En esta presentación se muestra una Ontología orientada a la seguridad informática, diseñada para ayudar en las labores de securización de los sistemas tras un proceso de audtoría de aplicaciones web y de caja negra
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
Ontología de Seguridad para Auditorías
1. ONTOLOGÍA DE SEGURIDAD APLICACIÓN A LOS PROCESOS DE AUDITORÍA DE CAJA NEGRA Y AUDITORÍA DE APLICACIONES WEB Juan Antonio Calles García
2. Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
3. Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
4. El Estado de la informática en la actualidad Estudio DigiWorld Analiza los beneficios producidos en el mercado económico de las Tecnologías de la Información y las Telecomunicaciones en Europa En el año 2009: Beneficios de mas de 900.000 Millones de euros en el mercado económico basado en las TIC. Subida frente a 2008 de casi un 6%
5. ¿Estos beneficios están seguros? NO. Los beneficios producidos por las empresas del sector de las TIC están constantemente en peligro, debido a los numerosos ataques de “hackers” que reciben.
7. ¿Cómo proteger los beneficios? Realizando auditorías de seguridad e implantando sistemas seguros. Para ello nacieron en la década de los 90 empresas especializadas en el sector de la seguridad. Estas empresas generaron solo en España 640.000.000€ en 2008
8. ¿Cómo pueden poner en peligro la seguridad de las organizaciones? Malware: utilizando software malicioso para conseguir en el peor de los casos el control de las máquinas. Exploits: aprovecharse de vulnerabilidades en el software de la organización (normalmente bases de datos y sistemas operativos no actualizados) para modificar o robar datos. Ataques web: inyectando código en las zonas mal protegidas de un sitio web. Curiosidad: investigando las zonas no protegidas de una organización de forma manual o con automatizaciones de software.
10. Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
11. Auditoría de Seguridad Auditorías de seguridad Auditoría de Aplicaciones Web Auditoría interna Caja Negra Caja Blanca Caja Gris
12. Auditoría de aplicaciones web Ataques web: Pruebas para comprobar la seguridad de las aplicaciones web de una empresa. Se revisan exploits y vulnerabilidades web: sqlinjection ldapinjection xpathinjection cssp (connectionstringparameterpollution) local fileinclusion remotefileinclusion ejecución de comandos con manipulación de tokens tipo && ; y `` pathdisclosure path transversal XSS (Cross-site scripting)
14. ¿Cuánto cuesta una auditoría de seguridad?¿Se puede suprimir para que nuestra empresa sea segura? Dependiendo del tamaño de la organización y de los tipos de auditoría seleccionadas. De media unos 120.000€ No. La auditoría es necesaria para verificar la seguridad de una organización.
15. Securización de las vulnerabilidades encontradas en la auditoría Tras realizar la auditoría de seguridad, es necesario securizar el sistema, protegiendo las vulnerabilidades encontradas, trabajo que NO va incluido dentro de la auditoría y que se abonaría aparte. Éste coste podría ser ahorrado por la organización si su propio personal se encargase de la securización del sistema. Securización de las vulnerabilidades encontradas en la auditoría
16. Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
17. ¿Si no contamos con personal especializado como securizamos el sistema? Mediante un software que ayude a los usuarios a solucionar las vulnerabilidades del sistema. En este proyecto se ha definido una Ontología de seguridad y se ha desarrollado una aplicación para ayudar a los usuarios a proteger un sistema tras una fase de auditoría. Ahorrando así dinero a la empresa.
19. ¿Cómo funciona la Ontología de seguridad? Al estilo “google”, indicándole a la aplicación las vulnerabilidades que se nos han indicado en el informe de la auditoría, nos detalla la solución que debemos aplicar. Conseguimos: Sistema Seguro
20. Contenido de la Ontología de Seguridad La Ontología ha sido diseñada para resolver las vulnerabilidades encontradas en la fase de Auditoría web y en la fase de Caja Negra dentro de la Auditoría Interna, omitiendo las fases de Caja Blanca y Caja Gris por su gran extensión. Contiene mas de 50 soluciones a vulnerabilidades.
22. Conocimiento de la Ontología 1 La Ontología es capaz de dar solución a las siguientes vulnerabilidades web sqlinjection (PHP+MySQL). sqlinjection (JAVA). sqlinjection (C#, SQL Server). ldapinjection. xpathinjection. cssp (connectionstringparameterpollution). local file inclusión. remotefileinclusion (PHP). pathdisclosure. pathtraversal.
23. Conocimiento de la Ontología 2 La Ontología es capaz de dar solución a las siguientes vulnerabilidades producidas por descuidos de Footprinting Fuzzing http Fuzzingdns Whois Transferencia de zona Mostrar banner por defecto del servidor Error 404 no controlado Metadatos en documentos web
24. Conocimiento de la Ontología 3 La Ontología es capaz de dar solución a las siguientes vulnerabilidades producidas por descuidos de Fingerprinting Puertos abiertos extraños. Puertos abiertos innecesarios Y a los siguientes Exploits: Buffer Overflow. Racecondition. FormatstringBugs. XSS sqlinjection (PHP+MySQL) sqlinjection (JAVA) sqlinjection (C#, SQL Server) CRLF (Inyección de caracteres).
35. 2 ¿Cómo responde a nuestras preguntas la Ontología? Pregunta: ¿Qué protección a Footprinting protege a la fuga de datos por metadatos alojados en los documentos web? Protección Footprinting + Protege frente a: + contains + Metadatos en documentos web Respuesta: Siempre hay que eliminar los metadatos de los documentos antes de subirlos a un servidor, o sino instalar una herramienta como Meta Shield Protector (www.metashieldprotector.com) que elimina los metadatos de los documentos en tiempo real antes de que sean descargados por un usuario. Pregunta: ¿Qué solución a error web soluciona el “remotefileinclusion”? Solución a error web + soluciona el + contains + remotefile inclusión (PHP) Respuesta: Comprobar que el fichero solicitado en la URL tiene la extensión .PHP y que se encuentra dentro del directorio donde se encuentra alojado el sitio web y sino rechazar la petición web
37. Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
44. Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
45. Conclusiones y Trabajos Futuros La Ontología de Seguridad ahorraría bastante dinero a las empresas, que podrían prescindir de los servicios de personal externo para implantar un sistema seguro tras una fase de auditoría Como trabajo futuro se propone aumentar la base de datos del conocimiento de la Ontología a las fases de Caja Gris y Caja Blanca de la fase de Auditoría Interna.
46. Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
47. Bibliografía Informe DigiWorld 2009, http://www.enter.ie.edu/enter/cms/es/informe/7049/1, Junio 2009. Enter, http://www.enter.ie.edu/, 2009. Idate, http://www.idate.fr/, 2009. Francisco Ros. El sector de la seguridad informática en España generó 640 millones de euros el año pasado,http://www.dicyt.com/noticias/el-sector-de-la-seguridad-informatica-en-espana-genero-640-millones-de-euros-el-ano-pasado, Octubre 2008. ISO/IEC 27001:2005, http://www.iso27001security.com/, 2009 OSSTMM, http://www.isecom.org/osstmm/, Noviembre 2009. OWASP, http://www.owasp.org/, Diciembre 2009. Sqlinyection: http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL, Diciembre 2009. Blind sqlinyection: http://es.wikipedia.org/wiki/Blind_SQL_injection, Diciembre 2009. XSS, Cross-Site Scripting: http://es.wikipedia.org/wiki/Cross-site_scripting, Noviembre 2009. Buffer Overflow: http://es.wikipedia.org/wiki/Desbordamiento_de_b%C3%BAfer, Octubre 2009. Chema Alonso, Rodolfo Bordón, Marta Beltrán y Antonio Guzmán. LDAP InjectionTechniques, ICCS 2008, Guangzho (China), Noviembre 2008 Antonio Guzmán, Marta Beltrán, Chema Alonso y Rodolfo Bordón. LDAP Injection and Blind LDAP Injection, Collecter 2008, Madrid (España), Junio 2008 Chema Alonso, Rodolfo Bordón, Daniel Katchakil, Antonio Guzmán y Marta Beltrán. Blind SQL Injection Time-basedUsing Heavy Queries: A practicalApproachfor MS SQL Server, MS Access, Oracle and MySQLDatabases, IASK 2007, Oporto (Portugal), Diciembre 2007 SethFogie, Jeremiah Grossman, Robert Hansen, AntonRager, Petko D. Petkov. XSS Attacks: Cross Site Scripting Exploits and Defense (Paperback) Juan Garrido Caballero, Análisis forense digital en entornos Windows. 2008 Protege: http://protege.stanford.edu/, 2009.