Mes: noviembre 2012

Una herramienta liberada dentro del Black Hat 2012 puede probar si firewalls de aplicaciones son vulnerables a técnicas de evasión de protocolos de capas.

Una herramienta hecha para realizar pruebas de vulnerabilidad sobre firewalls de aplicaciones web (Web Application Firewalls, o WAFs), con cerca de 150 técnicas de evasión a nivel protocolo, fue liberada en la conferencia Black Hat USA 2012.

La herramienta y la investigación necesaria para su creación son el fruto de Ivan Ristic, director de ingeniería del proveedor de seguridad Qualys y autor original del popular firewall para web, ModSecurity.

Los firewalls para aplicaciones web son diseñados para proteger a las aplicaciones web de ataques conocidos, tal es el caso de ataques de inyección SQL, que son comúnmente utilizados para comprometer sitios web. Los WAFs logran esto mediante la intercepción de peticiones enviadas por los clientes, aplicando estrictas reglas sobre el formato y contenido de las mismas.

Sin embargo, existen varios métodos para que las peticiones maliciosas violen las reglas establecidas por los WAFs, al modificar ciertas partes de sus cabeceras o las rutas de los URLs solicitados. Estas se conocen como técnicas de evasión a nivel de protocolo, y los WAFs no están apropiadamente equipados para lidiar con ellas actualmente porque estas técnicas no están bien documentadas, comentó Ristic.

El investigador probó las técnicas de evasión encontradas primordialmente contra ModSecurity, un WAF de código abierto, pero es razonable asumir que otros WAFs son vulnerables a algunas de ellas igualmente.

De hecho, Ristic dijo que compartió algunas de las técnicas con otros durante la etapa de investigación, y que habían sido exitosas contra algunos productos WAF comerciales. 

Erwin Huber Dohner, jefe de investigación y desarrollo del fabricante suizo de WAF Ergon Informatik, confirmó después de ver la presentación de Ristic que los métodos de evasión son un problema para la industria. Ergon recientemente identificó algunas técnicas similares que funcionaron contra sus productos, las cuales ya han sido corregidas, comentó.

Al hacer pública su investigación, Ristic espera iniciar una discusión en la industria sobre evasión a nivel protocolo y de otros tipos. Un wiki también se ha configurado, con el propósito de construir un catálogo libremente disponible de técnicas de evasión contra WAFs.

Si los fabricantes e investigadores de seguridad no documentan sus problemas y los hacen públicos, los desarrolladores de WAFs continuarán cometiendo los mismos errores, dijo Ristic.

Además, la disponibilidad de la herramienta permite a los usuarios descubrir qué productos WAF son vulnerables, y posiblemente obligar a los fabricantes a corregirlos.

Cada fabricante tiene diferentes prioridades y normalmente no corrigen problemas hasta que existe un riesgo real para sus clientes, comentó Ristic. Dijo que espera que este proyecto de investigación genere el incentivo necesario para que comiencen a lidiar con estos problemas.

Dohner aprobó la iniciativa y cree que tanto los fabricantes como los usuarios de WAF se beneficiarán de ella.

Fuente: Techworld SB

El proveedor de software Coverity ha liberado su reporte de riesgos de seguridad de software, el cual afirma que menos de dos quintas partes de compañías de desarrollo web se encargan de realizar pruebas durante el ciclo de desarrollo y que más de la mitad rechaza verificar sus códigos de fallos y vulnerabilidades de seguridad antes de las pruebas de integración.

De acuerdo al estudio, el resultado se traduce en más incidentes de seguridad en aplicaciones web y con más frecuencia, dando lugar a mayores costos generales.

La empresa especializada en el aseguramiento de calidad de software en EUA comisionó a la consultora Forrester llevar a cabo el estudio sobre la seguridad de las aplicaciones y pruebas. En julio, Forrester encuestó a 240 personas con grado de influencia que trabajan en empresas de desarrollo web de Europa y Norte América.

Mas del 70% de encuestados quienes habían experimentado previamente un incidente de seguridad se quejaron de una falta de tecnologías y procesos de seguridad para sus desarrolladores.

También hubo problemas con la escalabilidad y el presupuesto con una gran mayoría del 79% diciendo que no podían seguir el ritmo con volúmenes de código en aumento y más de dos terceras partes dicen que el financiamiento de la seguridad es insuficiente. 41% considera  que debido a un corto tiempo del lanzamiento al mercado se ven obligados a restar prioridad a la seguridad.

Unicamente el 42% cumplía con directrices de codificación segura y menos de un tercio contaba con una biblioteca de funciones autorizadas y prohibidas. Solo alrededor de una cuarta parte utilizó el modelado de amenazas durante el desarrollo.

Más de la mitad de los encuestados habían sufrido al menos una brecha de seguridad en los últimos 18 meses. El 18% había sufrido pérdidas de $500 mil dólares y un 8% sufrió pérdidas  de más de $1 millón de dólares.

La pobre integración con sus entornos de desarrollo, demasiada experiencia de seguridad requerida y un gran número de falsos positivos fueron citados como los tres más grandes desafíos al tratar con herramientas de seguridad para aplicaciones web. Aunque algunos de los expertos en seguridad encuestados estuvieron de acuerdo en que la integración de herramientas es un desafío, no creen que las herramientas de seguridad sean demasiado complejas o requieran  de mucha experiencia.

Fuente: The H Security OM

No se puede evitar un abrumador ataque DDoS, pero se puede minimizar su impacto. He aquí cómo.

Los ataques de denegación de servicio (DoS) -particularmente el ataque distribuido de denegación de servicio (DDoS)-  han afectado a muchas empresas recientemente, desde Sony hata el Bank of America. 

Durante años, la mayoría de las compañías amortizaron los ataques DoS, como un riesgo aceptable, ya que la probabilidad de convertirse en víctima era relativamente bajo y el riesgo de daño a la empresa también lo era. Recientemente, sin embargo, esta clase de ataque ha aumentado en popularidad, haciendo que muchas organizaciones reconsideren el riesgo relativo. Directores ejecutivos están preocupados por la pérdida de ingresos y la mala prensa, las TI se preocupan por las aplicaciones bloqueadas y largas horas de trabajo.

Aunque no se puedan prevenir todos los ataques DDoS, hay opciones para limitar su eficacia y permitir que su organización se recuperé más rápido. En la mayoría de los recientes ataques contra aplicaciones Web, los atacantes simplemente envian más solicitudes que la aplicación Web puede manejar, lo que dificulta a los visitantes el utilizarla.

En este tipo de ataques, la mayoría de los atacantes no están preocupados por si el sistema y la aplicación se bloquea en realidad, aunque estarían felices si se produce un bloqueo. Su principal objetivo es evitar que los servicios ofrecidos por la compañía apuntada, responda a las peticiones de los usuarios legítimos, causando problemas para la empresa víctima.

Si usted tiene un control adecuado de la tecnología, estos ataques son fáciles de detectar. Su Network Operations Center (NOC) estará en status quo para el ancho de banda, las solicitudes por segundo y el uso de recursos del sistema con tendencia normal. Entonces, ya sea repentina o después de una pequeña cantidad de tiempo, todas estas tendencias se disparan hacia arriba, se alcanzará los umbrales, y las alertas se enviarán por el sistema de monitoreo.

En una organización típica, estos eventos darán lugar a una escalada en el NOC, y el equipo de TI se apresurará a conseguir a la gente indicada. Gestión recibirá un aviso de que los sitios y las aplicaciones están respondiendo inusualmente, y todos se preguntarán que por qué hay un gran aumento en las solicitudes en un período de tiempo tan corto.

A menos que su sitio haya sido mencionado en la portada de Slashdot, lo más probable es que usted esté experimentando el comienzo de un ataque DDoS. ¡Felicitaciones! Usted es ahora parte del club de las organizaciones que han sido objeto de un ataque DDoS -generalmente porque los atacantes no son seguidores de sus políticas corporativas, o porque se les paga para que ataquen.

El primer paso es analizar los registros de solicitudes.

Leer el resto de este artículo aquí.

Los problemas de seguridad dan a muchas empresas la pausa para que consideren migrar parte de sus operaciones de TI a servicios basados ​​en la nube. Pero se puede mantener la seguridad en la nube. En este informe del Centro de Lectura Dark Tech, que explicará los riesgos y le guiará en el establecimiento de políticas adecuadas de seguridad en la nube, los procesos y controles.

Leer el reporte de Dark Reading (Requiere de un registro gratuito para consultar).

Fuente: Information Week  JRS/GC

La mayoría de las empresas, a pesar de tener numerosas aplicaciones de misión crítica accesible a través de sus sitios web, fallan al asignar suficientes recursos financieros y técnicos para asegurar y proteger las aplicaciones Web, dejando los datos corporativos vulnerables al robo. Este es uno de los resultados de un estudio de Imperva, WhiteHat Security y el Instituto Ponemon.

Segun el estudio, la mayoría de los encuestados cree que las aplicaciones Web inseguras representan la mayor amenaza a los datos corporativos. Sin embargo, el 70 por ciento señaló que sus organizaciones no consideran la aplicación de seguridad como una iniciativa estratégica, ni tampoco creen que sus organizaciones tienen suficientes recursos específicamente en el presupuesto en la seguridad de aplicaciones Web para enfrentar el riesgo.

El estudio encontró que sólo el 18 por ciento de los presupuestos de TI en seguridad fueron asignados para hacer frente a la amenaza planteada para aplicaciones Web inseguras, mientras que el 43 por ciento de los presupuestos de TI en seguridad fueron asignados a las redes y seguridad de host, las áreas encuestadas parecían ser de menos preocupación.

De las 10 violaciones de datos en 2009, según la Organización de Derechos de Privacidad, el 93 por ciento de los registros comprometidos fueron robados como resultado de ataques maliciosos o criminales contra las aplicaciones Web y bases de datos – la mayoría de las empresas aún siguen estando muy expuestas.

El estudio de Ponemon reveló que el 61 por ciento de las organizaciones mencionaron tener hasta 100 aplicaciones Web expuestas al publico que realizan transacciones o accesan a millones de registros de clientes. Y además, la mayoría de las organizaciones no ha hecho una aplicación de seguridad de alta prioridad. La encuesta encontró que la gran mayoría de los desarrolladores están demasiado ocupados para responder a las cuestiones de seguridad Web.

“La mayoría de las más grandes y recientes violaciones de datos hasta la fecha han sido el resultado de los ataques contra las aplicaciones Web”, explicó Jeremiah Grossman, fundador de CTO y WhiteHat. “Para hacer frente a las amenazas cibernéticas actuales, las empresas deben cambiar su estrategia de seguridad – y presupuestos – de ser predominantemente basada en las infraestructuras y dar prioridad a los datos y aplicaciones directamente.

Recomendaciones

*No se puede asegurar lo que no sabe que posee – un inventario de sus aplicaciones Web para obtener mayor visibilidad de los datos que están en riesgo y donde los atacantes pueden explotar el dinero o los datos de la transacción.

*Asignar un defensor – Designe a alguien que puede impulsar y dirigir la seguridad de datos y esté altamente capacitado para dirigir numerosos equipos de soporte. Sin rendición de cuentas, la seguridad y el cumplimiento, sufrirán.

*No espere a que los desarrolladores tomen cargo de la seguridad – Implementar tecnologías de protección para mitigar el riesgo de vulnerabilidad en las aplicaciones Web.

*Cambie el presupuesto de la infraestructura para la seguridad de aplicaciones Web – Con la asignación de recursos, el riesgo empresarial puede ser dramáticamente reducido.

El estudio de Ponemon encuestó a 627 profesionales de TI y a más de 400 empresas multinacionales y organizaciones gubernamentales.

Fuente: Help Net Security  CLA/RS

La media anual de incidentes de ataques a las 50 aplicaciones web monitoreadas fue de 274 veces por año, uno de los objetivos fue atacado más de 2,700 veces.

De acuerdo a un nuevo reporte de Imperva, el incidente de ataque promedio en las aplicaciones web observadas, duró 7 minutos y 42 segundos, pero el incidente de ataque más duradero fue de una hora y 19 minutos. Inyección SQL siguie siendo el vector de ataque más popular.
“Estos hallazgos indican una diferencia significativa entre un incidente promedio de ataque a aplicaciones web y el de mayor alcance”, dijo Amichai Shulman, Director de Tecnologías de Información en Imperva. “Creemos que las organizaciones que están preparadas solamente para un incidente promedio de ataque pueden ser seriamente afectadas por incidentes de ataque más grandes”.

El Reporte de Ataques a Aplicaciones Web (WAAR por sus siglas en inglés), creado como parte de la ya puesta en marcha Iniciativa de Inteligencia Hacker de Imperva, ofrece una visión de tráfico malicioso de ataques reales a 50 aplicaciones web en un periodo de seis meses, de diciembre de 2011 a mayo de 2012.

Imperva monitoreó y categorizó numerosos ataques individuales a través de Internet, así como ataques dirigidos a diferentes aplicaciones de empresas y de gobierno. El WAAR destaca la frecuencia, tipo y lugar de origen de cada ataque para ayudar a profesionales de la seguridad a priorizar la reparación de las vulnerabiliades.
Datos destacados del reporte incluyen:
SQL sigue siendo el vector de ataque más común: Imperva revisa y condensa las características acumulativas de vectores de ataque a aplicaciones web, incluyendo inyecci?o SQL, cross-site scripting (XSS), RFI y LFI, y observa que la inyección SQL es el ataque más comunmente usado para las 50 aplicaciones web observadas.
Se incrementa la intensidad de los ataques: Las aplicaciones comunmente verán sólo alguna acción de ataque serio aproximadamente cada tercer día y durante pocos minutos, pero los ataques pueden afectar a la aplicación si las defensas están preparadas solo para una intensidad de ataque promedio.
Francia lidera inyección SQL: Como se reportó en el WAAR anterior, la mayoría de las peticiones y ataques se originaron en EUA, países de Europa occidental, China y Brasil. Sin embargo, Francia se ha convertido en el principal origen de ataques de inyección SQL, siendo el volumen de ataque de peticiones originadas en Francia casi 4 veces más grande que el de EUA.
“El campo de batalla en la red parece mucho más una misión de protección de la frontera que una guerra mundial; la mayor parte del tiempo pasan pocas cosas, pero una que otra vez se presenta un estallido de ataques”, dijo Shulman. “Independientemente de la frecuencia de ataques y periodos de paz, creemos que las organizaciones necesitan estar preparadas para estas ráfagas de actividad durante incidentes de ataque”.

El reporte completo se encuentra disponible (en inglés) aquí.

Fuente: NetSecurity JS

Las aplicaciones comunes incluyen correo electrónico, ventas en línea, subastas en línea, redes sociales, wikis, así como muchas otras funciones.

Durante una charla con Mandeep Khera, director ejecutivo de marketing de Cenzic Inc., comentó que según Cenzic Inc. y el Instituto Ponemon, 73% de las empresas tienen aplicaciones web inseguras, las cuales han sido vulneradas por lo menos una vez en los últimos 24 meses, sin embargo, las empresas gastan más en café al año que lo que gastan en la seguridad de sus aplicaciones web. Estas empresas se fían de sus firewalls de red para proteger su sitio web, pero esto es como usar un escudo de cartón en una lucha a espada.

Mandeep preguntó, “Si usted supiera que los ladrones se escabullen repetidamente a través de una puerta rota, ¿no le gustaría reparar esa puerta?”. Sin embargo, la mayoría de estas empresas prueba menos del 10% de sus aplicaciones contra huecos de seguridad, incluso después de ataques conocidos.

Según Mandeep, “El hacking ofrece buen dinero. El ingreso promedio mensual para un hacker es de $10,000.00 dolares. Y las empresas llevan décadas tratando de poder detener los ataques de estos piratas informáticos y los problemas que crean”. Las empresas tienen que empezar a invertir aún más en lo que respecta a la seguridad en línea.

Esto es lo que nosotros como consumidores podemos hacer para protegernos a nosotros mismos en línea:

• Cuidar debidamente la observación de los sitios y asegurarse de que no sean falsos.
• No hacer clic en los anuncios o ventanas emergentes.
• Permitir ventanas emergentes sólo para sitios de confianza.
• Actualizar su navegador a la última versión.
• Buscar a través de Google para ver si un sitio es generalmente seguro.
• Utilizar un número virtual de tarjeta de crédito que pueda caducar de inmediato.
• Ejecutar software anti-spyware frecuentemente.
• Utilizar un software de limpieza para eliminar las cookies.
• Utilizar un buen anti-virus en su equipo.

Fuente: Computer Crime Research Center  JS/GC