¿Por qué es importante realizar auditorías sobre las aplicaciones web?

Muchas empresas trabajan con aplicaciones web de forma muy estrecha, donde numerosas veces forma parte del modelo de negocio. Debido a esto, las aplicaciones web suelen ser un nodo crítico dentro del esquema tecnológico de la compañía y deben contemplarse los riesgos existentes sobre las mismas.

Previamente hemos informado sobre reportes de ataques en aplicaciones web donde las cifras son altamente llamativas. Debido a esto, se hace necesario realizar los controles necesarios para estar preparados contra posibles ataques. Arachni es una herramienta muy completa que permite realizar diversos controles  y pruebas sobre una aplicación web en particular y obtener información en un cómodo reporte.

¿Qué funcionalidades ofrece Arachni?

Una de las características más importantes que ofrece es el soporte sobre diversos protocolos y versiones, tales como SOCKS4, SOCKS4A, SOCKS5, HTTP/1.1 y HTTP/1.0. Además ofrece la posibilidad de realizar peticiones asincrónicas HTTP con la posibilidad de ajustar la tasa de concurrencia de las mismas.

Otra de las funcionalidades interesantes es un “crawler” propio. De esa manera es posible realizar un recorrido profundo sobre todos los directorios de la aplicación web y obtener información sobre los mismos.

El módulo auditor permite verificar la seguridad de los formularios web, los enlaces, las cookies y las cabeceras de las peticiones. De esta manera es posible evaluar la seguridad frente a técnicas que utilizan los atacantes tales como las peticiones mal formadas, o incluso la explotación de vulnerabilidades en los formularios, como por ejemplo, a través de datos de entrada inválidos. De la misma forma, esta herramienta cuenta con un parser que permite analizar las mismas tecnologías antes expuestas desde el punto de vista del código.

Otro de los aspectos que también cubre esta herramienta es todo aquello referido a inyección SQL. De esta manera, es posible realizar pruebas basadas en error (error based), blind sql injection, e incluso inyecciones basadas en tiempo. Además, es posible llevar a cabo pruebas referidas a inyección de código en los lenguajes más comunes, tal como PHP, Python, Ruby y ASP.NET entre otros.

Esta herramienta provee una gran cantidad de pruebas que pueden ser configuradas de forma muy personalizada y de esta manera lograr verificar, de forma automática, la seguridad sobre la aplicación web.

Anteriormente hemos hablado sobre auditorías sobre servidores web con Nikto para aquellos que les interese investigar más sobre la temática. Finalmente, Arachni es una alternativa válida para realizar análisis de vulnerabilidades comunes como la inyección de comandos en servidores web. En futuros posts explicaremos más en detalle el funcionamiento de esta herramienta y el alcance que posee.

ESET/ Blog de Laboratorio

El asunto ha llegado incluso a la Unión Europea, donde podría empezar a tenerse en cuenta una propuesta que daría a las fuerzas del orden la capacidad de realizar hacking ofensivos que comprometieran infraestructuras y sistemas privados para obtener información a través de spyware, eliminar datos o incluso hacer caer servidores cuando haya causa probable de actividad cibercriminal.

Por el momento lo que hay en juego es un proyecto de ley propuesto por los políticos holandeses para modificar la ley y que sea legal hackear infraestructuras de cibercriminales, informan desde TechWeek Europe. Incluye además una disposición que permitiría a la policía realizar un ‘hack back’ en naciones extranjeras también.

No todos están de acuerdo en extender el poder de las fuerzas del orden ante la posibilidad de que la privacidad de los ciudadanos pueda verse afectada, pero en Bruselas se plantean estudiar esta posibilidad, que permitiría acabar con sistemas criminales sospechosos activos en toda la Unión Europea, promoviendo al mismo tiempo un conjunto de guías y regulaciones que controlen el hacking back.

Para algunos, como Bits of Freedom, una ley como la que se está planteando en Holanda podría suponer un serio revés contra la privacidad. “Países como China utilizarán estas medidas como una justificación para sus propias actividades. Ellos seguirán el ejemplo de Holanda permitiendo a su policía utilizar los mismos métodos, incluido el hacking fuera de sus fronteras, con el fin de eliminar datos controvertidos”, dicen en un post.

Según TechWeek, está claro que los gobiernos ya están haciendo uso de software malicioso que entra en los ordenadores de los ciudadanos. Empresas como la británica Gamma Internacional o la italiana Hacking Team venden spyware muy sofisticado. El gobierno alemán, por ejemplo, ha reconocido haber gastado 150.000 euros en FinFisher, un software desarrollo por Gamma.

IT espresso

En esta nueva versión han agregando varios nuevos proveedores sociales como Cliqz, Mixi y msnNOW para Firefox.
Ahora también se ha agregado la posibilidad de habilitar Do Not Track para informarle a los sitios sobre las preferencias de seguimiento y privacidad.

Junto con la adición de una mayor integración social también cerró varios agujeros de seguridad en el navegador calificados como de alto gravedad, por lo que se recomienda actualizar a la nueva versión.

Segu- Info News

La nueva versión está basada en Ubuntu 13.04, pero trabaja con sus dos escritorios de referencia Cinnamon 1.8 o MATE 1.6, donde ambas versiones vienen cargadas de novedades. En ambos casos podemos elegir si instalamos la versión de 32 o 64 bits. Vamos a ver un poco de las novedades que vienen en esta versión.

Novedades que vienen con Linux Mint Olivia

Una de las cosas más interesantes es el nuevo gestor de fuentes de software, los repositorios que tenemos habilitados, ya sean oficiales o no, los PPAs y otras fuentes que podamos haber añadido para que estén disponibles a la hora de buscar nuevos paquetes para instalar.

El nuevo gestor MDM de inicio de sesión viene con soporte de temas HML5, a los que se unen el soporte de ventana de diálogo programada con las librerías GTK o GMD compatible con temas XML. A esto se le une el nuevo gestor de drivers separado de las fuentes de software y que se puede ejecutar directamente desde el menú.

Cinnamon 1.8 y MATE 1.6

Cinnamon 1.8 llega después de siete meses de desarrollo. Entre las principales novedades que presenta están el rediseño de Nemo, el gestor de archivadores que ahora se integra mejor entre las carpetas que muestra y el directorio de archivos. En el escritorio también se añaden lo que llaman Desklets, las pequeñas aplicaciones de escritorio, similares a los Widgets, que no se si realmente serán de utilidad.

Otra curiosidad es la pantalla de bloqueo, en la que ahora el usuario puede dejar mensajes. También se han mejorado y unificado las opciones de control de Cinnamon. Por último se han añade un mejor rendimiento del escritorio que esperemos se note lo suficiente.

En lo que respecta a MATE 1.6 se ha hecho un buen trabajo a nivel interno para mejorar el sistema tanto ahora como de cara al futuro, se han eliminado y sustituido paquetes para hacerlo más ligero y fácil de mantener. Por ejemplo, mateconf ha sido reemplazado por gsettings, por citar un ejemplo. También se ha renovado el navegador de archivos, Caja.

Realmente están realizando un buen trabajo, diferenciándose del resto de distribuciones. Lo que si espero es que en algún momento mejoren el proceso de migración de una versión a otra, donde no es que sea precisamente intuitiva para los usuarios que se inician con Linux, donde por ejemplo Ubuntu, funciona mucho mejor, con más opciones y flexibilidad para hacerlo.

Genbeta

Las huellas digitales son características biométricas fiables y permanentes, resistentes al envejecimiento y la variación en el tiempo, y por esta razón han sido la base de la criminalística desde 1891, cuando Juan Vucetich inició una colección de huellas de convictos en Argentina. Hoy en día, la biometría se emplea para mucho más que para la identificación forense. Nuestras huellas se han convertido en una tarjeta de identidad que nunca perdemos, y por tal motivo su aplicación se está extendiendo a numerosos ámbitos de la vida diaria.

Seguridad aeroportuaria

El tránsito de pasajeros en los aeropuertos es uno de los retos más importantes para la seguridad nacional. Por eso, los servicios de inmigración de algunos países han adoptado sistemas de gestión electrónica de fronteras para garantizar los máximos estándares de confiabilidad debido a la rápida escalada de viajes transfronterizos en sus terminales aéreos.

Además, aeropuertos en Hong Kong, Londres, Francia, Bulgaria y muchos otros países han instalado e-gates, las cuales ejecutan la identificación biométrica de los pasajeros, mejorando la eficiencia en sus tiempos de circulación y un robusteciendo la seguridad de áreas con alto tráfico de usuarios.

Confiabilidad electoral

Con el fin de eliminar el fraude electoral, varios países han implementado la actualización de sus registros electorales con elementos biométricos para incorporar mayores mecanismos de seguridad que permitan certificar la identidad de cada votante y evitar problemas asociados a la doble votación y la suplantación de identidad.

En algunas plataformas de voto electrónico, la huella digital es utilizada para validar la identidad del elector y habilitar el inicio de la sesión de la votación, asegurando así que se cumpla el precepto de un solo voto por elector. Venezuela fue el primer país que implementó la autenticación biométrica a nivel nacional en sus elecciones de 2012 con tecnología provista por Smartmatic.

Pagos electrónicos seguros

El PIN o clave secreta ha sido hasta ahora el método preferido por los bancos para mantener restringido el acceso a las cuentas de cada persona. Sin embargo, la memoria no es una herramienta infalible, y las tarjetas de débito son susceptibles a ser extraviadas o robadas. Para solucionar este problema, países como Alemania y Francia están experimentando con sistemas biométricos de pago electrónico en los supermercados. Con su huella digital, el cliente obtiene acceso a su cuenta sin necesidad de cargar un plástico ni memorizar un número, así como también evitar la clonación de tarjetas.

Salud

La duplicación de historias médicas y el robo de identidad son una realidad problemática en las entidades de salud. Para prevenir el fraude en situaciones tan delicadas que puedan comprometer la salud de los ciudadanos, el hospital Hugh Chatham en Carolina del Norte, EEUU, implementó un sistema biométrico multimodal con reconocimiento de huella digital, iris, rostro y patrón de venas de la palma para reconocimiento de pacientes. Con este se hace imposible la confusión entre historias médicas, eliminando así el riesgo de ofrecer al paciente el tratamiento equivocado.

Curiosidades:

• En los Juegos Olímpicos Atlanta 1996 se implementó por primera vez un sistema de geometría de la mano para controlar y proteger el acceso físico a la Villa Olímpica.
• La tecnología de reconocimiento facial atrapó por primera vez la atención del público a causa de la reacción de los medios de comunicación a una aplicación de prueba en el Super Bowl del año 2001, donde se capturaron imágenes del público y se compararon contra una base de datos de retratos policiales digitales (mugshots).
• El sistema de reconocimiento de iris se utilizó para identificar a la “niña afgana” (Sharbat Gula) 18 años después de que el fotógrafo Steve McCurry publicara en el año 1985 una imagen suya con 12 años en la portada de la revista National Geographic.
• En 2004, Connecticut, Rhode Island y California establecieron a nivel estatal bases de datos de impresión de palma que permitían a las fuerzas de seguridad en cada estado presentar huellas palmares latentes no identificadas para contrastarlas contra sus bases de datos de delincuentes.
• En 2004, Estados Unidos fue pionero en utilizar la biometría en sus aeropuertos internacionales tras los ataques terroristas del 11 de septiembre de 2001. El Departamento de Defensa (DoD) implementó el Sistema Automatizado de Identificación Biométrica (ABIS) en 2004 con el objetivo de mejorar la capacidad del Gobierno de EEUU para rastrear e identificar las amenazas a la seguridad nacional. Luego, Inglaterra imitó esta práctica en la que se toman las huellas digitales de los viajeros en el área de inmigración.

Analítica

Detectado inicialmente en Brasil, el troyano, al que se ha bautizado como Trojan:JS/Febipos.A, intenta mantenerse actualizado, como las extensiones legítimas de los navegadores. Así lo explicaba Microsoft en un boletín de seguridad el pasado viernes.

Una vez que ha conseguido descargarse, el troyano monitoriza si  el ordenador infectado tiene una sesión abierta en Facebook para intentar descargarse un archivo de configuración que incluirá una lista de comandos para la extensión del navegador. Después el malware será capaz de ejecutar una serie de acciones en Facebook, incluido hacer un ‘Me gusta’, compartir contenido, escribir post, unirse a un grupo o chatear con los amigos conectados en ese momento.

Como suele ocurrir últimamente, el malware llega con variantes, algunas de las cuales incluyen comandos para publicar mensajes provocativos con enlaces a otras páginas web.

En su advertencia Microsoft no ha indicado cómo el malware se instala a sí mismo o cómo se producen las infecciones, pero la amenaza es grande porque es capaz de cambiar sus mensajes, los enlaces y las páginas de Facebook, además de otras actividades, en cualquier momento.

La compañía de Redmond recomienda mantener los productos de seguridad actualizados con las últimas definiciones de virus para evitar las infecciones.

IT espresso

• MS13-037: Actualización acumulativa para Microsoft Internet Explorer, considerada “crítica“, que además soluciona 11 nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer desde la versión6 a la 10.

• MS13-038: Boletín considerado “crítico” resuelve una vulnerabilidad en Microsoft Internet Explorer. Afecta a Internet Explorer 8 y 9.
• MS13-039: Este boletín está calificado como “importante” y soluciona una vulnerabilidad (con CVE-2013-1305) de denegación de servicio a través de http.sys. Afecta a Windows Server 2012, Windows 8 y Windows RT.
• MS13-040: Destinado a corregir dos vulnerabilidades “importantes” en .NET Framework que podrían permitir la suplantación de identidad si una aplicación .NET recibe un archivo XML especialmente diseñado. Afecta a Windows XP, Vista, Windows Server 2003, Windows Server 2008, Windows Server 2012, Windows 7, Windows 8 y Windows RT.
• MS13-041: Boletín de carácter “importante” (con CVE-2013-1302) destinado a corregir una vulnerabilidad en Microsoft Lync.
• MS13-042: Corrige 11 vulnerabilidades en Microsoft Publisher que podrían permitir la ejecución remota de código.
• MS13-043: Boletín “importante” que resuelve una vulnerabilidad de ejecución remota de código en Microsoft Office 2003 (concretamente a través de Microsoft Word).
• MS13-044: Corrige una vulnerabilidad de divulgación de información en Microsoft Visio.
• MS13-045: Corrige una vulnerabilidad de divulgación de información en Windows Essentials, si un usuario abre Windows Writer mediante una URL especialmente diseñada.
• MS13-046: Destinado a corregir tres vulnerabilidades en los controladores modo kernel podrían permitir la elevación de privilegios. Afecta a Windows XP, Vista, Windows Server 2003, Windows Server 2008, Windows Server 2012, Windows 7, Windows 8 y Windows RT.

Hispasec

Un estudio de Xerox y McAfee reveló que alrededor de 54% de los empleados no siempre sigue las políticas de seguridad informática de su empresa y 21% ni siquiera las conoce. El reporte destaca que 51% de esos empleados ha utilizado una impresora, copiadora o impresora multifuncional de la oficina con información confidencial de la organización.

“Hay un enorme riesgo, sobre todo por ser equipos menospreciados en términos de seguridad. Al interior de la organización se corre el riesgo de que la información quede dispersa y al alcance de áreas que no tendrían que tener acceso a ciertos datos. Externamente, es posible un hackeo o un mapeo de red que desencadene un robo de información”, detalló Héctor Méndez, consultor independiente de seguridad.

De acuerdo con el documento, poco más de la mitad de los empleados de una compañía considera que las computadoras suponen la mayor amenaza de seguridad, cifra muy elevada en comparación con 6% que considera que las impresoras multifuncionales representan un riesgo a la seguridad de la información de la empresa.

La telefonía IP también es menospreciada como una vía por la que el espionaje informático y el robo de secretos industriales puede convertirse en un problema. Recientemente, el estudiante de la Universidad de Columbia Ang Cui y su profesor, Salvatore Stolfo, descubrieron vulnerabilidades en teléfonos IP de Cisco que que facilitan comprometer su seguridad sin demasiado esfuerzo.

Israel López, gerente de producto de Xerox, dijo que es necesario controlar el acceso a las impresoras multifuncionales para garantizar la seguridad del flujo de los datos en cada etapa.

También se requiere adicionar capas de seguridad en la red de la organización y mantener actualizados los parches de software que liberan los fabricantes.

Cryptex/ Seguridad de la Información

No nos cansamos de decir que los ataques cibernéticos se especializan y complican cada vez más, y sus autores no dejan de demostrarlo.

La última prueba de esta tendencia hacia la sofisticación es Beta Bot, un programa malicioso comercializado en el mercado negro por 500 euros que ofrece a quien lo compre la posibilidad de desactivar software antivirus, además de otro tipo de acciones más habituales como robar datos o emprender campañas de denegación de servicio.

De hecho, según se jactan sus responsables y advierte G Data, Beta Bot está diseñado para atacar y vencer a 30 programas de seguridad diferentes y para reconocer hasta 10 idiomas, incluido el español.

¿Cómo? Básicamente, recurriendo a técnicas de ingeniería social con las que engañar a los usuarios y acabar ejecutando código maligno en sus ordenadores, aunque en un principio éstos estén debidamente protegidos.

Cuando se cuela en la computadora, lo primero que hace Beta Bot es mostrar una ventana en el lenguaje utilizado por el usuario en base a los datos del sistema, a través de la que alerta de un supuesto problema en el disco duro y una posible pérdida de datos.

Pero también ofrece una solución con las opciones de “Restaurar archivos” o “Restaurar archivos y realizar una comprobación de disco”, dos tipos de restauración que activarán el Control de Cuentas de Usuario.

Llegados a este punto, muestra una segunda ventana solicitando una elevación de privilegios de administrador en nombre de Windows para ganarse la confianza de las víctimas e instarles a que acepten la propuesta de reparación, lo que acabará por darle plenos derechos para que modifique la configuración inicial del PC.

Es de este modo que Beta Bot puede detener procesos, suspender claves de registro y deshabilitar las actualizaciones automáticas que el usuario haya marcado por defecto, entre lo que se incluye, por supuesto, atacar y vencer las soluciones antivirus activadas.

Como siempre en estos casos y para evitar sustos, los expertos recomiendan utilizar versiones de software actualizadas, no visitar sistios web de reputación dudosa y leer antes de clicar y dar el visto bueno a las acciones requeridas.

siliconWeek

Hispasec