Tecnologías de Seguridad
La seguridad de aplicaciones web es una rama de la Seguridad Informática que se encarga específicamente de la seguridad de sitios web, aplicaciones web y servicios web.
A un alto nivel, la seguridad de aplicaciones web se basa en los principios de la seguridad de aplicaciones pero aplicadas específicamente a la World Wide Web. Las aplicaciones, comúnmente son desarrolladas usando lenguajes de programación tales como PHP, JavaScript, Python, Ruby, ASP.NET, JSP, entre otros.
Seguridad Web
-
Mientras que la seguridad se basa fundamentalmente en las personas y los procesos, existen varias soluciones técnicas a considerar cuando se diseña, construye y prueban aplicaciones web seguras. A un alto nivel, estas soluciones incluyen:
-
Black box: herramientas de prueba tales como escáneres de seguridad de aplicaciones Web,10 escáneres de vulnerabilidad y software de prueba de penetración.
-
White box: herramientas de prueba tales como analizadores estáticos de código fuente11
-
Fuzzing:12 herramientas utilizadas para pruebas de entrada.
-
Escáner de seguridad de aplicaciones web (escáner de vulnerabilidad).
-
Firewalls de aplicación web (WAF):13 utilizada para brindar protección tipo firewall en la capa de la aplicación web.
-
Cracking de contraseña: herramientas de prueba de fuerza de contraseña e implementación.
-
Ataques de intromisión: Este tipo de ataque es cuando alguien abre archivos, uno tras otro, en nuestra computadora hasta encontrar algo que le sea de su interés. Puede ser alguien externo o inclusive alguien que convive todos los días con nosotros. Cabe mencionar que muchos de los ataque registrados a nivel mundial, se dan internamente dentro de la organización y/o empresa.
-
Ataque de espionaje en líneas: Se da cuando alguien escucha la conversación y en la cual, él no es un invitado. Este tipo de ataque, es muy común en las redes inalámbricas y no se requiere, como ya lo sabemos, de un dispositivo físico conectado a algún cable que entre o salga del edificio. Basta con estar en un rango donde la señal de la red inalámbrica llegue, a bordo de un automóvil o en un edificio cercano, para que alguien esté espiando nuestro flujo de información.
-
Ataque de intercepción: Este tipo de ataque se dedica a desviar la información a otro punto que no sea la del destinatario, y así poder revisar archivos, información y contenidos de cualquier flujo en una red.
-
Ataque de modificación: Este tipo de ataque se dedica a alterar la información que se encuentra, de alguna forma ya validada, en computadoras y bases de datos. Es muy común este tipo de ataque en bancos y casas de bolsa. Principalmente los intrusos se dedican a cambiar, insertar, o eliminar información y/o archivos, utilizando la vulnerabilidad del los sistemas operativos y sistemas de seguridad (atributos, claves de accesos, etc.).
-
Ataque de denegación de servicio: Son ataques que se dedican a negarles el uso de los recursos a los usuarios legítimos del sistema, de la información o inclusive de algunas capacidades del sistema. Cuando se trata de la información, esta, se es escondida, destruida o ilegible. Respecto a las aplicaciones, no se pueden usar los sistemas que llevan el control de la empresa, deteniendo su administración o inclusive su producción, causando demoras y posiblemente pérdidas millonarias. Cuando es a los sistemas, los dos descritos anteriormente son inutilizados. Si hablamos de comunicaciones, se puede inutilizar dispositivos de comunicación (tan sencillo como cortar un simple cable), como saturar e inundar con tráfico excesivo las redes para que estas colisionen.
-
Ataque de suplantación: Este tipo de ataque se dedica a dar información falsa, a negar una transacción y/o a hacerse pasar por un usuario conocido. Se ha puesto de moda este tipo de ataques; los "nuevos ladrones" ha hecho portales similares a los bancarios, donde las personas han descargado sus datos de tarjetas de crédito sin encontrar respuesta; posteriormente sus tarjetas de crédito son vaciadas.
Tipos de Ataques de Seguridad
-
Ataque de inundación de buffer (Buffer Overflow)
Este tipo de ataque DoS diríamos que es el clásico, consiste en enviar más paquetes de las que el buffer del servicio puede manejar, por tanto llegado al límite del buffer, el servidor comienza a no poder responder a las nuevas peticiones. Saturando el buffer el atacante impide que peticiones legítimas sean correctamente contestadas por el servidor.
-
Ataque de inundación de SYN (SYN Flood)
Cuando se inicia una conexión TCP entre un cliente y el servidor se ejecuta el llamado saludo a tres bandas, durante este saludo normalmente el cliente envía un mensaje SYN (synchronize) al servidor, este le responde con un mensaje SYN-ACK (synchronize aknowledge) y finalmente el cliente envía un ACK (aknowledge) con lo que la conexión queda establecida.
-
Ataque Teardrop
El ataque Teardrop explota la manera en la que el protocolo IP requiere que un paquete demasiado grande para el siguiente router sea dividido en fragmentos. El paquete una vez dividido identifica un offset hacía el principio del primer paquete el cual permite que una vez llegan todos los fragmentos al destino el paquete original sea reconstruido.
-
Ataque de inundación ICMP
En este caso el atacante envía una gran cantidad de peticiones ICMP echo request (ping), a las que el servidor responde con un ICMP echo reply (pong) lo cual sobrecarga tanto el sistema como la red de la víctima, llegando al punto de que el objetivo no puede responder a otras peticiones.
-
Ataque Smurf
Este es similar al ataque anterior, en este caso el atacante envía paquetes ICMP echo request (ping) a una IP de broadcast usando como dirección origen la dirección de la víctima, el resto de equipos conectados a la red enviarán un ICMP echo reply a la víctima, si imaginamos que estamos en una red de 100 máquinas, por cada ICMP echo request (ping) que enviemos simulando ser la víctima (spoofing), la víctima recibirá 100 paquetes ICMP echo reply (pong) es decir una inundación de ICMP multiplicada por el total de equipos en la red.