PDF de programación - Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario

Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario

Seguridad en aplicaciones Web:

un enfoque práctico en el entorno

universitario

Evangelino Valverde Álvarez

Área de Tecnología y Comunicaciones UCLM

Marzo de 2008
VI Foro de Seguridad RedIRIS: Seguridad en Web

Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario

Contexto

 4 campus

 Ciudad Real, Albacete, Cuenca, Toledo

 Presencia en 8 localidades

 48 edificios

 30.000 estudiantes
 11.000 nodos
 Área Tecnología y Comunicaciones

 Unidad de Sistemas y Redes

 Equipo de Seguridad

Marzo de 2008
VI Foro de Seguridad RedIRIS: Seguridad en Web

2

Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario

No somos un banco pero…

 Las universidades ofrecemos

 Servidores y ancho de banda
 Datos personales
 Gestión académica
 Productos: matrículas, ¿comercio-e?
 Resultados de investigación
 ¡Los navegadores de nuestros visitantes!

 Todo vía Web
 Motivación

 Económica
 Otras: “académica”, conflictos, diversión…

Marzo de 2008
VI Foro de Seguridad RedIRIS: Seguridad en Web

3

Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario

¿Me puede pasar a mí?

Marzo de 2008
VI Foro de Seguridad RedIRIS: Seguridad en Web

4

Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario

Análisis del incidente

 Técnicas usadas para el ataque:

 Forzar errores no capturados para conocer la estructura

id=0having 1
Column 'columna1' is invalid in the select list because it
is not contained in an aggregate function and there is no
GROUP BY clause.
id=0group by columna1 having 1=1
Column 'columna2' is invalid in the select list because it
is not contained in an aggregate function and there is no
GROUP BY clause.
id=0group by columna1, columna2 having 1=1

 Inyección de una hoja de estilos CSS en el rotor de noticias:

id=0update TABLA set

campo = ‘<link href=url type=text/css rel=stylesheet>’

Marzo de 2008
VI Foro de Seguridad RedIRIS: Seguridad en Web

5

Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario

Análisis del incidente (II)

 Sobre el módulo afectado

 Atacado meses antes con SQLi para saltar la autenticación
 Desarrollo subcontratado 7 años antes
 Autenticación local sobre BD para los administradores
 Enlace de administración desde la interfaz de lectura

 Problemas detectados

 Seguimiento insuficiente del primer incidente
 Falta de control sobre los desarrollos externos
 Especificación de requisitos incompleta (autenticación LDAP)
 Diseño inseguro (enlace de administración)

Marzo de 2008
VI Foro de Seguridad RedIRIS: Seguridad en Web

6

Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario

Otros incidentes

 Phishing de Wells Fargo

 Vulnerabilidad en PHP
 Hosting del Área para un centro de investigación

 Phishing de eBay

 Vulnerabilidad en Mambo
 Web operado por una delegación de alumnos

 Falta de confidencialidad de un programador

 Operación de la aplicación delegada en una empresa externa

 Problemas detectados

 Parcheo de servidores, aplicaciones, etc.
 Límites en la responsabilidad
 Control de los contratos de servicio

Marzo de 2008
VI Foro de Seguridad RedIRIS: Seguridad en Web

7

Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario

Problemática general

Diversidad de perfiles

Regulaciones

Desarrollos

Desarrollos

internos

externos

Gestión

distribuida

Aplicaciones

Software

empaquetadas

como servicio

Dispositivos
embebidos

d
a
d
i
r
u
g
e
S

Requisitos

Diseño

Codificación

Pruebas

Despliegue

Operación

Marzo de 2008
VI Foro de Seguridad RedIRIS: Seguridad en Web

8

Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario

Raúl Siles …

Marzo de 2008
VI Foro de Seguridad RedIRIS: Seguridad en Web

9

Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario

Enfoque de la UCLM

Gestión de la seguridad por perfiles
Buscar puntos de control de la seguridad

Perfil

Selección Contratación Desarrollo Explotación Eval.

Desarrollo interno X

Desarrollo externo X

Ap. Empaquetada

X

Sw. como servicio X

X: punto de control

X

X

X

X

X

X

X

X

X

X

Marzo de 2008
VI Foro de Seguridad RedIRIS: Seguridad en Web

10

Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario

Selección y contratación

 Selección

 Cumplimiento de los requisitos de seguridad
 Valoración de la seguridad del producto

Características, historial de vulnerabilidades y correcciones, etc.

 Valoración de la seguridad del servicio

ASP Security Standars (SANS)

 Evaluación de la empresa

Financiera, certificaciones (ISO 27001, CMMI, SPICE, etc.)

 Contratación

 Cláusulas de seguridad del servicio

Deber de secreto, LOPD, etc.

 Cláusulas de seguridad para el desarrollo

Secure Software Development Contract Annex (OWASP)

Marzo de 2008
VI Foro de Seguridad RedIRIS: Seguridad en Web

11

Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario

Desarrollo, explotación y eval.

 Desarrollo

 Requisitos metodológicos y organizativos
 “Secure Software Development Contract Annex” (OWASP)

 Explotación

 Requisitos metodológicos y organizativos
 ISO/IEC 27002 (ISO/IEC 17799), ITIL, etc.
 “A Guide to Building Secure Web Applications and Web

Services” (OWASP)

 Evaluación

 Requisitos metodológicos y organizativos
 Contenido del informe de evaluación
 Métricas requeridas (cuáles y cómo medir)
 “OWASP Testing Guide”

Marzo de 2008
VI Foro de Seguridad RedIRIS: Seguridad en Web

12

Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario

Plan de mejora

Plan de mejora de la seguridad en aplicaciones Web

Ámbito: aplicaciones Web corporativas

01/2008 03/2008 03-04/2008

09/2008

2009

Marzo de 2008
VI Foro de Seguridad RedIRIS: Seguridad en Web

13

Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario

Formación inicial

 “Seguridad en Aplicaciones Web”, Raúl Siles

 21 horas x curso, 2 ediciones x 15 personas
 Perfiles: desarrollo y sistemas

 Contenido:

 Visión completa
 Laboratorios PHP + ASP.NET + Herramientas

 Objetivos

 Dotar de conocimientos específicos
 Concienciar y motivar
 Eliminar barreras desarrollo/sistemas

Marzo de 2008
VI Foro de Seguridad RedIRIS: Seguridad en Web

14

Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario

Marco normativo

“Directrices de Seguridad para las Aplicaciones

Web de la UCLM”

Valoración

de productos

y ASP

Requisitos

Desarrollo

Explotación

Evaluación

Gestión por

perfiles

Contratación
de desarrollos

y servicios

Requisitos
mín. aplic.

Legislación

Req. UCLM

Marzo de 2008
VI Foro de Seguridad RedIRIS: Seguridad en Web

15

Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario

Marco normativo (II)

Requisitos de seguridad mínimos para las aplicaciones:

 Los impuestos por la legislación

 Derivados del reglamento LOPD

 Normativa interna

 Política de Seguridad de Red (arquitectura)
 Autenticación externa compatible LDAP
 Generación de logs

 Eventos de acierto y fallo, campos

 TOP 10 OWASP

 Evitar la aparición de vulnerabilidades específicas

Marzo de 2008
VI Foro de Seguridad RedIRIS: Seguridad en Web

16

Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario

Análisis de la situación

 Diferencias entre las directrices y la situación de partida
 Cuestiones

 Personal y organización
 Políticas (logs, red, incidentes)
 Procedimientos y métodos (parcheo, cambios, etc.)
 Entorno (red, servicios, etc.)

 Inventarios

 Aplicaciones, bases de datos, servidores y personal
 Herramientas, lenguajes, librerías, frameworks

Marzo de 2008
VI Foro de Seguridad RedIRIS: Seguridad en Web

17

Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario

Adaptación: desarrollo

 Guía de diseño seguro

 Debe dar respuesta a los requisitos de la UCLM (OWASP/MS)

 Selección de librerías
 Metodología

 Catálogo de patrones + recortes de código
 Threat modeling (MS) o CLASP (OWASP)

 Herramientas durante el desarrollo

 Paros Proxy o WebScarab
 Análisis del código (RATS, HP DevInspect, etc.)

 Gestión del desarrollo

 Gestión de proyectos, versiones, vulnerabilidades, doc., etc.
 Probablemente GForge (forja.rediris.es)

Marzo de 2008
VI Foro de Seguridad RedIRIS: Seguridad en Web

18

Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario

Adaptación: explotación

 Guías de seguridad para red, S.O., S. Web, S. Aplic., BD

 Guías CIS adaptadas a la UCLM

 Plantillas de configuración
 Herramientas de comprobación de la conformidad (CIS)
 Web Application Firewall

 Criterios de evaluación del WASC

 Programa de gestión de parches y vulnerabilidades

 NIST SP 800-40

 Política de gestión de incidentes
 Política de gestión de logs

Marzo de 2008
VI Foro de Seguridad RedIRIS: Seguridad en Web

19

Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario

Adaptación: evaluación

 Guías de evaluación y revisión de código

 OWASP Testing Guide
 OWASP Code Review Guide

 Informe tipo y métricas
 Herramientas

 WASS (Watchfire, Acunetix, SPI Dynamics, etc.)
 Análisis de código (RATS, HP DevInspect, etc.)
 Balance entre recursos internos/externos
 ¿Servicios tipo Sentinel de WhiteHat Security?

 SaaS para pruebas de caja negra

Marzo de 2008
VI Foro de Seguridad RedIRIS: Seguridad en Web

20

Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario

Adaptación: apoyos

 Comunidad

 Wiki, lista de distribución
 Asignación de tareas (implicación)

 Formación

 Con monitores externos, intensiva
 Interna: 30 minutos, viernes de 9:30 a 10:00

Marzo de 2008
VI Foro de Seguridad RedIRIS: