RESUMEN
El mejoramiento de la Seguridad Web es el tema que se
tratara en las siguientes páginas, para hacerlo se presentan inicialmente las
amenazas de seguridad web más comunes y se hace una serie de recomendaciones
orientadas proteger el sistema contra esas amenazas.
1. INTRODUCCIÓN
Aunque constantemente se hacen esfuerzos para mejorar la
seguridad Web, actualmente existen muchas vulnerabilidades; teniendo en cuenta
esta problemática se ha propuesto un plan de seguridad orientado principalmente
a la página de la UNAD www.unad.edu.co.; sin
embargo dicho plan puede ser aplicado a otros sitios Web, pues se ha
identificado que las vulnerabilidades son similares en sitios distintos. Lo que
se busca con este plan de seguridad es proteger la integridad del sistema, la
información que contiene y asegurar que pueda prestar los servicios sin
contratiempos.
2. FUNDAMENTOS TEÓRICOS.
La habilidad de los atacantes para encontrar y explotar
vulnerabilidades en los protocolos HTTP, y certificados SSL/TSL, así como
aquellas que representan los usuarios con poca experticia en el uso de las TIC
y que acceden regularmente a sistemas de información, junto con el conjunto de
herramientas y técnicas disponibles actualmente para vulnerar la seguridad en
sitios Web, hacen que la seguridad sea un tema primordial tanto para
organizaciones como para usuarios que realizan algún tipo de actividad en la
Web, actualmente se hacen esfuerzos conjunto de organizaciones privadas y
gubernamentales para mejorar la seguridad Web, pero se puede pensar que se está
lejos de lograr una protección del 100%; para aclarar un poco el panorama se
listan a continuación los una serie ataques que se emplean con frecuencia para
burlar la seguridad en la Web:
- Ataques del tipo DNS Spoofing
- Ataque falsificar certificados
- Ataque de renegociación
- Ataque BEAST
- Ataque CRIME
Se realizaron
pruebas a la plataforma de la UNAD, cuyo dominio es www.unad.edu.co, utilizando herramientas como
Qalys ssl Labs, the drown attack, Nikto2, etc.; además del análisis de las
políticas orientadas a los usuarios que utilizan la plataforma en calidad de
estudiantes. Los resultados de las pruebas permitieron determinar que el nivel
de seguridad en lo referente a los protocolos HTTPS, SSL y TLS cumple con los
estándares actuales; aunque la UNAD ha adoptado todas las medidas internas para
proteger el sistema de ataques Web, la vulnerabilidad principal detectada tiene
una estrecha relación con el acceso de los usuarios al sistema. Tal como se
pudo verificar no existe en la UNAD políticas de renovación de contraseña en
periodos regulares, en los que los usuarios deban hacer el cambio, no existe un
numero de intentos limitados para intentar acceder al sistema y que se le envié
una alerta al usuario sobre un posible acceso fraudulento y por ultimo no se
les forma a los usuarios sobre seguridad web.
A continuación se
detallan las medidas que se deben tomar para evitar los ataques de seguridad
Web mencionados anteriormente:
2.1. Ataques del
tipo DNS Spoofing.
Se encontró que
este tipo de ataques, son responsabilidad en gran medida de usuarios, además se
evidencio que solo existen soluciones a corto plazo, las acciones que debe
hacer el usuario para protegerse son:
- Desactivar la opción de Java Script en el navegador.
- Asegurarse en todo momento que la barra de navegación está activa.
- Poner atención a las URL que se enseñan en la barra de estado, asegurándote que siempre apuntan al sitio que quieras entrar.
- Actualmente Java Script, Active-X, como Java tienden a facilitar las técnicas de spoofing, se recomiendo que las desactive de su navegador, al menos en los momentos que vaya a transferir información crítica como login, password u operaciones bancarias.
2.2. Ataque falsificar certificados
Las recomendaciones para protegerse de
este tipo de ataques corresponden principalmente a los usuarios y son las
siguientes:
- Mantener el navegador Web actualizado.
- Conectar directamente a la dirección https por la url.
- Configurar los navegadores web para que hagan comprobaciones OCSP por defecto.
- Si la conexión OCSP falla, el certificado cifrar por defecto no será dado por bueno.
2.3. Ataque de renegociación TLS
Se encontró que la prevención de este tipo de ataques
corresponde principalmente a la configuración del el servidor del sistema, los
pasos a seguir son:
- Implementar versiones actualizadas del protocolo de cifrado.
- Mantener actualizado el software de apache, pues las últimas versiones no son vulnerables.
- Tener la renegociación SSL desactivada.
3.4. Ataque BEAST
Los directamente responsables de bloquear este tipo de
ataque son los administradores del sitio Web, lo que se recomienda es:
- Asegurarse de que el botón para cerrar sesión realiza la acción esperada. Está exponiendo a los usuarios al ataque si su sitio no puede invalidar realmente las cookies de la sesión cuando se hace clic en “cerrar sesión”.
- Cerciorarse de que las cookies de la sesión están vinculadas a la dirección IP desde la que se estableció la sesión. Si esa dirección IP varía, debe comprobar que el origen de la solicitud siga siendo el usuario. Esto no evitará el ataque, pero dificultará que se aprovechen de sus usuarios.
- No modificar el código de SSL sin considerar los riesgos primero. Si bien es cierto que RC4 no está sujeto a este ataque, presenta más riesgos que AES.
- Utilizar la versión TSL 1.2, pues la 1.0 es insegura.
2.5. Ataque CRIME
Sucesor de BEAST,
este ataque afecta al protocolo TLS 1.2 y es responsabilidad de los
administradores del sistema y no de los usuarios aplicar las medidas para
protegerse de él. Lo que se recomienda para proteger el sistema es:
- Desactivar la compresión SSL/TLS.
- Invalidar las credenciales de sesión al salir/idle para limitar la duración de la exposición.
- Invalidar y volver a emitir tokens de sesión periódicamente para limitar la duración de la exposición.
- Tokens de sesión asociados a una IP de origen específica para evitar su reutilización en otros lugares.
- Regenerar los tokens de sesión enlazados a un origen cuando esa fuente envía una solicitud con un token no válido. Esto limita la capacidad de un atacante de realizar fuerza bruta o adivinar tokens.
- Monitorizar los logs del servidor para identificar a un ataque en curso: al intentar enumerar los tokens de sesión, el agente de la víctima generará un gran número de peticiones al servidor web. Un IPS podría además detener el ataque de una forma proactiva.
- Las actualizaciones de software podrían hacer frente a este ataque y probablemente estarán disponible pronto, y hay algunos indicios de que muchos fabricantes ya han actualizado sus productos de forma silenciosa.
3. CONCLUSIONES
Un ataque a la Web afecta tanto a quienes prestan el
servicio como a los usuarios, de ahí la importancia que contar con un plan de
seguridad integral que por una parte tome las medidas necesarias para proteger
el sistema desde la administración y por otra que contemple el papel de los
usuarios en la seguridad y si es posible capacitar la mayor cantidad posible
para que sepa cómo mantener la integridad del sistema.
A medida que pasa el tiempo se deben adoptar nuevas medidas
para proteger los sistemas Web, debido a que las versiones de los protocolos o
certificados van quedando obsoletas exponiendo la seguridad del sistema.
Cuando se trata de seguridad Web no se puede pensar en que
exista una forma de proteger el sistema en un 100%, por más medidas que se
tomen, siempre existe la posibilidad de penetrarlo, dado a que confluyen muchos factores y en
ocasiones empresas que prestan servicios como por ejemplo de certificados de
seguridad TLS venden estos certificados a terceros, dejando vulnerable a los
sistemas o algunas debilidades de los medios por los que se accede a una
aplicación Web, tal es el caso de los navegadores, el dispositivo o la red.
REFERENCIAS
[1] De luz Sergio (2014). El triple Handshake de TLS es
vulnerable a ataques Man In The Middle. Consultado el 20 de Mayo de 2016,
disponible en: http://www.redeszone.net/2014/03/04/el-triple-handshake-de-tls-es-vulnerable-ataques-man-middle/#sthash.C5655j2G.dpuf
[2] L. Bello and A. muñoz., (2011).
Los 10 ataques al protocolo SSl. Consultado el 20 de mayo de 2016, disponible
en: http://www.criptored.upm.es/intypedia/docs/es/video10/DiapositivasIntypedia010.pdf
[3] V. Motos (2012). CRIME: el nuevo ataque a SSL/TSL sucesor de BEAST. Consultado
el 20 de mayo de 2016, disponible en: http://www.hackplayers.com/2012/09/CRIME-ataque-SSL-TLS-sucesor-BEAST.html
No hay comentarios:
Publicar un comentario