Seguridad En La Web 2.0
-
Upload
guest3d781d -
Category
Technology
-
view
1.991 -
download
0
Transcript of Seguridad En La Web 2.0
![Page 1: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/1.jpg)
1
Vulnerabilidades de Seguridad en los Servicios “Web 2.0”
Juan José Lurbe EscrihuelaArnau Sardà Forcadell
![Page 2: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/2.jpg)
2
Vulnerabilidades de Seguridad◦ Tipos de Vulnerabilidades
Tipos de Ataques◦ De autenticación/autorización◦ Client-Side.◦ Command Execution.◦ De revelación de información.◦ Lógicos.◦ Ingeniería Social
Inconvenientes de las Redes Sociales◦ Pérdida del criterio de referencia.◦ Exceso de operatividad sin intervención directa o consciente del usuario.◦ Funciones demasiado potentes y de efectos desconocidos a priori.◦ Concentración del grupo de relaciones de manera intensiva.◦ Guardan, explícitamente o no, información muy precisa.◦ Presentan al usuario las opciones de manera demasiado interesada.
Posibles Situaciones de Riesgo contra nuestra Privacidad Protección de los Derechos de los usuarios
![Page 3: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/3.jpg)
3
La vulnerabilidad de un sistema es su incapacidad de resistencia y recuperación frente a un fenómeno amenazante
Los fenómenos amenazantes más comunes en la red són los ataques intencionados
1. Vulnerabilidades de Seguridad
![Page 4: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/4.jpg)
4
Insuficiente autenticación/autorización Fijación de la ID de la sesión Localización de recursos predecible Recuperación/Modificación de password insegura Tiempo de expiración de sesión insuficiente Insuficiente anti-automatización
1.1. Tipos de vulnerabilidades
![Page 5: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/5.jpg)
5
1.1.1. Tiempo de expiración de sesión insuficiente
Se aprovecha el hecho de que una página web
no cierre la sesión de usuario cuando éste sale de
ella sin desconectarse
Un posible atacante puede acceder a la cuenta
del usuario sencillamente volviendo a abrir el
navegador y conectándose a la web en cuestión
![Page 6: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/6.jpg)
6
1.1.2. Insuficiente anti-automatización
Esta vulnerabilidad la tienen sistemas que no tienen protecciones contra ataques automatizados, o sea que un atacante puede programar un código para ejecutar un programa recurrentemente para, por ejemplo, descubrir una contraseña
Un ejemplo de solución de este tipo de vulnerabilidades son las webs que te piden que les escribas las letras que aparecen desdibujadas en una imagen para poder registrarse o postear:
![Page 7: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/7.jpg)
7
2. Tipos de ataques
De autenticación/autorización Client-side Command execution De revelación de información Lógicos Ingeniería social
![Page 8: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/8.jpg)
8
2.1. Ataques de autenticación/autorización El atacante intenta averiguar los datos de
autenticación de un usuario, como por ejemplo Password Tarjeta de crédito Llave criptográfica
Métodos Fuerza bruta Usuario y password predecibles
![Page 9: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/9.jpg)
9
2.2. Ataques client-side
Se basan en la confianza usuario-web. El usuario cree que el código de la web que está ejecutando es inofensivo, pero es difícil garantizar que nadie ha modificado el código
MétodosContent spoofing Cross-site scripting
![Page 10: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/10.jpg)
10
2.2.1. Content spoofing
Este tipo de ataque se basa en la suplantación de identidad. Hay 5 tipos de suplantaciones:
IP: Se canvia la dirección de orígen de un paquete IP
ARP: Se modifica la tabla ARP para redirigir paquetes
DNS: Falsemiento de una relación DNS-IP o viceversa
MAIL: Suplantación en el correo electrónico del email de otras personas o entidades
![Page 11: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/11.jpg)
11
2.2.2. Cross-site scripting
Se usan webs dónde no se controla la validez del código a ejecutar para insertar código malicioso y que este se ejecute en el navegador del usuario
La web no comprueba la integridad ni la longitud del código que se envia al usuario, y como este tiende a confiar en la web, lo ejecuta
![Page 12: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/12.jpg)
12
2.3. Ataques de Commad execution El atacante explota el hecho de que las webs
requieren información proporcionada por los usuarios e introduce código maligno en ellas
MétodosBuffer overflowFormat stringEjecución de comandos de SOInyecciones de LDAP, SQL, SSI, XPATH, XML,
JSON, …
![Page 13: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/13.jpg)
13
2.3.1 Inyecciones de código
Un atacante puede inyectar comandos en una
web que utilice intérprete si ésta no valida o cifra lo
que se ha inserido. Estos ataques permiten
desfigurar una página web, modificar valores de
bases de datos, …
![Page 14: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/14.jpg)
14
2.4. Ataques de revelación de información Diseñados específicamente para obtener cierta
información de un sistema, como la distribución de software que utiliza y su versión, los archivos temporales, …
MétodosIndexado de directoriosEscape de informaciónPath traversal
![Page 15: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/15.jpg)
15
2.5. Ataques lógicos
Se centran en el abuso y explotación del flujo lógico de una aplicación web
MétodosAbuso de funcionalidadValidación de proceso insuficienteNegación de servicio (DOS y DDOS)
![Page 16: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/16.jpg)
16
2.5.1. DOS y DDOS
El objetivo de este tipo de ataques es hacer caer o volver inestable un servidor/red para que este no pueda ofrecer dicho servicio
Para ello, se genera tráfico hacia el servidor/red para colapsarlo
Para un ataque DDOS se coordinan desde decenas a miles de máquinas para atacar a la vez
![Page 17: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/17.jpg)
17
2.6. Ataques de ingeniería social
El atacante intenta obtener información confidencial mediante la manipulación psicológica del usuario
El método más conocido es el “phishing”, donde el cracker se hace pasar por administrador del sistema y pide al usuario su contraseña, tarjeta de crédito, …
![Page 18: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/18.jpg)
18
3. Ataques recientes 19/12/08: Unos crackers consiguen las
contraseñas y otros datos de 10.000 usuarios del programa Spotify
12/04/09: Twitter es atacado por un gusano que publica 10.000 posts falsos
14/06/09: Atacan, mediante el método “Phishing”, el servicio web Facebook
Myspace ha sido atacado múltiples veces con técnicas de “phishing” y cross-site scripting
![Page 19: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/19.jpg)
19
Inconvenientes de las Redes Sociales◦ Pérdida del criterio de referencia.◦ Exceso de operatividad sin intervención directa o
consciente del usuario.◦ Funciones demasiado potentes y de efectos
desconocidos a priori.◦ Concentran el universo de relaciones de manera
intensiva.◦ Guardan, explícitamente o no, información muy
precisa.◦ Presentan al usuario las opciones de manera
demasiado interesada.
![Page 20: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/20.jpg)
20
Pérdida del criterio de Referencia◦ Promueven más las relaciones entre personas a
través de otras personas, por lo que se pierde el control directo de la referencia y el criterio de selección o confianza usado se diluye según los nodos se distancian.
![Page 21: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/21.jpg)
21
Exceso de operatividad sin intervención directa o consciente del usuario ◦ Disponen de demasiadas funciones automáticas
que el usuario novato desconoce. Ayudan a crecer a la Red, y en teoría a la función relacional de la misma buscada por los propios usuarios, pero también a potenciar la propia plataforma.
![Page 22: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/22.jpg)
22
Funciones demasiado potentes y de efectos desconocidos a priori.
◦ Disponen de demasiadas funciones automáticas que el usuario novato desconoce. Ayudan a crecer a la Red, y en teoría a la función relacional de la misma buscada por los propios usuarios, pero también a potenciar la propia plataforma.
![Page 23: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/23.jpg)
23
Concentran el universo de relaciones de manera intensiva.
◦ De sobra es conocida la escasa perspectiva que tienen los menores de la repercusión y alcance de lo que publican .
![Page 24: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/24.jpg)
24
Guardan, explícitamente o no, información muy precisa.
◦ Basan las relaciones en el perfil, intereses y actividad de los usuarios por lo que les requieren muchos datos y les registran sus acciones dentro de la propia Red. Incluso a la hora de la eliminación del usuario.
![Page 25: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/25.jpg)
25
Presentan al usuario las opciones de manera demasiado interesada.
◦ Tras una supuesta intención de ayudar y agilizar, suele ser política común de las plataformas de Redes Sociales ayudarse a sí mismas.
![Page 26: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/26.jpg)
26
Derecho al honor.
Derecho a la intimidad.
Derecho a la Imagen
![Page 27: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/27.jpg)
27
Derecho al honor◦ El derecho al honor es aquel que tiene toda
persona a su buena imagen, nombre y reputación, de tal forma que toda persona puede exigir que se respete su esfera personal, con independencia de las circunstancias particulares, siendo un derecho irrenunciable.
![Page 28: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/28.jpg)
28
Derecho a la intimidad◦ El derecho a la intimidad tiene por objeto la
protección de la esfera más íntima de la persona, y se encuentra íntimamente ligado a la protección de la dignidad del individuo
![Page 29: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/29.jpg)
29
Derecho a la propia imagen◦ El derecho a la propia imagen pretende
salvaguardar un ámbito propio y reservado del individuo, aunque no íntimo, frente a la acción y conocimiento de los demás.
![Page 30: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/30.jpg)
30
Momento del registro de alta de usuario.
Momento de participación en la red como
usuario.
Momento de darse de baja de la plataforma.
![Page 31: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/31.jpg)
31
Momento del registro de alta de usuario.
◦ Hay que configurar correctamente el perfil del usuario, definiendo el nivel de privacidad y teniendo en cuenta la posible publicación de información sensible desde un principio.
![Page 32: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/32.jpg)
32
Momento de participación en la red como usuario.◦ Hay que tener en cuenta que el volumen de
información, datos e imágenes publicados pueden ser excesivos y afectar a la privacidad, tanto personal como de terceros.
![Page 33: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/33.jpg)
33
Momento de participación en la red como usuario.◦ Por lo que respecta a la privacidad personal: a pesar
de que sean los usuarios los que voluntariamente publican sus datos, los efectos sobre la privacidad pueden tener un alcance mayor al que consideran en un primer momento ya que estas plataformas disponen de potentes herramientas de intercambio de información, la capacidad de procesamiento y el análisis de la información facilitada por los usuarios.
![Page 34: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/34.jpg)
34
Momento de participación en la red como usuario.◦ Por lo que respecta a la privacidad de terceros: es
esencial que los usuarios tengan en cuenta que la publicación de contenidos con información y datos respecto a terceros no puede ser realizada si éstos no han autorizado expresamente su publicación, pudiendo solicitar su retirada de forma inmediata.
![Page 35: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/35.jpg)
35
Momento de participación en la red como usuario.◦ Por último, es importante tener en cuenta que en la
gran mayoría de ocasiones, las redes sociales permiten a los motores de búsqueda de Internet indexar en sus búsquedas los perfiles de los usuarios, junto con información de contacto y de perfiles amigos, lo que puede suponer otro riesgo para la protección de la privacidad, además de dificultar el proceso de eliminación de su información en Internet.
![Page 36: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/36.jpg)
36
Momento de darse de baja de la plataforma.
◦ Cuando el usuario solicite dar de baja su perfil, pero aún así continúen datos publicados por éste, o información personal e imágenes propias publicadas en los perfiles de otros usuarios.
![Page 37: Seguridad En La Web 2.0](https://reader035.fdocuments.ec/reader035/viewer/2022062704/5560c1e2d8b42aef3b8b53e0/html5/thumbnails/37.jpg)
37
http://www.webappsec.org http://www.owasp.org/index.php/
Injection_Flaws http://es.wikipedia.org http://www.segu-info.com.ar/ http://www.unblogenred.es Estudio INTECO-APED sobre Redes Sociales http://entre-teclas.blogspot.com