domingo, 6 de septiembre de 2015

Seguridad Web, Amenazas y Ataques


Introducción: ¿Qué es la seguridad?

Cuando se piensa en la palabra seguridad, vienen a la mente dos principales ideas: prevenir un daño y evitar tener una debilidad. El concepto de seguridad se remota a la misma existencia de nuestra especie, pues desde nuestros antepasados, se veían a los árboles como objetos que nos brindaban seguridad, al impedir que los depredadores nos alcanzaran si es que estábamos en la cima de ellos, las cuevas se veían como lugares que brindaban protección frente a las amenazas del clima, el fuego como defensa para ahuyentar a los depredadores que se acercaran, en suma y de diferentes formas, todos esos objetos brindaban seguridad.

Con base en lo anterior, se puede decir que la seguridad es aquello (ya sea un objeto, reglas, plan, etc.) que evita sufrir un ataque de algo y minimizar las posibilidades de que algo se convierta en una potencial amenaza que pueda derivar en un ataque. Ahora, ¿Cómo podría aplicarse esto a lo que es el internet?

Desarrollo: La seguridad web.

Conforme han pasado los años, la web ha ido creciendo exponencialmente hasta tal punto de convertirse en el banco de información más grande del mundo, albergando información de todo tipo, la cual está disponible para todo aquel que tenga una computadora y conexión a internet.

Sin embargo, todo este sistema que es la web tiene un diseño detrás que define cómo es que está construido y cómo funciona. Por esto mismo es posible hacer lo que se conoce como "ataques" al sistema para violar sus protocolos con algún fin, ya sea extraer información, tirarlo de la web, destruirlo, etc. Es por esto que tanto en el desarrollo de un sistema como en su manutención, es necesario aplicar la seguridad para evitar que este tipo de cosas sucedan, sobre todo porque ya es muy común que empresas manejen grandes sumas de dinero a través de internet, además de información personal, laboral, planes de empresa, etc.

De esta forma, al aplicar el concepto de seguridad a la web, podría decirse que son aquellas medidas utilizadas para evitar un ataque a un sistema web y que por medio de este quede en las manos del atacante, además de evitar desde la construcción del sistema la existencia de vulnerabilidades dentro del mismo que podrían ser explotadas para generar un ataque.

La principal razón por la que se dan problemas en la seguridad web es porque el programador del sistema descuida los siguientes aspectos:

  • Entradas al sistema.
  • Salidas del sistema.
Esto se refiere a que se descuidan los métodos mediante los cuales el usuario y los datos ganan acceso al sistema, son procesados y posteriormente salen del mismo, al estar descuidados, existen lagunas en las que un atacante es capaz de extraer o leer la información que está entrando y saliendo del sistema, y a través de ésta ganar un acceso que no debería de tener.

Con esto como base, se tiene la convención de que los requerimientos de seguridad de un sistema son:
  • Autenticación.
  • Autorización.
  • Confidencialidad.
  • Integridad.
  • No repudiación.
  • Alta disponibilidad.

Para lidiar con este tipo de complicaciones, existen métodos de seguridad básicos para incrementar la protección de un sistema, algunos de estos son:
  • Balancear riesgo y usabilidad: Se refiere a que si se exceden las medidas de seguridad para combatir a los usuarios ilegales dentro del sistema, se corre el riesgo de ser demasiado restrictivo con los usuarios legales, por lo que la mejor medida es balancear las cosas y utilizar métodos de seguridad que sean transparentes para los usuarios.
  • Rastrear el paso de datos: Como su nombre lo dice, trata acerca de saber de dónde vienen los datos que están entrando al sistema y saber hacia dónde van, para saber si de la fuente de la que provienen es válida o no.
  • Filtrar entradas: En esencia se refiere al proceso mediante el cual se validan los datos que están siendo enviados o recibidos para así evitar datos "contaminados" que pongan en riesgo al sistema.
  • Escapar salidas: Se refiere al proceso para codificar o decodificar información que está saliendo del sistema de tal forma que su significado original se preserve.
Todo esto es algo muy importante para poder implementar un buen nivel de seguridad en un sistema, sin embargo también es importante saber con qué tipo de amenazas y ataques se están lidiando, dado que por pura lógica, no te puedes defender de algo si no sabes cuál es la amenaza.

Algunos tipos de amenazas son las siguientes:
  • Spyware: Se le conoce como software espía y como su nombre dice es un software que se enfoca en estar "espiando" el sistema en cuestión y así recopilar información mientras pasa desapercibido, por sí mismo no es algo peligroso (como con todas las amenazas) dado que sólo recopila información, el problema viene cuando el que recibe la información decide utilizarla con algún fin.
  • Adware: Tipo de spyware que recolecta información sobre el usuario algunas veces para mostrar anuncios publicitarios de acuerdo al perfil del mismo.
  • Malware: Es una categoría de código malicioso que incluye virus, gusanos y caballos de Troya, su propósito es de carácter destructivo, es decir acceder a la información del usuario y mediante algún método robarla o eliminarla.
  • Virus: Programa o archivo que al ejecutarse corre un código que infecta el equipo, es decir, altera el funcionamiento normal de la computadora. Como los virus humanos los de computadora varían por el nivel de infección desde los simples que son fáciles de limpiar hasta los que su daño puede ser mayor que inclusive deje inservible el sistema operativo debido a que atacan archivos importantes como los BIOS. La mayoría de los virus se propagan de computadora en computadora, los gusanos y caballos de troja son un tipo de ellos.
  • Correo Spam: Correo electrónico basura no solicitado también llamado "junk mail", generalmente enviado en forma masiva y conteniendo publicidad o ataques de robo de identidad (phishing).
  • Phishing: Proceso fraudulento que se da cuando un estafador envía mensajes de correo electrónico de tipo spam o mensajes del tipo pop-up para atraer con engaño a los usuarios y obtener información  sensible como cuentas de usuario, contraseñas, números de tarjetas de crédito, datos de cuentas, así como cualquier información personal.
Los ataques más comunes en sistemas web son los siguientes:
  • Ataques URL de tipo semántico:
    • Este tipo de ataques involucran a un usuario modificando la URL a modo de descubrir acciones a realizar originalmente no planeadas para él.
  • Ataques al subir archivos:
    • Existen ataques que aprovechan la posibilidad de la aplicación de subir archivos al servidor. la forma en la que funciona que funcionan es que generalmente PHP almacena los archivos subidos en un carpeta temporal, pero es común en las aplicaciones cambiar la localización del archivo subido a una carpeta permanente y leerlo en la memoria. Al hacer este tipo de procedimientos se debe revisar el parámetro al que va a hacer referencia al nombre del archivo, ya que puede ser truqueado de tal forma que apunte a archivos de configuración del sistema.
  • Ataques de Cross-Site Scripting:
    • XSS es un tipo de vulnerabilidad de seguridad informática normalmente encontrada en aplicaciones web que permiten la inyección de código por usuarios maliciosos en páginas web vistas por otros usuarios, los atacantes típicamente se valen de código HTML y de scripts ejecutados en el cliente, pueden ser vistas como técnicas de evasión de las políticas de protección. Encontrando formas ingeniosas de inyectar códigos maliciosos en las páginas servidas por otros dominios, de esta forma se puede ganar privilegios a datos sensibles, cookies de sesión y otros objetos.
      • Vulnerabilidad XSS tipo 0: Conocido como basado en el DOM o Local, con este tipo de vulnerabilidad, el problema existe en el script del lado del cliente.Si un código de JavaScript accede a una URL como un parámetro de una petición al servidor y utiliza esta información para escribir HTML en la misma página sin ser codificada empleando entidades HTML, existe un agujero XSS, dado que estos datos escritos serán interpretados por los navegadores como código HTML que puede incluir en si código adicional del lado del cliente.
      • Vulnerabilidad XSS tipo 1: A este tipo de agujero XSS se le conoce también como no persistente o reflejado. Estos agujeros aparecen cuando los datos provistos por un cliente web son usados inmediatamente en el lado del servidor para generar una página de resultados para el usuario. Si los datos no validados por el usuario son incluidos en la página resultante sin codificación HTML, se le permite al cliente inyectar código en la página dinámica.
  • Cross-Site Request Forgeries:
    • Este tipo de ataque permite al atacante enviar peticiones HTTP a voluntad desde la máquina de la víctima. Por su naturaleza, es complicado determinar cuando una petición HTML se ha originado por un ataque de este tipo.Cuando se conoce el formato que debe tener una URL para lograr la ejecución de una acción en el sistema, se logra encontrar la posibilidad de explotar este tipo de ataques. Ahora lo único que se necesita es simplemente hacer que una víctima visite la URL.
  • Envío de formas falsificadas:
    • En el fondo, el envío de una forma emplea el mismo mecanismo que una URL, la petición HTTP enviada por el navegador al servidor. El formato con el que va a contar la petición se encuentra predeterminado por la forma y algunos de los datos enviados en la petición son dados por el usuario.Un atacante podría copiar el código fuente de una página, salvarla en su equipo, y modificar el atributo de la acción que realizará la forma incluyendo ahora la ruta absoluta de la página originalmente deseada. Así se pueden quitar restricciones originales que se hubieran ejecutado en el cliente, como el tamaño máximo de un archivo adjunto, desactivar la validación de datos en el lado del cliente, alterar los elementos ocultos o los tipos de datos de los elementos de la forma. Trabajando de esta forma se pueden enviar datos arbitrarios al servidor, de una manera sencilla y sin el uso de herramientas sofisticadas.
  • Peticiones HTTP falsificadas:
    • Un ataque más sofisticado que el anterior es enviar peticiones falsas empleando herramientas especiales para este propósito. La existencia de este tipo de ataques es una prueba determinante de que los datos enviados por los usuarios no son dignos de ninguna confianza, el proceso para llevar a cabo esto es simple, empleando una herramienta de línea de comandos presente en la mayoría de las plataformas se posibilita la comunicación directa con un servidor remoto, conectándonos en el puerto en el cual el servidor escucha.
Conclusión:

La seguridad es un tema de mucha relevancia sobre todo en esta época donde el internet y los sistemas web son de un uso tan común que manejan información de empresas multimillonarias, bancos, transacciones, etc. Además de la información personal de muchas personas. Gracias a esto, ahora existen una gran cantidad de métodos para la seguridad web, al igual que información respecto a los tipos de amenaza con las que uno puede enfrentarse y cómo lidiar con ellas, porque si tenemos que adaptarnos a un mundo informático, es necesario informarnos de los peligros que conllevan para así poder evitarlos.

Romero A. (2009). Aspectos Básicos de la Seguridad en Aplicaciones Web. septiembre 06, 2015, de UNAM Sitio web: http://www.seguridad.unam.mx/documento/?id=17#ataques

Ruiz G. (2011). Tipos de Amenazas. septiembre 06, 2015, de Universidad Iberoamericana Sitio web: http://www.iberotijuana.edu.mx/sisinfo/index.php/documentacin-mainmenu-58/22-seguridad/101-definiciones

González B. (2004). Seguridad en Servicios Web. septiembre 06, 2015, de desarrolloweb.com Sitio web: http://www.desarrolloweb.com/articulos/1640.php
Publicadas por a la/s

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)