El riesgo en las aplicaciones Web

El riesgo en las aplicaciones Web

Hoy en día, organizaciones grandes y pequeñas disponen de gran cantidad de servicios Web publicados en Internet persiguiendo diferentes objetivos: incrementar su productividad a través de portales que visitarán empleados, clientes y proveedores; promover sus servicios y productos; conformar una imagen de marca en la red; etc.

Este auge en la publicación de aplicaciones Web viene acompañado de la exposición en Internet de información que antes era confidencial, lo que de manera natural ha atraído la mirada de delincuentes que han encontrado nuevas formas de explotar actividades ilícitas dando el salto del plano físico al plano virtual.

El valor de los datos en la red

El resultado de la actividad ilegal llevada a cabo por los delincuentes cibernéticos sigue atendiendo a un mismo principio, ¿qué beneficio obtengo de esta actividad?

En Havocscope han querido responder a esta pregunta y se puede consultar el siguiente listado de precios orientativos establecidos por hackers en el mercado negro:

Valor datos
Fuente:  http://www.havocscope.com/black-market-prices/hackers/

Puede sorprender como el valor que le da un hacker a una tarjeta de crédito queda reducido a 5$ cuando la información a la que se accede es en potencia mucho mayor. Entonces ¿por qué se comercializa ilícitamente con estos precios?, existen varios factores:

  • Volumen de información almacenado en la Web. Nuestra información a menudo se encuentran en bases de datos de aplicaciones Web junto con la información de cientos de miles de usuarios. De modo que cuando un delincuente compromete la base de datos de una aplicación Web, suele acceder a la información de todos los usuarios contenida en ella.
  • La cantidad de servicios donde nos encontramos registrados. Agua, luz, gas, telefonía y la empresa donde trabajamos son ejemplos básicos, pero también portales y servicios de ocio como redes sociales, foros, boletines de noticias, etc. Al estar registrados en múltiples aplicaciones Web, los delincuentes disponen de una superficie de ataque mucho mayor.
  • Vulnerabilidades en los sistemas de información. Un desarrollo de software sin atender a la perspectiva de la seguridad de la información, una configuración inadecuada de los servidores sobre los que se despliega la Web, detección de nuevos bugs de seguridad y ciclos de vida de mantenimiento de aplicaciones complicados de aplicar al encontrarse los sistemas en producción. Estos aspectos derivan en fallos de seguridad que se mantienen en el tiempo haciendo más probable el éxito de los atacantes.
  • Individuos, organizaciones y estados compran esta información. Investigaciones privadas, Espionaje industrial, redes de inteligencia, etc. No existe oferta si no existe demanda.

Estas cuatro dimensiones, entre otras, le sirven a un hacker de motivación para atacar aplicaciones Web como objetivo final si buscan la información que contienen (por ejemplo robar los datos de nuestros clientes), o como paso intermedio si persiguen un objetivo mayor (por ejemplo explotar una Web externa que les de paso al interior de nuestra organización para escalar el ataque).

Técnica y metodología de un hacker

Para fortificar nuestras aplicaciones Web frente a este compromiso de información, es necesario conocer los vectores de entrada utilizados por un hacker, o lo que es lo mismo, las vulnerabilidades que exponen nuestras Webs y que podrían ser explotadas.

Para esta tarea existen metodologías como el proyecto OWASP, que elabora un TOP 10 de amenazas basadas en el impacto producido según estudios estadísticos mundiales de tendencia de ataques.

Aplicando un análisis OWASP a nuestra Web se perseguirá identificar y solventar problemas como:

  • Volcado de datos ejecutados a través de inyección de sentencias, por ejemplo obtener todos los correos electrónicos de nuestros clientes.
  • Gestión incorrecta de datos de sesión, por ejemplo que un visitante modificando sus datos de sesión pueda suplantar al administrador.
  • Ejecución de código a través de dominios, por ejemplo un código que permita tomar el control del navegador del visitante.
  • Evasión de sistemas de control de acceso por usuario, por ejemplo un usuario que accede a información para la que tendría que haber realizado una contratación.
  • Configuración incorrecta de plataformas, por ejemplo un servidor Web configurado con parámetros por defecto que permitan a un atacante tomar el control del servidor.
  • Exposición de datos sensibles, por ejemplo formularios de autenticación donde los datos no navegan utilizando cifrado, permitiendo así ser capturados.
  • Falta de funciones de control de acceso, por ejemplo un usuario al que no se le muestra una opción porque no la ha contratado, pero que conociéndola a través de otros medios le permita alcanzarla.
  • Construcción de peticiones a través de dominios, por ejemplo un usuario que pueda ejecutar una función para la que no tiene permiso a través de otro usuario que sí lo tenga.
  • Uso de componentes con vulnerabilidades reconocidas, por ejemplo mantener una versión de un servidor Web sin actualizar, con el paso del tiempo se habrán detectado fallos que será necesario corregir.
  • Redirecciones inválidas, por ejemplo alterar el enrutado de una Web para acceder a una zona donde no se está autorizado o redirigir a un usuario a una página específica.

Aplicar una metodología exhaustiva como lo es OWASP fortificará nuestras aplicaciones Web y nos permitirá proveer un servicio seguro donde nuestros usuarios y nuestra organización no vea comprometida su información, que es al final el objetivo que perseguimos en Seguridad de la Información.

Áudea Seguridad de la Información

Miguel Ángel García, Departamento Seguridad TIC

www.audea.com

www.cursosticseguridad