Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
ING.GILBERT JAIR SANCHEZ AVILA ALTERNATIVAS DE SOLUCION LIVE HTTP HEADERS: podemos implementar para proteger nuestros encabezados un WAF o firewall de aplicación web , este dispositivo puede ser un software o hardware el cual analiza el trafico de una web , ayuda a proteger los datos de la de web de ataques como XSS, inyección de SQL ,Remote and Local File Inclusion, , Buffer Overflows entre otros . Puede detectar un posible buffer overflow analizando las variables que lleguen por GET o POST. Por ejemplo, si el valor de una variable es superior a 150 caracteres, el WAF podría detectar la transacción como maliciosa y denegarla. Para los ataques de Cross Site Scripting y SQL Injection, el WAF vigila que los valores pasados tanto por GET como por POST, no contengan valores como "SELECT FROM, UNION, CONCAT, <script >, %, etc. El factor negativo, es que, si nuestra aplicación utiliza caracteres que el WAF tenga en su "lista negra", denegará las peticiones de los usuarios, en este caso hay dos soluciones: rediseñar el funcionamiento de la aplicación o configurar el WAF para que ignore dichos caracteres. Algunos WAF también monitorizan las respuestas del servidor, por ejemplo, si en una respuesta, que el servidor web envía al usuario se detectan cadenas que pueden ser identificadas como cuentas bancarias, el WAF lo puede detectar como un posible ataque y denegar la respuesta , Pueden funcionar en modo bridge, router, proxy o plugin. Disponibles tanto como Hardware como Software. [1] Un ejemplo de WAF muy popular y efectivo es el W3AF de la Suite de Kalilinux Fig1. Ejemplo de uso de W3AF pagina UNAD , haciendo la opción fast_scan Fuente. El autor. Aquí podemos ver que vulnerabilidades ha encontrado la herramienta: Fig2.vulnerabilidades encontrada con fast_scan vemos que la pagina UNAD tiene un vulnerabilidad de Blind SQL injection. Fuente el autor. Aquí podemos ver en detalle la cabecera o sección GET donde se encuentra la vulnerabilidad : Fig3.vemos donde se encontró el encabezado con el error o vulnerabilidad. Estos firewall de aplicaciones Web o WAF , nos ayudan a complementar la protección en aplicaciones web y de dispostivos como IDS/IPS. Pero debemos tener en cuenta como medida adicional revisar los códigos de nuestras aplicaciones web , nos podemos guiar para esto por el TOP 10 de OWASP para prevenir estos problemas. También el administrador de red puede usar programas como Wireshark para monitorear la red en caso de que se sospeche que una pagina web tenga algún tipo de malware o programas no deseados, aquí vamos a ver una parte de un ejemplo mostrado por INTECO-CERT , en cual se usa esta aplicación para detectar malware en una página: supongamos que nos informan de que una máquina ha sido comprometida y que queremos identificar el vector de entrada y el tipo de malware involucrado. Para ello podemos echar mano de una captura de tráfico de red obtenida en una ventana de tiempo donde se haya producido el incidente. La abrimos con Wireshark para ver su contenido. Aislando las direcciones IP implicadas, podemos tratar de identificar qué software se ha descargado aprovechando la utilidad de exportar objetos, seleccionando File >> Export >> Objects >> HTTP: Figura4 - Exportar Objetos Fuente:https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_analisis _trafico_wireshark.pdf Se nos mostrará una ventana con todas las peticiones HTTP detectadas en la captura de tráfico junto con el nombre del objeto que ha sido descargado: Figura5 - Lista de Objetos HTTP https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_analisis_trafico_wireshark.pdf https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_analisis_trafico_wireshark.pdf Fuente:https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_analisis _trafico_wireshark.pdf Desde esta ventana podemos descargar el archivo que nos interese analizar, o descargarlos todos pulsando el botón “Save All”. En nuestro caso, procedemos a descargar el fichero llamado fcexploit.pdf, almacenándolo en local. Suponemos que este archivo es malicioso por lo que habrá que tener cuidado de no abrirlo o ejecutarlo, pero ya tenemos una posible muestra del malware que podremos a analizar con nuestro antivirus o enviarla a que sea analizada online. Una de las páginas que ofrece la posibilidad de examinar ficheros sospechosos haciendo uso diferentes motores de antivirus es VirusTotal (http://www.virustotal.com). En este caso, el resultado obtenido para el fichero descargado fue positivo, indicando el nombre del virus, por lo que es posible buscar información específica para eliminarlo y, paralelamente, informar al proveedor de antivirus para que genere una firma de detección en caso de no detectarlo[2]. Afortunadamente este programa también esta en la suite de kalilinux: Figura6 – interfaz de wireshark en kalilinux . Fuente. El autor. Tambien podemos instalar complementos en nuestro navegador componentes que protegen nuestro navegador web como noscript este add-on que se instala en Firefox permite JavaScript, Java, flash y otros plugins para ser ejecutado únicamente por los sitios web de confianza de su elección (por ejemplo, su línea banco). NoScript también proporciona la más potente anti-XSS y anti-Clickjacking protección siempre disponible en un navegador[3]. Figura 7– ejemplo de funcionamiento de noscript. https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_analisis_trafico_wireshark.pdf https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_analisis_trafico_wireshark.pdf Fuente: https://noscript.net/ También como usuarios seria bueno tener en cuenta cuando como usuarios cuando nuestro PC presente falencias o sospechemos que no funcione bien , debemos tener actualizados los antivirus e instalar programas como antispyware para complementar estas medidas de protección , debemos no abrir correos desconocidos ,también los usuarios pueden instalar un firewall complementario como zone alarm free firewall[6] no instalar programas que no conozcamos incluso eliminar programas que no usemos , tampoco instalar complementos en un navegador que no conozcamos , incluso hacer limpieza de las cookies de un navegador ya que estas almacenan información de una pagina para facilitar el acceso a esta borrar datos de navegación para evitar también que se almacenen en el navegador elementos no deseados en el caso de google chrome esto lo podemos hacer en configuración/privacidad/borrar datos de navegación , incluso también se sugiere no estar conectado a internet en caso de no ser necesario ya que esto también facilita la labor de los spyware. Que hacer si sospechamos de actividad inusual en nuestro PC por parte de otras personas: Si se sospecha que paso algo raro en nuestro PC podemos usar logs de auditoría o incluso usar programas de informática forense como osforensics en caso de que sospechemos que alguien manipulo nuestro PC y si la información que había en este fue saboteada y esta información fuera importante incluso como para que se tenga que hacer denuncios a la autoridad competente, este programa se consigue la versión free para que los usuarios lo prueben incluso si se quiere la versión profesional eso si ya toca pagar. Figura 8– ejemplo de funcionamiento de osforensics https://noscript.net/ Fuente. El autor Si vemos esta imagen en el recuadro rojo el programa mostrara los documentos en Word usados recientemente, url accedidos, usos de memoria USB, cookies instaladas entreotros cambios o actividades que pueda realizar una computadora. Mas información: [1]http://wiki.elhacker.net/seguridad/web/introduccion-a-los-web-application-firewalls-waf [2]https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_analisis_traf ico_wireshark.pdf [3] https://noscript.net/ [4]http://articulos.softonic.com/adios-spyware-como-descubrir-y-denunciar-a-los-espias-en-tu- pc?ex=SWH-1566.0 [5]http://articulos.softonic.com/intruso-pc-investigacion-forense/2?ex=SWH-1566.0 [6] http://zonealarm-free-spanish.softonic.com/ http://wiki.elhacker.net/seguridad/web/introduccion-a-los-web-application-firewalls-waf https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_analisis_trafico_wireshark.pdf https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_analisis_trafico_wireshark.pdf https://noscript.net/ http://articulos.softonic.com/adios-spyware-como-descubrir-y-denunciar-a-los-espias-en-tu-pc?ex=SWH-1566.0 http://articulos.softonic.com/adios-spyware-como-descubrir-y-denunciar-a-los-espias-en-tu-pc?ex=SWH-1566.0 http://articulos.softonic.com/intruso-pc-investigacion-forense/2?ex=SWH-1566.0 http://zonealarm-free-spanish.softonic.com/
Compartir