Articulos relacionado con aplicaciones y software a medida desarrollador por Q2BSTUDIO

¿ Eres Hackeable ? 

Las pruebas de penetración (también llamadas “pen testing”) son una práctica para poner a prueba un sistema informático, red o aplicación web para encontrar vulnerabilidades que un atacante podría explotar.

Las pruebas de penetración pueden ser automatizadas con aplicaciones de software, o se pueden realizar manualmente. De cualquier manera, el proceso incluye la recopilación de información sobre el objetivo antes de la prueba (reconocimiento), la identificación de posibles puntos de entrada, intentos de entrar (ya sea virtualmente o de manera real) y el reporte de los resultados.

El principal objetivo de las pruebas de penetración consiste en determinar las debilidades de seguridad. Una prueba de penetración también puede ser utilizado para probar el cumplimiento de la política de seguridad de una organización, la conciencia de seguridad de sus empleados y la capacidad de la organización para identificar y responder a los incidentes de seguridad.

Las pruebas de penetración a veces se llaman “ataques de sombrero blanco” debido a que en una prueba de este tipo los tipos buenos están tratando de entrar a la fuerza.

Las estrategias de prueba de penetración son:

Pruebas orientadas a un objetivo

Estas pruebas selectivas se llevan a cabo en conjunto por el equipo de TI de la organización y el equipo de pruebas de penetración. A veces se le llama un enfoque de “luces encendidas” porque cualquiera puede ver el examen que se lleva a cabo.

Comprobación externa

Este tipo de prueba de penetración se dirige a los servidores o dispositivos de la compañía que son visibles externamente, incluyendo servidores de nombres de dominio (DNS), servidores de correo electrónico, servidores web o firewalls. El objetivo es averiguar si un atacante externo puede entrar y hasta dónde puede llegar una vez que ha obtenido acceso.

Pruebas internas

Esta prueba simula un ataque interno detrás del firewall por un usuario autorizado, con privilegios de acceso estándar. Este tipo de prueba es útil para estimar la cantidad de daño que un empleado descontento podría causar.

Pruebas a ciegas

Una estrategia de prueba a ciegas simula las acciones y procedimientos de un atacante real, limitando severamente la información dada de antemano a la persona o equipo que está realizando la prueba. Por lo general, solo se les puede dar el nombre de la empresa. Debido a que este tipo de prueba puede requerir una cantidad considerable de tiempo para el reconocimiento, puede ser costosa.

Pruebas de doble ciego

Las pruebas de doble ciego toman la prueba a ciegas y la llevan un paso más allá. En este tipo de prueba de penetración, solo una o dos personas de la organización pueden ser conscientes de que se está realizando una prueba. Las pruebas de doble ciego pueden ser útiles para probar el monitoreo de seguridad y la identificación de incidentes de la organización, así como sus procedimientos de respuesta.

Una de las primeras decisiones que debes tomar cuando estás planteando el desarrollo de un proyecto web es si realizarlo a medida o mediante un CMS (Content Management System, es decir, un Gestor de Contenidos).
Ojo, porque un proyecto a medida también es un gestor de contenidos, pero desarrollado únicamente para tu modelo, con una estructura definida y basada en sus necesidades.

Pros de utilizar software libre CMS (Tipo Wordpress o similar)

Menos tiempo de desarrollo
Tiene ya implementadas muchas funcionalidades
Tiene estructuras preestablecidas pero modulables
Plugins, módulos y extensiones ya desarrollado
Desarrollos realizados en diferentes lenguajes de programación muy utilizados a nivel mundial:
Se le puede integrar muchos complementos de desarrollo de terceros: Widget, plugins, interacciones con API, etc.
Autogestión de la página web  sin tener la necesidad de "meterse a tocar código" para cambiar algún elemento.
Comunidades de usuarios vinculados a cada CMS, los cuales aportan soluciones, resuelven dudas, aportan información, etc
Más económica. Temas (gratuitos y de pago) establecidos con variedad de demos, que hacen que ahorren tiempo en el desarrollo técnico y a nivel de planteamiento de diseño.

Con el nuevo reglamento UE 2016/679 , el pentesting o Hacking ético vienen implícitos en la obligatoriedad de la seguridad de los datos.

Es en esta adecuación al riesgo dónde existe una conexión del Hacking Ético con el nuevo Reglamento Europeo de Protección de Datos al establecer el apartado 2 del artículo 32 lo siguiente:

“Al evaluar la adecuación del nivel de seguridad SE TENDRÁN PARTICULARMENTE EN CUENTA LOS RIESGOS que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

¿Y qué es el Hacking Ético sino las medidas de seguridad ofensiva que analizan los riesgos para evitar el acceso ilícito a los datos o la comunicación o acceso no autorizados a los mismos?

Así pues, y por imperativo legal es imprescindible antes de realizar una consultoría y/o adaptación de una actividad a la normativa de protección de datos personales, una auditoria de seguridad informática previa que pueden, y a mi juicio deben incluir sesiones de Pentesting y Hacking Ético para conocer los riesgos en concreto que afectan a cada tratamiento de datos por una posible alteración o acceso ilícito o no autorizado a los mismos.

Tras lo que hemos visto es lógico que el asesor o consultor ha de pedir consejo al auditor informático sobre cuáles son las mejores y más adecuadas medidas de seguridad personalizadas y adaptadas para ese sistema informático en concreto.

El repetido artículo 32 solamente propone como medidas de seguridad la seudonimización y el cifrado de datos personales y cita la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resilencia permanentes de los sistemas y servicios de tratamiento, y la capacidad de restaurar la disponibilidad y el acceso a los datos de forma rápida en caso de incidente físico o técnico, así como un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Al ser ahora la política de seguridad de cada entidad la que se diseñe al efecto para cada responsable de tratamiento conforme a los riesgos reales que entrañen dicho tratamiento, el ámbito legal habrá de apoyarse en el ámbito técnico, siendo necesario que los informáticos se compenetren y se entiendan con los juristas que diseñen la consultoría o adaptación a la normativa de protección de datos.

El estudio, en el que han participado empresas pertenecientes a sectores como energía, agua, transporte, industria pesada, etc. pone de manifiesto que el 75% de las empresas encuestadas asegura que el nivel de vulnerabilidad de sus infraestructuras OT sigue siendo alto.

En parte esto se debe según los responsables de esta investigación, a que en muchos casos este tipo de infraestructuras y empresas del sector industrial priorizan el mantener sus dispositivos y máquinas en funcionamiento, sobre tener que llevar a cabo una tarea de «securizar» que casi nunca es sencilla y en la que cualquier «parón» puede implicar importantes pérdidas económicas y de producción .

En este sentido, como ha explicado Mario García, director de Check Point para España y Portugal, muchas de estas empresas suelen trabajar con sistemas propietarios que son tremendamente cerrados, tienen una gran dependencia de un proveedor exterior y aplican el clásico «si funciona no lo toques» ante una posible interrupción de servicio que podría resultar fatal.

Esto por supuesto no quiere decir que estas infraestructuras no estén expuestas. Más bien todo lo contrario. Como han explicado desde el CCI, la implementación de sistemas IoT, el no separar adecuadamente los sistemas de producción de los sistemas IT o seguir confiando en una infraestructura informática obsoleta (Windows XP e incluso Windows NT) expone a estas industrias a todo tipo de vulnerabilidades. No es de extrañar en este sentido, que ataques relativamente fáciles de prevenir y evitar como ransomware o el spear phishing encuentren estas industrias sistemas fáciles de explotar.

La noticia positiva sin embargo es que en los últimos años ha aumentado el grado de concienciación sobre la importancia que tiene invertir en seguridad en este tipo de empresas. Así el informe señala que la mayoría de as empresas que han participado en esta encuesta empiezan a contemplar, al menos en sus nuevos proyectos, requisitos básicos de Ciberseguridad Industrial, haciendo un especial hincapié en compartimentar redes y un trabajo «en capas» que implica que incluso si una parte de la operativa se ve comprometida, el resto de la compañía puede seguir funcionando con relativa normalidad.

Además también muestran una mayor predisposición a la hora de identificar posible futuras amenazas y coinciden en señalar (en un 41%) que la principal ciberamenaza a la que se pueden enfrentar en un futuro vendrá de la que comprometa la seguridad de sus dispositivos IoT, situándose en segundo término los ataques multivector (21%) y el ransomware (20%) en tercer lugar.

Un especialista en análisis de vulnerabilidades acaba de revelar una vulnerabilidad día cero en las versiones de Joomla!, el popular sistema de gestión de contenido (CMS) lanzadas entre septiembre de 2012 y diciembre de 2015. Según los reportes, la vulnerabilidad podría representar un severo riesgo para miles de sitios web en todo el mundo.

Puede que esta falla parezca demasiado antigua, pero en el caso de Joomla! esto podría ser irrelevante, pues la mayoría de los administradores de sitios web que usan este CMS no acostumbran actualizar el software por diversas razones, principalmente debido a los problemas de compatibilidad que muchos plugins presentan al actualizar este sistema.

Acorde a los especialistas en análisis de vulnerabilidades, explotar esta vulnerabilidad es realmente sencillo para un hacker promedio, pues sólo basta con una inyección de código PHP en la página de inicio del CMS para que el actor de amenazas sea capaz de ejecutar código remoto en el servidor.   

Un informe más amplio, publicado en la plataforma especializada ZDNet, menciona que esta vulnerabilidad es muy parecida a la falla identificada como CVE-2015-8562, descubierta en 2015. En aquel entonces la vulnerabilidad causó serios problemas en miles de sitios web de todo el mundo.

No obstante, existe una diferencia determinante entre ambas fallas. La vulnerabilidad día cero recientemente descubierta sólo afecta a las versiones de la rama 3.x, mientras que CVE-2015-8562 afectaba a todas las versiones de Joomla! a partir de 1.5x, por lo que el alcance de la nueva falla es mucho menor.   

Joomla! ya ha sido notificada y al parecer ya está disponible el parche de seguridad para esta falla. No obstante, como ya se ha mencionado, podría ser complicado que todos los administradores de sitios web en Joomla! decidan actualizar sus implementaciones a la brevedad.

Un reporte revelado recientemente ha preocupado a los usuarios de Linux. Especialistas en análisis de vulnerabilidades han revelado una nueva falla de seguridad en Sudo, una de las utilidades más comunes e importantes y que además está incluida como un comando central instalado en casi cualquier implementación basada en Linux y UNIX.

“Esta falla de seguridad es un problema de omisión de las políticas de seguridad en Sudo, de ser explotada, permitiría que un actor de amenazas o programa malicioso ejecute comandos arbitrarios como root en el sistema comprometido aún cuando las configuraciones del sistema prohíban de forma explícita el acceso root”, mencionan los expertos.

Cabe recordar que Sudo (superuser do) es un comando del sistema que permite a los usuarios ejecutar aplicaciones o comandos con privilegios de otro usuario sin necesidad de cambiar de entorno. Acorde a los expertos en análisis de vulnerabilidades, es comúnmente empleado para ejecutar comandos como usuario root.

En la mayoría de las distribuciones de Linux, la palabra clave ALL en la especificación RunAs del archivo /etc/sudoers permite a cualquier usuario en los grupos admin o sudo ejecutar cualquier comando como cualquier usuario validado en el sistema. Esta es una configuración predeterminada.

Gracias a la separación de privilegios (característica de seguridad fundamental en Linux) un administrador puede configurar un archivo “sudoers” para establecer qué usuarios pueden ejecutar determinados comandos. Esta vulnerabilidad consiste en que cualquier usuario podría ejecutar un comando específico como usuario root, lo que permitiría acceder al control completo del entorno.  

Identificada como CVE-2019-14287, esta vulnerabilidad fue descubierta por el experto en análisis de vulnerabilidades Joe Vennix. En su reporte, señala que esta es una falla de severidad considerable, pues la utilidad sudo fue diseñada para permitir a los usuarios usar sus propias credenciales de acceso para ejecutar comandos sin que los administradores tuvieran que proporcionarles una contraseña.

Un reporte de especialistas en seguridad de aplicaciones web afirma que la compañía encargada del desarrollo de TeamViewer, el popular software para control remoto de sistemas, fue víctima de hacking. 

Según se ha mencionado, los atacantes podrían controlar cualquier computadora que haya iniciado sesión en este servicio para realizar actividades arbitrarias. 

El informe revela que TeamViewer fue hackeado en 2016, incidente que derivó en el robo de información financiera de muchos usuarios en tan sólo 24 horas.  

Christopher Glyer, investigador de la firma de seguridad FireEye, reveló el incidente a través de Twitter, afirmando además que las contraseñas de los usuarios están siendo filtradas. Acorde a esta firma, el incidente de hacking es responsabilidad del grupo APT41, que opera desde Asia, específicamente desde China, y que ha sido vinculado a múltiples operaciones de hacking malicioso de alto perfil.

Desafortunadamente, esta no es la primera ocasión que TeamViewer es víctima de actores de amenazas. Hace aproximadamente cuatro años, especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) reportaron que un grupo de hackers logró instalar un backdoor en diversas implementaciones de TeamViewer para extraer información confidencial.

Una política de seguridad continuada, pentesting recurrente y una mayor inversión en los ambitos de seguridad evitarían en gran parte todo este tipo de amenazas . Las compañias tecnológicas y las que recurren a la tecnología para su evolución deben tener en cuenta la seguridad y lo que conlleva el no asegurarse de que su sitio , aplicación es seguro.