Sorry, this entry is only available in Español.

Esta publicación continúa desde: Familiarizándonos con OWASP – Top 10 OWASP vs Sitios Web Colombia II

Es complicado generalizar sobre un panorama o estado del arte en Seguridad de Aplicaciones Web de Colombia, esto debido a que no existen cifras exactas de incidentes registrados. Sobre todo desde las entidades que deberían generar estos registros. Tan solo encontramos supuestas organizaciones líderes en el tema, pero estas se limitan a publicar noticias sacadas de otras fuentes y totalmente fuera de la problemática en cuestión. Un total desperdicio de recursos…

Lo más cercano a estos propósitos y como excelente iniciativa del experto en seguridad Jeimy J. Cano, es la reconocida Encuesta Latinoamericana de Seguridad de la Información. En la encuesta obtendremos un panorama global, no solo sobre seguridad en aplicaciones web, sino también en otros tópicos relacionados a la seguridad de la información.

Lamentablemente la encuesta no cuenta con todos los datos específicos que quisiéramos tener, pero por lo menos cubre algunos puntos de interés para esta publicación. Cabe notar que la encuesta no está dirigida exclusivamente para la población Colombiana, sino también para otros países de América Latina.

Como apreciación personal, considero como factor determinante el que no existan registros más profundos sobre incidentes de seguridad en aplicaciones web en Colombia,  a las propias empresas que no reportan los mismos. Esto posiblemente a la vergüenza y escándalo que puede producir el reconocer las debilidades existentes en sus propios sistemas.  Y por supuesto reconocer que mucha de su información ya fue comprometida y muy posiblemente sus propios datos y los de sus clientes se encuentran públicos en los famosos “leaks“, y en el peor de los casos ni por enterados se dan.

Veamos algunos resultados de la encuesta. Sobre todo los que están dirigidos a Fallas de Seguridad (tipos de fallas, identificación del incidente, notificación, etc.)… De total interés para nuestra publicación.

Población encuestada

Sectores encuestados

Fallas de seguridad identificadas (resaltas las más relacionadas a la publicación)

Mecanismos de protección utilizados

Notificación del incidente

Motivos por los que NO denuncian

La encuesta completa puede consultarse desde el propio sitio web de ACIS >>

Ahora bien, estos datos nos dan un panorama muy general del estado del arte, tendremos entonces que consultar por cuenta propia, acerca de incidentes reportados o “leaks” publicadas en otras fuentes de información…

Una de esas fuentes y relativamente nueva, pero con muy pocos datos (para nuestro país y otros en general) es Datalossdb. En este sitio bajo previo registro, podemos consultar algo de información que posiblemente nos amplíe el panorama. Veamos:

Incidentes en organizaciones Colombianas con su respectiva descripción de la actividad maliciosa

Otra fuente de información aun más cruda, pero más actualizada, así como real y con respecto a vulnerabilidades específicas en aplicaciones web, puede ser el sitio Zone-H. Un servicio que recopila diariamente (gracias a la propia notificación de los atacantes) los diferentes incidentes a organizaciones por medio de las aplicaciones web y que tienen como finalidad modificar el contenido de la página inicial (en su mayoría), conocido como Defacement (desfiguración).

Considero muy apropiado contar en esta publicación con datos como los expuestos en Zone-H, esto debido a que el dato/registro de la actividad maliciosa es realizada por el mismo atacante. Es decir, nada que ocultar y aun mejor, verificado por un agente externo (tercero, equipo de Zone-H). Ni el atacante, ni la víctima podrán manipular los datos.

Veamos entonces un corto análisis de resultados para nuestro país y por supuesto, los principales actores de esta actividad.

Resultados de la consulta sobre sitios web con dominio *.gov.co que han sufrido ataques y como resultado final un defacement (2.573)

Ahora lo mismo con dominios *.edu.co

Safety Last Group & ISLAM 47, como uno de los grupos más reconocidos en la “scene”, debido a la importancia de los sitios atacados y al nivel técnico mostrado para realizar los mismos.

Ataque específico del grupo Safety Last Group – ISLAM 47 al sitio web de la procuraduría general de la nación, al sitio de elecciones (precisamente con fecha cercana a los comicios) 

 

Casi el 100% de dominios *.mil.co, víctimas de los ataques de Safety Last Group – ISLAM 47

Finalmente podemos concluir que nuestro panorama es bastante gris (siendo generosos), pues si bien no tenemos un estado del arte completo sobre la efectividad de las medidas de seguridad implementadas en las organizaciones de Colombia, con los resultados expuestos anteriormente queda bastante claro sobre el alto grado de vulnerabilidad de los sitios por ahora más representativos.

Ya sobre estos sitios publicaré en detalle en el próximo post, además de la evaluación de las fallas con respecto a los sitios web de Colombia.

Hace algún tiempo publiqué en la Wiki de Sec-Track una pequeña recopilación de ejemplos de reportes de Test de Penetración. Una de las más importantes razones que a la publicación respecta es que considero fundamental evaluar las diferentes maneras en que las personas realizan una misma actividad y por supuesto nuestro intento de recoger los mejores procedimientos y resultados de las mismas.

Luego publiqué una herramienta muy interesante y que utilizo constantemente para la gestión y análisis de información recolectada y por supuesto presentación de la misma. En esta caso: MagicTree, Gestión de Reportes de PenTesting. Es por ello que cito mi apreciación personal sobre el desarrollo de esta fundamental etapa: Desarrollo y Generación de Reportes

“El desarrollo de reportes en procesos de Test de Penetración es quizás una de las fases más importantes (casi al mismo nivel que la fase de recolección de información/Information Gathering). Pues es la mejor manera de transmitir todas las actividades realizadas y toda nuestra experticia técnica y metodológica a nuestros clientes.

A diferencia de algunos PenTesters que conozco. La generación y desarrollo de reportes me gusta y disfruto ejecutándola, ya que me permite interactuar directamente con la entidad, haciéndole ver de mejor manera eso que llaman retorno de la inversión.

Así como de importante, tiene de compleja… Pues entre las fases de la metodología de desarrollo de reportes, está la de unificar y analizar en gran detalle cada una de las salidas de diferentes herramientas. Claro, algunas traen sus propios sistemas de generación de reportes, pero pocas veces sabemos como interpretar los mismos… O peor aun (y en casos que he visto) los “ethical hackers certificados y sus super empresas” se limitan a copiar y pegar las salidas de herramientas tipo Nessus y ya está (una pena que luego hablaremos)“

Otro aspecto fundamental en el desarrollo y presentación de reportes está por supuesto enfocar estos resultados a todo nuestro público objetivo. Dividiendo el mismo entre dos grandes grupos; Alta Gerencia (ie. CEO, CIO, CISO) y Equipos Técnicos de TI (ie. DBA, SysAdmin, WebMaster, Developers, etc).

El objetivo por lo tanto de esta publicación es compartir el excelente Webinar realizado por el equipo de thehackeracademy y que lleva como título: Reporting: The Difference Between Good and Great Penetration Testers.

Un video más que recomendado, tanto para quienes inician, como para quienes se dedican a la materia de manera profesional en la prestación de servicios de Test de Penetración.

Reporting: The Difference Between Good and Great Penetration Testers por  thehackeracademy

Esta publicación continúa desde: Uso de Tecnologías en Aplicaciones Web – Top 10 OWASP vs Sitios Web Colombia I

OWASP es una de las más respetadas autoridades en el campo de la seguridad en aplicaciones Web. OWASP es el acrónimo de Open Web Application Security Project (Proyecto Abierto de Seguridad en Aplicaciones Web), y como su nombre indica es una organización abierta y sin ánimo de lucro con el objetivo de mejorar la seguridad en las aplicaciones Web.

OWASP es básicamente una fundación que reúne a colaboradores e investigadores individuales y por supuesto empresas patrocinadoras, quienes en conjunto, contribuyen al crecimiento del proyecto. Estas contribuciones incluyen documentos guías para el desarrollo de código seguro, guías para llevar a cabo pruebas de seguridad a las propias aplicaciones, herramientas para realizar ambas actividades (desarrollo seguro y evaluación de vulnerabilidades), librerías que pueden ser utilizadas para prevenir vulnerabilidades desde el código fuente, entornos de entrenamiento en desarrollo y testing, conferencias y otros recursos.

Uno de los mejores recursos es el conocido OWASP Top 10. Este listado recopila las 10 más críticas vulnerabilidades de seguridad en aplicaciones Web. Esta recopilación contiene datos objetivos de empresas patrocinadoras que informan sobre las diferentes vulnerabilidades que identifican en sus propias infraestructuras o en las que resguardan. Asimismo contiene unos datos subjetivos provistos por investigadores expertos que intentan clasificar la severidad de los daños que pueden causar dichas vulnerabilidades.

La primera versión de este documento fue creada en el año de 2004, luego actualizada en 2007 y actualmente contamos con una última actualización en el año de 2010. De aquí que muchos consideremos más que necesario una nueva actualización para el presente año. (nuevas tecnologías, nuevas vulnerabilidades y nuevos riesgos).
La lista viene organizada desde el riesgo más alto, hasta el más bajo (no por esto menos importante, pues recordemos que es el top 10 de muchos más).

Antes de arrancar con el listado, me gustaría hacer notar la importancia que le dan en el documento a la identificación y gestión de riesgos en las aplicaciones, pues va más allá de listar vulnerabilidades identificadas en gran proporción a vulnerabilidades que realmente tienen impacto técnico (objetivo) como al negocio (subjetivo). Veamos:

Dejo entonces la lista oficial desde el documento publicado en OWASP:

Otro de los aspectos y para mi el más importante, corresponde al tratamiento descriptivo que hacen de cada una de las vulnerabilidades  Pues involucra todos los diferentes aspectos que están relacionados con el análisis del riesgo (atacante, vector de ataque deficiencia de seguridad, impacto técnico y del negocio), veamos un ejemplo con Inyección:

Asimismo se incluyen unos parámetros para la identificación de la vulnerabilidad y por supuesto algunas de las maneras en que podemos evitar las mismas (todas estas como simples referencias de estudios y análisis más profundos)

Para profundizar sobre la Organización OWASP y todos sus proyectos, pueden consultar la página Web oficial >>

 

Para detallar y tener el completo listado del Top 10 OWASP, pueden descargar el documento en formato pdf >>

Continuamos pronto…

 

El año pasado tuve el placer de asistir a la primera versión del ACK Security Con. Allí presenté parte de una investigación que vengo realizando sobre el estado del arte en la seguridad de las aplicaciones Web en Colombia.

El tema es complejo y profundo, por ello, he decidido publicar la propia presentación del evento en diferentes posts, con el objetivo de detallar las ideas y planteamientos… Y por supuesto recibir nuevas opiniones de ustedes los verdaderos expertos.

Una de las primeras problemáticas que presenté, hace referencia a la implementación de tecnologías comunes o de uso masivo en las aplicaciones Web. Esto quiere decir, sobre la utilización de CMS, servidores Web, lenguajes de programación del lado del servidor entre otros, con reconocidas fallas de seguridad por defecto o por lo menos muy regulares o de constante identificación.

Este tema abre un debate entre defensores y detractores. Por ejemplo en el uso de CMS, (por poner sólo un ejemplo, que ya con lenguajes de programación es aún peor y ni que decir de Sistemas Operativos) ya que unos hablarán y argumentarán sobre las bondades del uso de alguno, por la fácil gestión de contenidos, la constante actualización de funcionalidades y por supuesto, mejoras en seguridad. Asimismo los detractores argumentarán sobre el alto impacto negativo que representa una falla en uno de estos gestores o lenguajes, debido principalmente al uso masivo que comentaba en un inicio. Y sobre todo acerca de la generosidad de tener un software hecho a la medida de las necesidades del usuario “sin manos extrañas que toquen nuestro código”.

Personalmente soy partidario del argumento “Depende”. Pues nada más cierto que cada quien con sus gustos y preferencias. Obviamente estas mismas por debajo del bien común del negocio. Y este mayormente representado en prestación del servicio y confidencialidad del mismo. Con todo lo que implica.

Vuelvo y repito… Nos abriría un eterno debate, por ejemplo sobre la posibilidad de auditoría de código, efectividad de escáneres de vulnerabilidades, malas prácticas de programación, facilidad de explotación, propagación masiva de otros ataques y un largo etcétera.

Lo presento como una constante problemática en seguridad. Pues finalmente será casi imposible ponernos de acuerdo en esto. Pero el riesgo es real.

Lo siguiente, es un listado de resultados de uso de tecnologías en Internet a nivel mundial, específicamente en relación a aplicaciones Web. Todas estas extraídas desde W3Techs, veamos:

 CMS (Content Management System / Sistema de Gestión de Contenidos)

El gráfico nos informa sobre un total de 68.1 % de NO uso de sistemas de gestión de contenidos. Un 17.5%  de uso del CMS WordPress sobre el total de sitios en Internet (una cifra bastante alta), además este mismo CMS representa el 54.8% del total de sitios Web que usan gestores de contenido para administrar los mismos.

Desde el sitio Web W3Techs, será posible además detallar las versiones específicas de estos gestores, veamos los resultados con los dos CMS más utilizados (WordPress & Joomla)

WordPress

Joomla

Lenguajes de programación del lado del servidor

Lenguajes del lado del cliente

Autoridades Certificadoras

Servidores Web

Versiones específicas de Apache

Versiones específicas de IIS

Sistemas Operativos

Versiones específicas de derivados UNIX

Versiones específicas Linux

Top Dominios

Algunos resultados son tranquilizadores con respecto a las versiones específicas de la tecnología. Pues confirman que se están utilizando las últimas versiones, que en su gran mayoría, no presentan vulnerabilidades (por lo menos no públicas hasta el momento, pero como todos sabemos y por lo que hemos visto últimamente es solo cuestión de tiempo). Algunos otros datos nos dejan esa sensación de preocupación. Sobre todo cuando consultamos informes como los siguientes (CVEDetails):

Vulnerabilidades Apache

Vulnerabilidades IIS

Vulnerabilidades PHP

Vulnerabilidades ASP.NET

Vulnerabilidades WordPress

Vulnerabilidades Joomla

Continuamos pronto…

 

Pues eso!!! Andaba realizando una investigación forense digital en la cual se involucraban varios perfiles de twitter y cual fue mi sorpresa al descubrir que twitter NO elimina los metadatos de las fotografías…

ACLARO: NO elimina los metadatos (en este caso los datos EXIF) de las fotografías del perfil (Si, esa que ponemos para vernos “bonitos” o interesantes)

NO estoy hablando de los metadatos de las fotografías que se publican en uno que otro tweet diciendo que estamos en X o Y lugar, o comiendo tal o cual cosa (time line)(que ya se habló en DragonJAR al respecto) … Me refiero, vuelvo y repito a las fotografías del perfil…

Busqué información al respecto y nadie había encontrado ni reportado públicamente el bug, pues es tal el grado de desinterés de twitter en proteger nuestra información (aunque no serían los responsables… Obviamente somos notros como usuarios… pero no estaba de más un limpieza) que hasta mantiene el mismo nombre de nuestras fotografías… Esto sería: mi_foto_twitter.jpg, montaje_yo.jpg, etc, etc…

En fin, veamos de que va…

Nuestros perfiles lucen de la siguiente manera

Si exploramos en detalle el perfil vemos que enlaza directamente desde nuestra fotografía en miniatura(small) a la imagen original

Disculpen el “modelo” para este ejemplo… Mejor veamos algun@s con mejor pinta…

Utilizaré algunos perfiles públicos de “famosos” en Colombia… O por lo menos de los nombres que me acuerdo… Claro que incluyo algun@s más de mi interés.

¿A alguien se le hace extraño encontrar el software Photoshop por estos lados?

Aunque bueno… En este otro perfil, si que es “extraño”

Acá un sitio para visualizar un “ranking” de usuarios en twitter según el número de seguidores (Colombia)(twittercolombia) … Para otros paises puede servir twitaholic.

Algunos ejemplos de mi propia lista “Following” relacionados con InfoSec:

(@Wimremes) De esta fotografía soy testigo, pues estaba finalizando el evento @SecZone el año pasado…

La hermosa Georgia:

Para finalizar el post y solo para concluir la idea original del mismo (Tracking + Digital Forensics) basta decir que en la investigación  conté con la buena suerte del descuido y confianza de algunos delincuentes… Veamos los datos:

Finalmente… Así como nos gustan las fotografías… Repletas de metadatos! Sobre todo los que corresponden a geolocalización:

Happy Tracking!

Llevaba más de 6 meses con este post en “el tintero”. Esto debido a lo complejidad y a todas las variables involucradas en el mismo. En un inicio pretendía tan solo medir la eficacia que podían tener algunos delincuentes informáticos en su actuar. Luego fuí involucrando productos, sistemas de explotación de vulnerabilidades, tiempos, etc… Finalmente terminé con tantos datos y tantas ideas que se me ocurrió tan solo hacer una reflexión y un pequeño estudio estadístico si pudiese llamarlo así… Luego este se convirtió en una desconferencia que presenté en el BarCampSE en Medellín.

Lo genial de la experiencia es que seguí la dinámica de desconferencia. En la cual el contenido de la presentación se fue modificando con la participación de los asistentes.

Read the rest of this entry »