Trabajo Colaborativo 2




UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA



PROYECTO DE GRADO

TRABAJO COLABORATIVO  2



PRESENTADO POR

ELLIEN YULIETH RODRIGUEZ
JIMMY ROGELIO SOTO
ORLANDO RONDON RONDON  
DIOJAN RENE SANTIAGO MORENO
MIGUEL ENRIQUE OSPINA ESCOBAR

GRUPO: 201014_10

TUTOR
JAVIER MEDINA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
PROGRAMA DE INGENIERIA DE SISTEMAS
CEAD JOSE ACEVEDO Y GOMEZ
BOGOTA OCTUBRE DE 2015

 A.  i. El planteamiento de Seguridad WEB
Hoy en día toda empresa y más aun las personas necesita conectividad externa y depende de sus redes informáticas con el mundo ya sea por su tipo de negocio, exigencia de sus clientes, comodidad o conectividad, la red de redes comprende una gran fuente de información pero aún mayor cantidad de peligros. 
La protección de la información afecta en todo ámbito y en todo nivel en su integridad, confidencialidad y autenticidad ya que es incalculable mente única y exclusiva, con este fin nace un protocolo de encriptación que es una manera de proteger los datos, con una contraseña secreta, protegiendo unos de sus bienes más preciados, su información, que quiere decir esto cifrar con una contraseña los datos o información, para ser transmitidos en internet.
Un método de encriptación llamado OpenSSl suministra  funciones altas de encriptación a navegadores web como google, yahoo, Facebook por no extender más las paginas organizaciones o empresas que lo utilizan y que utilizan comunicaciones cifradas  a través de la red usando el protocolo Openssh todo esto creado de una forma abierta y libre, este proyecto implementa los protocolos de seguridad y crea certificados digitales para un servidor de tipo apache.
Pero, un error fue encontrado, el día lunes 7 de abril del 2014, ingenieros de google y de la empresa Codenomicon, mostraban como era posible vulnerar la información de servidores apache y servidores web y además que los usuarios normales no tenían forma de protegerse, ya que el error es generado desde la página web y está cifrado para nosotros pero no para el atacante.
Más tarde los mismos responsables de Openssl lo ratificaron alarmándose 2/3 de todas las páginas de internet, este error fue llamado Heartbleed, esta vulnerabilidad es un software en la biblioteca criptográfica OpenSSL, que realmente causa que atacantes  pueden capturar la información de sitios web, servidores web, servidores de correo (SMTP e IMAP), webmail, plataformas e-commerce, IM y VPN’s, además de llaves encriptadas, credenciales de inicio de sesión, bancos y redes sociales.
Esto nos muestra lo vulnerables al robo de datos personales y empresariales, con sus respectivas contraseñas, comunicaciones confidenciales y números de tarjetas de crédito.
La realidad es que OpenSSL es generosamente utilizado, esencialmente no hay servidores que cifren sus datos localmente y siempre se confiaba en esta biblioteca, por eso su  relevancia e importancia en todo ámbito y a todo nivel de seguridad.
La propia complejidad de la falla y la dificultad en su detección y corrección agrega múltiples y variados  problemas  de  seguridad  que  van  mostrándose. Por obvias razones las acciones para descubrir este tipo de falla a aumentando de manera exponencial y las  acciones  poco  respetuosas  de  la  privacidad  y  de  la  propiedad  de  recursos  y sistemas aún más por parte de hackers y crackers. 
Es por ello, que es muy importante abordar este tema de seguridad sobre protocolos ya que un fallo en el ecosistema certificado HTTPS y por ultimo exposición de ataques reales que intentaron explotar el bug, puede ser muy costoso a nivel de productividad, eficiencia, perdida de datos e información valiosa para la empresa o de secretos para las personas en común, para proteger todo este tipo de información es recomendable el uso de modelos y/o prototipos dinámicos que ayuden a la detección de vulnerabilidades y riesgos que puedan existir en la red de redes y por tanto poder minimizar los mismos.

 ii. El propósito de la investigación
El propósito de la investigación es el análisis de aspectos de seguridad relacionados con las vulnerabilidades de sitios web, que día tras día, ponen en riesgo la confidencialidad de la información que circula por la red,  con el objetivo de entrega resultados que les sirvan a las comunidades, compañías y empresas dedicadas a la publicación de sitios web.

En primera instancia, se pretende obtener como resultado, el  top 5 de las vulnerabilidades que más afectaron en los años 2013 al 2015, los sitios web transaccionales y que facilitaron  que la información que viajaba entre un cliente web y un sitio web,  no se hubiera transportado de forma segura, teniendo como resultado la obtención de información sensible, por parte de un atacante malicioso, más conocido como cracker o delincuente informático.

En segunda instancia,  queremos  obtener como resultado, cual es el top 3 de los mecanismos de  cifrado o encriptado de datos más utilizados entre un cliente web y un servicio web, para los sitios web que se encentran publicados en la internet.



En tercera instancia, se pretende obtener como resultado, el top 5 de las empresas de seguridad informática que han realizado más hallazgos de vulnerabilidades que facilitan a un atacante malicioso la obtención de información, durante la comunicación entre un cliente web y un servicio web.
iii. Las Preguntas de Investigación 
  • ¿Cuáles son las 5 vulnerabilidades que más afectaron integridad y confidencialidad de la información, durante las comunicaciones que se generaron entre un cliente y el servicio web, durante los años 2013 al 2015?
  • ¿Cuáles son los 3 mecanismos de cifrado de datos más utilizados por los sitios web, para proteger la información durante la comunicación entre un cliente y un servicio web?
  • ¿Cuáles son las 5 empresas de seguridad de la información, que publicaron vulnerabilidades en sitios web en los años 2013 al 2015?

iv. Terminología a Utilizar
MITM: son las siglas de man in the middle, o en español, ataque de hombre en medio, el cual se presenta cuando un atacante informático, se pone en medio de una comunicación entre dos ordenadores para obtener la información que se encuentran intercambiado.

SSL: Mecanismo de cifrado desarrollado por openssl, el cual permite cifrar las comunicación web entre un cliente  y un servidor.

VPN: Mecanismo de cifrado que permite establecer comunicaciones entre un cliente y un servidor, entre redes públicas o entre redes públicas y privadas.

Cracker: Persona con altos conocimientos en vulnerabilidades informáticas, aprovecha sus conocimientos para introducirse en sistema de información con el objetivo de obtener información privilegiada y afectar su funcionamiento.

Autoridad certificadora: Es un documento digital único que garantiza la vinculación entre una persona o entidad con su llave pública.

Cifrado: El cifrado es el proceso que transforma tu información de manera que no cualquier usuario pueda entenderla.

Sito web transaccional: Es una página web que permite intercambiar información entre un cliente y un servidor, un ejemplo puede ser el correo electrónico.

B. Mapa Conceptual - Tecnología Moderna -
C. Planeación de la solución.
Decálogo de Bernal




CONCEPTO
DESCRIPCIÓN
Cronología (¿Cuándo?)
Incidentes de Seguridad Protocolo HTTPS
El pasado 20 de septiembre del 2011, DigiNotar, la autoridad holandesa de emisión de certificados, se ha declarado en bancarrota tras un grave fallo de seguridad. En un solo ataque se robaron más de 500 certificados, que eran utilizados para autenticar sitios con conexiones seguras a través de SSL.

El día lunes 7 de abril del 2014, se descubrió un fallo llamado Heartbleed, que por causa de un error o vulnerabilidad de software en la biblioteca criptográfica OpenSSL, causa que atacantes  pueden capturar la información de como primera medida de sitios web, servidores web, servidores de correo (SMTP e IMAP), webmail, plataformas e-commerce, IM y VPN’s, además de llaves encriptadas, credenciales de inicio de sesión, bancos y redes sociales.

HTTPS, el protocolo seguro de transferencia de hipertexto en Internet, ha vuelto a ser hackeado, El ataque que se sirve de esta recién descubierta vulnerabilidad ha sido reproducido durante la conferencia de seguridad informática Black Hat y recibe el nombre de BREACH que, además de significar “brecha” o “violación” se corresponde con Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext, algo así como reconocimiento y exfiltración de navegador a través de la compresión adaptativa del hipertexto. Permitiendo a atacantes potenciales robar desde IDs de usuarios y direcciones de correo electrónico hasta los mismísimos tokens de autenticación.

Con base en los anteriores incidentes es necesario optar medidas drásticas en la seguridad y en los certificados con que cuentan los servidores para así evitar posibles fallas o ataques de personas ajenas (Piratas), y que la información siempre este asegurada.



Axiomas (¿Quién?)
Todas las empresas que cuentan con Servidores web, Servidores de correo (SMTP e IMAP), Webmail, plataformas e-commerce, IM y VPN’s. Es necesario que todos los sistemas que utilicen este protocolo sean actualizados de forma inmediata, también que se revisen las políticas de seguridad que se tienen, para detectar posibles falencias, para así corregirlas y prevenir que sucedan estos incidentes.










Método (¿Cómo?)
Para poder mejorar y revisar el nivel de seguridad que se tiene, es necesario:
-Diagnosticar todos los sistemas que usan HTTPS, para actualizar las versiones instaladas y prevenir este tipo de ataque.
-Para proteger la transferencia de archivos sobre HTTPS y servicios de FTP, como podrían ser las actualizaciones de nuevas páginas por parte de un propietario de una página web o la transmisión de archivos pesados.
-Para proteger el tráfico en una intranet como es el caso de las redes internas, la función compartir archivos, las extranet o las conexiones a bases de datos.
-Para proteger los accesos a redes y cualquier otro tráfico de red con VPNs de SSL como podrían ser los servidores de acceso VPN o las aplicaciones como Citrix Access Gateway.
-Generar claves  privadas de 2048 bits
- Revisar como están contenidas estas páginas en su contenido mixto, ya son aquellas que son transmitidas sobre TLS pero incluyen recursos (JavaScript, imágenes, hojas de estilo) que son transmitidas de forma insegura (a través de HTTP plano).
-Verificar el algoritmo utilizado para la firma y el tipo de mecanismo que utiliza para mantener la información de revocación (CRL y OCSP), en la encriptación de las páginas web en servidores HTTPS
-Revisión, Verificar el sistema de redes en la que está presentando la filtración del sistema TCP/IP ,Correo, NFS, puertos de Netbios, DNS, FTP, HTTP, SMTP, NNTP., en todos los equipos que se vaya a trabajar en la red
-Protección, tener protección firmware en las máquinas y generar múltiples protección en los códigos SSL.-TLS  dentro los sistemas NetBios, DNS, HTTPS, FTP, SMTP, NNTP.
Ontología (¿Qué?)
Revisión, identificación, y Corrección de posibles fallos de seguridad en el Protocolo HTTPS, teniendo en cuenta los incidentes ya presentados, y las soluciones brindadas ante estos incidentes. Además de las recomendaciones y de conocimientos sobre seguridad en la web.
Realizar  políticas específicas de ajuste con respecto a los cifrados y a los protocolos que estén disponibles para aplicaciones que utilizan la interfaz SCHANNEL de criptografía en la seguridad de los canales  HTTPS generando una mayor seguridad.
Tecnología (¿Con qué?)
Utilizando adecuadamente las herramientas brindadas para la seguridad en la web, tales como los certificados, datos encriptados, utilización de protocolos HTTPS, buen uso de las herramientas informáticas, se contribuirá a minimizar posibles incidentes en la seguridad, en donde la información se vea afectada.
Modificar el tiempo de la cache T la red LS / SSL.
Generar mayor protección en los protocolos de la red, para si tenga un máximo de protección en los sistemas de transporte  HTTPS.
Teleología (¿Para qué?)

Esto se debe realizar para garantizar que la seguridad en la web sea la ideal, y que la información que sea suministrada, compartida, no sea alterada o interceptada por personas ajenas a esta, y la utilicen para beneficio propio. Tales como el robo de cuentas bancarias, contraseñas, información confidencial que únicamente le es útil a su receptor. Garantizar que la información sea consistente y real.

En la investigación que se realiza de las vulnerabilidades de los protocolos HTTPS, se evidencia muchos hackers  que ingresan sin autorización para la entrega de información a terceros, que no están autorizados  para suministrarla.

Por parte del proyecto debe garantizar políticas de códigos cifrados y protocolos bien estructurados una  la mayor protección, que la información no sea alterada, extraída y manipulada por personas escrupulosas para ser daño el sistema HTTPS.
Topografía (¿Dónde?)

En los sitios web. La seguridad en la web es el principal pilar en donde se realizara, ya que es allí donde los incidentes anteriormente descritos pueden ocurrir, y es allí en donde se debe actuar para  que estos no ocurran; Por el contrario se refuerce la seguridad, que se pueda respirar un aire tranquilidad, y sobre todo que el usuario se sienta seguro al realizar cualquier tipo de acción, en donde se esté manejando información, y que utilice alguna herramienta en la web.


Las Características apropiada de establecer el estudio de los componentes de HTTPS, es  trabajar sobre los recursos propios del software y hardware, en la seguridad de sus páginas a proteger, todo se encuentre bien conectado y asegurado tanto en la maquinas, switchs, routers, Etc. el usuario se sienta seguro de toda su información generada en la páginas WEB.
Ecología (¿Contra qué?)
Este proyecto no influye físicamente con el medio ambiente, ya que su realización se hace de manera intangible, no hay contaminación ambiental, lo que si tiene relación es con todos los sistemas de información, los cuales son vulnerables a cualquiera de los ataques descritos, y que necesitan intervención inmediata, para no caer en este tipo de situaciones. El estudio se basa en los Sistemas de información, generado en máquinas (servidores) con mano de conocimiento tecnológico Humano.               

Etiología (¿Por qué?)
¿Los sistemas de la web cuentan con bastante seguridad incluso con protocolos de cifrado y transferencia HTTPS?
No, ningún sistema que está en la web, aun con la implementación de protocolos como el HTTPS, están seguros ya que no solo se debe implementar esta tecnología de cifrado, sino que además se debe realizar la configuración correctamente, y estar atentos a nuevas actualizaciones, y formas de reforzar la seguridad, por tal motivo este proyecto busca mejorar los niveles de seguridad,  que la seguridad en la web sea la más efectiva contra los ataques. 
Experiencia (¿Cuánto?)
La Experiencia que se tiene del proyecto, son de las experiencias vividas en los sistemas de información de todos los años, con los diferentes ataques presentados en las páginas web, extrayendo información, modificando, y dañando, la reputación de una empresa que está en la web, por ende se requiere una estabilidad de seguridad en HTTPS, para generar conciencia de tranquilidad y manejo  de sistemas de información al usuario final.     Con el transcurso del desarrollo del proyecto, se realizara la cuantificación del impacto que se obtuvo según los lineamientos establecidos para el desarrollo de este. 


 
Referencias Bibliográficas

Redacción VSAntivirus. (2003). Grave vulnerabilidad en el manejo del búfer de OpenSSH. Tomado de : http://www.vsantivirus.com/vul-openssh.htm
Diego, L. V. J., & Alonso, G. G. P. (2009). VULNERABILIDADES SOBRE MECANISMOS DE SEGURIDAD EN PLATAFORMAS LCMS OPEN SOURCE A NIVEL DE AUTENTICACIÓN. Revista Entérese Boletín Científico Universitario, (27).
Young, E. A., Hudson, T. J., & Engelschall, R. S. (2001). OpenSSL. World Wide Web, http://www. openssl. org/, Last visited, 9.
Aabc tecnología. (2014).Que es Heartbleed Bug? Todo lo que debes saber del mayor ataque a internet. Tomado de:http://www.abc.es/fotonoticias/fotos-redes/20140410/heartbleed-todo-debes-saber-1612348023393.html.
Ivan Ristić(2014) SSL/TLS Deployment Best Practices https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices.pdf

 Hynek Schlawack(2015) Hardening Your Web Server’s SSL Ciphers  https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
Wolf, G. (2014). Desarrollo seguro de aplicaciones con criptografía.
Seguridad PCs. Consultado en Octubre del 2015. Recuperado de https://seguridadpcs.wordpress.com/2011/09/06/los-iranies-el-objetivo-real-del-ataque-a-diginotar/
 
Ataque informático lleva DigiNotar a la quiebra. Consultado en Octubre del 2015. Recuperado de http://www.welivesecurity.com/la-es/2011/10/07/ataque-informatico-lleva-diginotar-quiebra/
 
Mónica Tilves, 20 de marzo de 2013, Descubren una vulnerabilidad que afecta al protocolo de cifrado web HTTPS,http://www.siliconweek.es/security/descubren-una-vulnerabilidad-que-afecta-al-protocolo-de-cifrado-web-https-34394

Mónica Tilves, 6 de agosto de 2013, 1:40 pm, Demuestran cómo hackear el protocolo HTTPS en 30 segundos http://www.siliconweek.es/security/demuestran-como-hackear-el-protocolo-https-en-30-segundos-43945

No hay comentarios:

Publicar un comentario

Suscribirse a: Comentarios (Atom)