http://teletrabajo.gov.co/portal/ http://zonehmirrors.org/defaced/2015/09/15/teletrabajo.mintic.gov.co/teletrabajo.mintic.gov.co/libroblanco/ http://www.secretariadeambiente.gov.co/ http://zonehmirrors.org/defaced/2014/09/08/www.secretariadeambiente.gov.co/www.secretariadeambiente.gov.co/ Historia patria http://www.federacionvenezolanadefutbol.org/ https://www.zone-h.org/mirror/id/19552064 Fuente: https://www.zone-h.org/archive Algunos sitios comprometidos a nivel Internacional https://www.nsa.gov/ https://www.zone-h.org/mirror/id/9678402 “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Algunos sitios comprometidos a nivel Internacional “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Algunos sitios comprometidos a nivel Internacional “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Algunos sitios comprometidos a nivel Internacional “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Guía de Seguridad WEB http://sourceforge.net/projects/mantraos/ https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf https://www.owasp.org/index.php/Bogota https://www.owasp.org/index.php/Main_Page “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 BEST PRACTICE https://benchmarks.cisecurity.org/ “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 5 Alertas de sitios vulnerables Modificación del INDEX Modificación por fecha de los archivos “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 5 Alertas de sitios vulnerables Permisos de Lectura, escritura y ejecución en los archivos de la aplicación Procesos desconocidos en el sistema operativo “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 5 Alertas de sitios vulnerables Alto consumo de recursos de hardware “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 BEST PRACTICE Implementar un modelo de permisos mínimos, es mejor ir escalando privilegios por demanda de acuerdo a los perfiles establecidos en las etapas de diseño. Si se utiliza un lenguaje que no sea compilado, asegurarse de limpiar el código que se pone en producción, para que no contenga rutinas de pruebas, comentarios o cualquier tipo de mecanismo que pueda dar lugar a un acceso indebido. Nunca confiar en los datos que ingresan a la aplicación, todo debe ser verificado para garantizar que lo que está ingresando a los sistemas es lo esperado y además evitar inyecciones de código. Hacer un seguimiento de las tecnologías utilizadas para el desarrollo. Estas van evolucionando y cualquier mejora que se haga puede dejar obsoleta o inseguras versiones anteriores. Todos los accesos que se hagan a los sistemas deben ser validados. “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 BEST PRACTICE Para intercambiar información sensible utilizar protocolos para cifrar las comunicaciones, y en el caso de almacenamiento la información confidencial debería estar cifrada utilizando algoritmos fuertes y claves robustas. Cualquier funcionalidad, campo, botón o menú nuevo debe agregarse de acuerdo a los requerimientos de diseño. De esta forma se evita tener porciones de código que resultan siendo innecesarias. La información almacenada en dispositivos clientes debe ser la mínima, y más si se trata de contraseñas o datos de sesión. Este tipo de dispositivos son los más propensos a recibir ataques y por lo tanto su información puede ser expuestas más fácilmente. Cualquier cambio que se haga debería quedar documentado, esto facilitará modificaciones futuras. Poner más cuidado en los puntos más vulnerables, no hay que olvidar que el nivel máximo de seguridad viene dado por el punto más débil. “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 REFLEXIÓN Un atacante necesita solamente un pequeño error, una vulnerabilidad para lograr su cometido. Si dentro de la empresa descuidan los temas de seguridad por acelerar la operatividad del negocio, podemos estar dejando la puerta abierta a que se comprometa la seguridad de la información. Ser responsables con los procesos es la mejor defensa, y no está de más preguntarse si es mejor invertir unas semanas más en desarrollo, que perder reputación y dinero en un instante por un incidente de seguridad. “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 PREGUNTAS? “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 AGRADECIMIENTOS “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 Fuentes de consulta: https://www.zone-h.org/archive http://hackerss.com/24-sitios-web-del-gobierno-de-mexico-fueron-hackeados-por-anonymous.html http://www.techtimes.com/articles/14717/20140907/apple-denies-icloud-find-my-iphone-security-breach-only-very-targeted-attacks.htm https://www.youtube.com/watch?v=SI7hLp01MxU “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015