domingo, 29 de mayo de 2016

ARTÍCULO

RESUMEN

El mejoramiento de la Seguridad Web es el tema que se tratara en las siguientes páginas, para hacerlo se presentan inicialmente las amenazas de seguridad web más comunes y se hace una serie de recomendaciones orientadas proteger el sistema contra esas amenazas.



1. INTRODUCCIÓN

Aunque constantemente se hacen esfuerzos para mejorar la seguridad Web, actualmente existen muchas vulnerabilidades; teniendo en cuenta esta problemática se ha propuesto un plan de seguridad orientado principalmente a la página de la UNAD www.unad.edu.co.; sin embargo dicho plan puede ser aplicado a otros sitios Web, pues se ha identificado que las vulnerabilidades son similares en sitios distintos. Lo que se busca con este plan de seguridad es proteger la integridad del sistema, la información que contiene y asegurar que pueda prestar los servicios sin contratiempos.




2. FUNDAMENTOS TEÓRICOS.

La habilidad de los atacantes para encontrar y explotar vulnerabilidades en los protocolos HTTP, y certificados SSL/TSL, así como aquellas que representan los usuarios con poca experticia en el uso de las TIC y que acceden regularmente a sistemas de información, junto con el conjunto de herramientas y técnicas disponibles actualmente para vulnerar la seguridad en sitios Web, hacen que la seguridad sea un tema primordial tanto para organizaciones como para usuarios que realizan algún tipo de actividad en la Web, actualmente se hacen esfuerzos conjunto de organizaciones privadas y gubernamentales para mejorar la seguridad Web, pero se puede pensar que se está lejos de lograr una protección del 100%; para aclarar un poco el panorama se listan a continuación los una serie ataques que se emplean con frecuencia para burlar la seguridad en la Web:


  1. Ataques del tipo DNS Spoofing
  2.  Ataque falsificar certificados
  3. Ataque de renegociación
  4. Ataque BEAST
  5. Ataque CRIME

Se realizaron pruebas a la plataforma de la UNAD, cuyo dominio es www.unad.edu.co, utilizando herramientas como Qalys ssl Labs, the drown attack, Nikto2, etc.; además del análisis de las políticas orientadas a los usuarios que utilizan la plataforma en calidad de estudiantes. Los resultados de las pruebas permitieron determinar que el nivel de seguridad en lo referente a los protocolos HTTPS, SSL y TLS cumple con los estándares actuales; aunque la UNAD ha adoptado todas las medidas internas para proteger el sistema de ataques Web, la vulnerabilidad principal detectada tiene una estrecha relación con el acceso de los usuarios al sistema. Tal como se pudo verificar no existe en la UNAD políticas de renovación de contraseña en periodos regulares, en los que los usuarios deban hacer el cambio, no existe un numero de intentos limitados para intentar acceder al sistema y que se le envié una alerta al usuario sobre un posible acceso fraudulento y por ultimo no se les forma a los usuarios sobre seguridad web.

A continuación se detallan las medidas que se deben tomar para evitar los ataques de seguridad Web mencionados anteriormente:


2.1. Ataques del tipo DNS Spoofing.

Se encontró que este tipo de ataques, son responsabilidad en gran medida de usuarios, además se evidencio que solo existen soluciones a corto plazo, las acciones que debe hacer el usuario para protegerse son:


  • Desactivar la opción de Java Script en el navegador.
  • Asegurarse en todo momento que la barra de navegación está activa.
  • Poner atención a las URL que se enseñan en la barra de estado, asegurándote que siempre apuntan al sitio que quieras entrar.
  • Actualmente Java Script, Active-X, como Java tienden a facilitar las técnicas de spoofing, se recomiendo que las desactive de su navegador, al menos en los momentos que vaya a transferir información crítica como login, password u operaciones bancarias.


 2.2. Ataque falsificar certificados

Las recomendaciones para protegerse de este tipo de ataques corresponden principalmente a los usuarios y son las siguientes:


  • Mantener el navegador Web actualizado.
  • Conectar directamente a la dirección https por la url.
  • Configurar los navegadores web para que hagan comprobaciones OCSP por defecto.
  • Si la conexión OCSP falla, el certificado cifrar por defecto no será dado por bueno.


 2.3. Ataque de renegociación TLS

Se encontró que la prevención de este tipo de ataques corresponde principalmente a la configuración del el servidor del sistema, los pasos a seguir son:


  • Implementar versiones actualizadas del protocolo de cifrado.
  • Mantener actualizado el software de apache, pues las últimas versiones no son vulnerables.
  • Tener la renegociación SSL desactivada.


 3.4. Ataque BEAST

Los directamente responsables de bloquear este tipo de ataque son los administradores del sitio Web, lo que se recomienda es:


  • Asegurarse de que el botón para cerrar sesión realiza la acción esperada. Está exponiendo a los usuarios al ataque si su sitio no puede invalidar realmente las cookies de la sesión cuando se hace clic en “cerrar sesión”.
  • Cerciorarse de que las cookies de la sesión están vinculadas a la dirección IP desde la que se estableció la sesión. Si esa dirección IP varía, debe comprobar que el origen de la solicitud siga siendo el usuario. Esto no evitará el ataque, pero dificultará que se aprovechen de sus usuarios.
  • No modificar el código de SSL sin considerar los riesgos primero. Si bien es cierto que RC4 no está sujeto a este ataque, presenta más riesgos que AES.
  • Utilizar la versión TSL 1.2, pues la 1.0 es insegura.



 2.5. Ataque CRIME

Sucesor de BEAST, este ataque afecta al protocolo TLS 1.2 y es responsabilidad de los administradores del sistema y no de los usuarios aplicar las medidas para protegerse de él. Lo que se recomienda para proteger el sistema es:


  • Desactivar la compresión SSL/TLS.
  • Invalidar las credenciales de sesión al salir/idle para limitar la duración de la exposición.
  • Invalidar y volver a emitir tokens de sesión periódicamente para limitar la duración de la exposición.
  • Tokens de sesión asociados a una IP de origen específica para evitar su reutilización en otros lugares.
  • Regenerar los tokens de sesión enlazados a un origen cuando esa fuente envía una solicitud con un token no válido. Esto limita la capacidad de un atacante de realizar fuerza bruta o adivinar tokens.
  • Monitorizar los logs del servidor para identificar a un ataque en curso: al intentar enumerar los tokens de sesión, el agente de la víctima generará un gran número de peticiones al servidor web. Un IPS podría además detener el ataque de una forma proactiva.
  • Las actualizaciones de software podrían hacer frente a este ataque y probablemente estarán disponible pronto, y hay algunos indicios de que muchos fabricantes ya han actualizado sus productos de forma silenciosa.

3. CONCLUSIONES

Un ataque a la Web afecta tanto a quienes prestan el servicio como a los usuarios, de ahí la importancia que contar con un plan de seguridad integral que por una parte tome las medidas necesarias para proteger el sistema desde la administración y por otra que contemple el papel de los usuarios en la seguridad y si es posible capacitar la mayor cantidad posible para que sepa cómo mantener la integridad del sistema.

A medida que pasa el tiempo se deben adoptar nuevas medidas para proteger los sistemas Web, debido a que las versiones de los protocolos o certificados van quedando obsoletas exponiendo la seguridad del sistema.

Cuando se trata de seguridad Web no se puede pensar en que exista una forma de proteger el sistema en un 100%, por más medidas que se tomen, siempre existe la posibilidad de penetrarlo, dado  a que confluyen muchos factores y en ocasiones empresas que prestan servicios como por ejemplo de certificados de seguridad TLS venden estos certificados a terceros, dejando vulnerable a los sistemas o algunas debilidades de los medios por los que se accede a una aplicación Web, tal es el caso de los navegadores, el dispositivo o la red.

REFERENCIAS

[1]  De luz Sergio (2014). El triple Handshake de TLS es vulnerable a ataques Man In The Middle. Consultado el 20 de Mayo de 2016, disponible en:  http://www.redeszone.net/2014/03/04/el-triple-handshake-de-tls-es-vulnerable-ataques-man-middle/#sthash.C5655j2G.dpuf

[2]  L. Bello and A. muñoz.,  (2011). Los 10 ataques al protocolo SSl. Consultado el 20 de mayo de 2016, disponible en: http://www.criptored.upm.es/intypedia/docs/es/video10/DiapositivasIntypedia010.pdf



[3]  V. Motos (2012). CRIME: el nuevo ataque a SSL/TSL sucesor de BEAST. Consultado el 20 de mayo de 2016, disponible en: http://www.hackplayers.com/2012/09/CRIME-ataque-SSL-TLS-sucesor-BEAST.html


Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)