Consejos seguridad para evitar vulnerabilidades habituales – Desarrollo/servicios WEB

16 octubre, 2018

Hoy os dejo una serie de consejos a tener en cuenta en el desarrollo y en servicios web en general para evitar las vulnerabilidades mas habituales. Es un poco mas técnico que las publicaciones anteriores. Espero que sea de utilidad.

Asegurar que en la generación de cookies se activan las opciones HttpOnly y secure.

CVE-2012-0053

www.owasp.org/index.php/HttpOnly

https://www.owasp.org/index.php/SecureFlag

Devolver con el contenido de la página las opciones X-Frame en la cabecera HTTP. Esto previene que el contenido de la página sea mostrado por otro sitio utilizando las etiquetas HTML frame o iframe.

La mayoría de los navegadores modernos soportan las opciones X-Frame en la cabecera. Se debe asegurar que estén establecidas en todas las páginas que devuelva el sitio (si se espera que la página se enmarque desde páginas del mismo servidor se puede utilizar la opción SAMEORIGIN, o si nunca debe ser enmarcada desde ninguna página debería utilizarse DENY. La opción ALLOW-FROM permite especificar que sitios pueden poner la página en un frame)

CWE:693

https://es.wikipedia.org/wiki/Clickjacking

http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx

https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet

https://blog.veracode.com/2014/03/guidelines-for-setting-security-headers/

Asegurarse de que el filtro XSS del navegador está activado, configurando la opción X-XSS-Protection a 1. Esta opción esta soportada actualmente en los navegadores Internet Explorer, Chrome y Safari.

https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

https://blog.veracode.com/2014/03/guidelines-for-setting-security-headers/

Utilizar explícitamente TLS y quitar el soporte de SSL v2 o v3

https://wiki.mozilla.org/Security/Server_Side_TLS

http://en.wikipedia.org/wiki/Transport_Layer_Security#SSL_3.0

http://en.wikipedia.org/wiki/HTTP_Secure

http://support.microsoft.com/kb/187498

Especificar un conjunto de caracteres bien definido, como UTF-8, en la cabecera o el cuerpo de la respuesta.

https://www.owasp.org/index.php/OWASP_Top_Ten_Cheat_Sheet

Como evitar ataques de fuerza bruta en linux

15 octubre, 2018

Hoy empiezo una serie de publicaciones referentes a las lineas de defensea en los sistemas. Medidas que podemos y debemos adoptar para hacer nuestros equipos mas seguros. Apareceran todas bajo la etiqueta “lineas de defensa”.

En esta primera publicación vamos a ver como los ataques de fuerza bruta producidos en los sistemas con servidores SSH.

¿Qué es un ataque de fuerza bruta?

Los ataques de fuerza bruta funcionan probando cada combinación posible que el usuario podría usar como contraseña y luego la prueba para ver si es la contraseña correcta. Para ver si la contraseña es correcta o no, verifica si hay errores en la respuesta del servidor.

A medida que aumenta la longitud de la contraseña, la cantidad de tiempo utilizada para encontrar la contraseña correcta también aumenta rápidamente. Eso significa que las contraseñas cortas son bastante fáciles de descifrar.

¿Cómo protegerse de este ataque?

Los métodos más recomendados que debe usar para protegerse de este ataque son:

Ejecute SSH en un puerto no estándar. (Aparte de 22). Editar sshd_config cambiar Port 22 por Port 9122, por ejemplo. NO OLVIDAR REINICIAR SERVICIO.
Bloquear el inicio de sesión SSH para el usuario root. Modificar la variable de PermitRootLogin yes a PermitRootLogin no en el archivo de configuración de SSH. Este está ubicado normalmente en sshd_config
- Reiniciar el servicio para aplicar los cambios.
  Para CentOS:
  # /etc/init.d/sshd restart
  Para Debian:
  # /etc/init.d/ssh restart

Utilice Fail2Ban. En este enlace indican como configurarlo. Esta aplicacion controla los ficheros de logs mirando los reintentos de acceso y bloqueando las ip’s si es necesario.
Limitar los intentos de inicio de sesión del usuario.

Entonces, ¿qué aprendimos de todo esto? Nunca use una contraseña débil, en serio nunca use contraseñas débiles. Lea Autenticación de dos factores, protegiendo sus cuentas de los hackers

Y, por otro lado, hemos aprendido cómo puede usar diferentes herramientas para probar y explotar este problema.

No cedais los certificados digitales personales a otras personas

27 septiembre, 2018

El certificado digital nos ofrece la posibilidad de indentificarnos, de forma inequívoca, electrónicamente y con plena validez jurídica; así como poder realizar firma electrónica.

Según esto con la posible cesión de nuestro certificado a otra persona lo que le estamos dando es permiso para que pueda hacer algo en nuestro nombre y con plena validez legal, con todo lo que ello significa. Y no hablamos de temas de confianza con la persona a quien lo cedes, si no que la persona a la que lo cedas lo deje en lugar seguro, hoy por hoy ninguno, y que un “malo” lo robe si a la persona a la que lo has cedido tuviese una vulnerabilidad en el correo, o el ordenador desde donde lo ha utilizado.

Por lo que el perder el control de nuestro certificado nos puede acarrear problemas bastantes graves.

Sabemos desde Seguridad que se han cedido los certificados digitales a otros para realizar entrega de alguna documentación a alguna administración, les aconsejamos que si lo han hecho que revoquen el certificado y pidan uno nuevo si quieren tomar el control de nuevo de su “vida electrónica” y legal.

Algunas tareas que actualmente podemos hacer con un certificado:

– Firma digital de cualquier documento, y teniendo validez legal.

– Puedo usarlo para autenticarme y firmar en todos los lugares que se indican en esta URL http://www.cert.fnmt.es/certificados/donde-usar-certificado

Como utilizar las redes sociales de forma segura

24 septiembre, 2018

El CCN nos da una serie de recomendaciones de como actuar de forma segura en redes sociales. Os dejo el enlace para que veáis el resto de la información y un decálogo para una visión rápida.

Protección contra código dañino

24 septiembre, 2018

COMUNICADOS CCN

Protección ante código dañino en el ENS

Publicado el:
viernes, 21 septiembre 2018

Nueva guía CCN-STIC 834, disponible en la parte pública del portal del CCN-CERT.
El documento tiene como objeto ayudar a los Responsables de Seguridad de las entidades del ámbito de aplicación del ENS a adoptar una estrategia coherente de herramientas de protección de los puestos de usuario (EPP y EDR), atendiendo a la categoría de seguridad del sistema de información concernido.
El informe forma parte del conjunto de normas desarrolladas por el Centro Criptológico Nacional para la implementación del Esquema Nacional de Seguridad (CCN-STIC-800) siendo de aplicación para el sector público y teniendo como objeto la protección de los servicios prestados a los ciudadanos y entre las diferentes administraciones.

Para mas información y guía aquí.

Consejos seguridad para evitar vulnerabilidades habituales – Desarrollo/servicios WEB

Como evitar ataques de fuerza bruta en linux

¿Qué es un ataque de fuerza bruta?

¿Cómo protegerse de este ataque?

No cedais los certificados digitales personales a otras personas

Como utilizar las redes sociales de forma segura

Protección contra código dañino

Protección ante código dañino en el ENS

#34. ¡Alerta con los juegos online y las aplicaciones gratuitas!

#33. ¿Cómo puedo saber si mis datos se han filtrado en internet?

#31. Protege tu información. ¡Haz copias de seguridad!

#30. ¡Comprueba que el remitente de un correo electrónico es quien dice ser!