Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ÍNDICE
INTRODUCCIÓN .......................................................................................................... i
DESARROLLO ........................................................................................................... 1
CONCLUSIONES ..................................................................................................... 27
BIBLIOGRAFÍA ........................................................................................................ 28
INTRODUCCIÓN
La justificación bajo la cual se realizó este análisis es dar a conocer la idea de una
aplicación web, móvil y cliente servidor desarrollada con los mejores estándares para
proteger la información del negocio en sus distintas modalidades.
Tras la finalización de este análisis se espera que este pueda apoyar a investigadores
en un futuro sobre análisis de riesgos e implementación de ciberseguridad para las tres
arquitecturas de software ante un ataque a las aplicaciones web, móviles y
cliente/servidor.
1
DESARROLLO
ANALISIS DE RIESGO
Datos digitales
- Personales
- Financieros
- Legales
- Investigación y desarrollo
- Estratégicos
- Comerciales
- Correo electrónico
- Contestadores automáticos
- Bases de datos
- Unidades lógicas
- Copias de seguridad
2
Software de aplicación
Activos de servicios de TI
- Mensajería instantánea
- Servicios web
- Contratos de soporte
- Mantenimiento de software
Amenazas y vulnerabilidades
(Areitio, 2008) “Las amenaza es todo aquello que causa una consecuencia o resultado
no deseado. Las vulnerabilidades son ausencias de salvaguardas adecuadas”.
Cabe destacar que una vulnerabilidad es un error de algún sistema, del cual no se tiene
conocimiento o se omitió por error.
Exposición
La aplicación por ser Web se encuentra expuesta a todo tipo de ataques siendo los
más comunes de DDoS y fuerza bruta, ya que por desconocer al inicio si poseen
credenciales o bases de datos se inician por estos para obtener más información de forma
inmediata del sitio.
Probabilidad de ocurrencia
Impacto
Tamaño del producto: riesgos asociados con el tamaño general del software.
(Construcción/Modificación)
Impacto en el Negocio: riesgos asociados con las limitaciones impuestas por la
gestión o por el mercado.
Características del Usuario: riesgos asociados al consumo de la aplicación
versus las capacidades/habilidades del usuario final.
Implementación: riesgos asociados a la implementación de la solución final en
uso.
Arquitectura: riesgos asociados a la arquitectura en particular.
Reutilización: uso de librerías y/o frameworks reconocidos que presentan
vulnerabilidades.
6
PROBABILIDAD
VULNERABILIDA
PERTINENTE
EXPOSICIÓN
IMPACTO
ACCIÓN
INCIDENTE DE ACTIVOS DE
D
SEGURIDAD INFORMACI CATEGORÍA CONTROL
(descripción) ÓN RIESGO DEL RIESGO AMENAZAS (descripción)
(1-5) (1-5) (I*P)
Robo de la cuenta de
WhatsApp, mediante Perdida de Instalar Antivirus en el dispositivo,
Cuenta de
configuración en otro la cuenta, evitar la instalación de
WhatsApp, Características MEDI
dispositivo, con robo de perdida de Phishing 3 5 15 Mitigar aplicaciones que no estén en
Contactos, del usuario A
mensaje de confirmación autenticació playstore, AppleStore u otra de
backup
de la aplicación, atreves n confianza.
de fsvenom.
Configurar controles de acceso a
los dispositivos que eviten la
Clonación de la cuenta,
Conversacion realización de copias de seguridad
mediante el backup del perdida de
es, contactos, Error del sin autorización, o almacenar de
dispositivo original, la Técnico ALTA 2 5 10 Mitigar
agenda, sistema forma encriptada las copias de
instalado en otro privacidad
archivos seguridad realizadas o bien
dispositivo
colocarlas en una ubicación con
control de acceso
Crear y difundir
desinformación a través de
Desinforma
fuentes aparentemente
información ción, Instalar parches de seguridad de
fiables, mediante la Técnico Phishing ALTA 3 3 9 compartir
importante perdida de la aplicación WhatsApp
manipulación de mensajes
privacidad
y cambiar la identidad del
remitente
Crear respaldos o Backups en la
Datos perdida de
Exposición a manipulación nube, configurar correos de
personales, la cuenta,
y robo de la cuenta Accidentes, recuperación, utilizar doble factor
agenda, perdida de Vandalismo ALTA 4 5 20 compartir
WhatsApp, por pérdida o errores humanos de autenticación, configurar la
contactos, la
robo del dispositivo. localización del dispositivo y
archivos, etc. privacidad
eliminar los archivos.
perdida de Evitar rootear los dispositivos, no
conversacion
Robo de la base de datos las cuentas, permitir la depuración USB a
es, contactos, Características
y llave de encripción en perdida de Vandalismo ALTA 3 5 15 mitigar menos que estemos seguros de
agenda, del usuario
teléfonos rooteados la que se va a utilizar en un tiempo
archivos,
privacidad estimado.
7
PERTINENTE
EXPOSICIÓN
VULNERABIL
PROBABILID
IMPACTO
ACCIÓN
IDAD
AD
INCIDENTE DE SEGURIDAD CATEGORÍA AMEN CONTROL
(descripción) ACTIVO RIESGO DEL RIESGO AZAS (descripción)
Ataque Pass-the-Hash: Aplicación Robo de Arquitectura Error ALTA 4 4 16 Mitigar Restringir y proteger cuentas del
conseguir la autenticación en un software identidad y en los dominio con altos privilegios.
recurso de la red. acceso a sistem Restringir y proteger cuentas
recursos e as locales con privilegios de
información de administrador. Restringir el
la organización. tráfico entrante usando Windows
Firewall.
Inundación del datacenter. Servidores Pérdida de Arquitectura Evento ALTA 4 5 20 Compartir/T Se transfiere parte del riesgo a
hardware y no s ransferir el encargado de infraestructura.
continuidad del natural Riesgo
servicio. es
Ataque Pass-the-Ticket: Aplicación Robo de Arquitectura Error ALTA 4 4 16 Mitigar Restringir y proteger cuentas del
conseguir acceso a un recurso software identidad y en los dominio con altos privilegios.
de la red. acceso a sistem Restringir y proteger cuentas
recursos e as locales con privilegios de
información de administrador. Restringir el
la organización. tráfico entrante usando Windows
Firewall.
Administración desatendida, falta Servidores y Aumento de las Técnico Errores MEDIA 3 4 12 Mitigar Crear planes de mantenimientos
de seguimiento a los parches de estaciones vulnerabilidades, human y seguimientos a los parches de
actualización de los servidores y de trabajo. fallas en las os seguridad de los servidores y
de las estaciones de trabajo. aplicaciones, un estaciones de trabajo.
blanco fácil para
atacantes.
Aplicaciones clientes Servidores, Captura de texto Técnico Error MEDIA 3 3 9 Compartir/T Parte del riesgo es trasladado a
vulnerables, no se aplicación estaciones plano, con datos en los ransferir el los desarrolladores de las
estándares de seguridad al de trabajo. sensibles. sistem Riesgo aplicaciones.
código de programación. as y
errores
human
os.
Malas contraseñas, débiles y Estaciones Fácil acceso al Técnico Errores MEDIA 3 3 9 Mitigar Implementar políticas de
fáciles de adivinar. de trabajo. sistema y human creación y cambios de
recursos en red. os contraseñas.
APLICACIÓN A EVALUAR: Whatsapp Web
PLATAFORMA: Web
PROBABILI
PERTINEN
EXPOSICI
IMPACTO
VULNERA
ACCION
BILIDAD
DAD
ON
INCIDENTE DE SEGURIDAD CATEGORÍA CONTROL
TE
(descripción) RIESGO DEL RIESGO AMENAZAS (descripción)
El más importante, y del que Pérdida de De Man in the middle ALTA 4 5 20 Mitigar Desarrollar conexiones directas
se han hecho eco otras Autenticación y arquitectura entre dispositivos, donde se cree
compañías, es la falta de Gestión de un canal entre ambos dispositivos y
cifrado de sus comunicaciones, Sesiones el servidor de mensajería, crear un
que permite dar acceso de mejor cifrado de los mensajes
forma inconscientes a la
agenda telefónica y a los
mensajes de los usuarios.
Vulnerabilidades con el No utilizar SSL Técnico Terrorista MEDIA 3 4 12 Mitigar Cifrar la información en el servidor,
sistema de ubicación del para almacenar y monitorear constantemente los
usuario a través del servicio de información de accesos a la misma en los
geolocalización de WhatsApp manera segura- y servidores
almacena las coordenadas sin cifrar.
geográficas y las mantiene
desprotegidas. De este modo,
al compartir una ubicación los
datos se descargan a través de
un canal no seguro.
Este problema ha provocado No utilizar SSL Técnico Errores de ALTA 4 4 16 Eliminar Realizar análisis de capa 7 y cifrar
que, según reconocen desde la para permitir la Sistema la información que se almacena en
compañía de seguridad, transmisión de el servidor dentro de las sesiones
cualquier usuario, de forma información de de chat
anónima y sin necesidad de manera segura- y
credenciales pueda utilizar la sin cifrar.
infraestructura de WhatsApp
para subir todo tipo de archivos
o ficheros de cualquier tamaño
a sus servidores (incluido los
ejecutables).
La plataforma de WhatsApp no Poca protección Técnico Phishing MEDIA 5 2 10 Compartir Cifrar el canal de información con
cuenta con ningún tipo de en las un protocolo de encriptacion más
antivirus y los contenidos se comunicaciones apropiado y desarrollar una llave de
archivan automáticamente del entre usuarios a descripción propia
servidor en un período de 30 través del canal
días las facilidades para establecido
distribuir todo tipo de malware
o realizar ataques de phishing
son tremendamente sencillas y
sin ningún tipo de costes para
el atacante.
9
Carencia en el proceso de alta Falla de Operativo Errores de MEDIA 3 4 12 Mitigar Realizar políticas y condiciones
y verificación de los usuarios. Restricción de Sistema para un mejor uso, validando con
El código de activación de Acceso a URL las telefonías si los números son
usuario se genera en el propio vigentes para la validación por SMS
entorno de la aplicación, y utilizar doble factor de
incluso antes de ser enviado a autenticación
los servidores internos para
que éstos manden el mensaje
SMS, con el código, al usuario,
la posibilidad de cambiar el
remitente a la hora de enviar
mensajes.
El acceso a las conversaciones Almacenamiento Operativo Vandalismo MEDIA 5 2 10 Compartir/T Utilizar protocolos de encriptacion
de un usuario a través de otras Criptográfico ransferir en los temporales que se guardan
aplicaciones que tienen acceso Inseguro en el dispositivo
a la tarjeta MicroSD donde se
almacenan las copias de
seguridad de WhatsApp
10
INCIDENTE DE SEGURIDAD
Aplicaciones, como otros sitios conocidos como Twitter, Netflix, PayPal, Pinterest y
PlayStation Network, entre otros. El ataque logró comprometer el sitio, pues excluyo a
todos los dispositivos conectados a la Internet. Los ataques se realizaron con Kali, una
distribución de Linux, el objetivo de este es inundar de tráfico al proveedor de alojamiento
DNS del host.
CONTROL
PHP
En PHP tenemos varias formas de hacerlo, entre ellas para bases de datos MySQL
tenemos la función mysql_real_escape_string, que añadiremos en las variables que
introducimos en la consulta.
$respuesta=mysql_query("SELECT * FROM `Usuarios` WHERE
`user`='".mysql_real_escape_string($name)."' AND
`pass`='".mysql_real_escape_string($password)."'")
.NET
con. Open();
Java
Ahora con Java lo que hacemos es similar a lo que hemos hecho con C# (en .NET),
crear la consulta con los parámetros y posteriormente establecerlos (sustituirlos siendo
ya estos un literal, que no producirán fallos de seguridad).
Perl
Cross-site Scripting:
PHP
Existe la función strip_tags que dada una cadena de texto limpia todas las etiquetas
HTML que encuentre.
Javascript
MATRIZ DE RIESGO
PROBABILID
EXPOSICIÓN
VULNERABI
AMENAZAS
IMPACTO
INCIDENTE DE CATEGORÍA ACCIÓN CONTROL
LIDAD
RIESGO
AD
SEGURIDAD (descripción) DEL RIESGO PERTINENTE (descripción)
Carencia en el proceso de
alta y verificación de los
usuarios. El código de
activación de usuario se
genera en el propio entorno Realizar políticas y condiciones para
de la aplicación, incluso Falla de un mejor uso, validando con las
Errores de
antes de ser enviado a los Restricción de Operativo MEDIA 3 4 12 Mitigar telefonías si los números son vigentes
Sistema
servidores internos para que Acceso a URL para la validación por SMS y utilizar
éstos manden el mensaje doble factor de autenticación
SMS, con el código, al
usuario, la posibilidad de
cambiar el remitente a la
hora de enviar mensajes.
16
DDoS
SQL Injection
Se realizó un ataque de SQL Injection con el software SQL Power Injection 1.2, haciendo
un análisis al método GET y POST con resultados negativos, pues por más que se intentó
vulnerar al puerto 80 y romper las cookies no fue posible, adicional se inyecto
directamente en la dirección http://dashboard.bluehealthcorp.info/seguridadAplicaciones,
código malicioso de SQL sin doblegar la seguridad de la página.
18
Requiere de altas habilidades para realizar los ataques, esto se logró determinar a través
de Metasploit, el cual es un framework de explotación de vulnerabilidades de seguridad,
es utilizado para el desarrollo y ejecución de exploits y payloads. Metasploit está escrito
en el lenguaje de programación Ruby y contiene una suite de herramientas que permiten
19
PHP
En PHP tenemos varias formas de hacerlo, entre ellas para bases de datos MySQL
tenemos la función mysql_real_escape_string, que añadiremos en las variables que
introducimos en la consulta.
Caso 1:
Caso 2:
Caso 3:
Caso 4:
Datos de entrada: 0.
Caso 5:
Descripción del caso: Se tiene un campo de texto que solo acepta caracteres alfabéticos.
La longitud del valor ingresado debe estar entre 6 y 10 caracteres.
Caso 1:
Caso 2:
Caso 3:
Caso 4:
Caso 1:
Caso 2:
Caso 3:
Paso 1.
Programa Odin
Paso 2.
Instalar en el teléfono, desde el nuevo Recovery, el programa Root que nos va a dar
todos los privilegios sobre el sistema del dispositivo. En nuestro caso se instalara
SuperSu, el cual debe instalarse no de forma gráfica, sino como anteriormente se
indicó, desde el recovery.
24
Paso 3
Ubicación de la llave
25
Paso 4
Copiamos la llave hacia una ubicación local (en la computadora), y copiamos la base de
datos que se encuentra en la ubicación “sdcard/WhatsApp/Databases”,
específicamente copiamos la msgstore.db.crypt12, la enviamos a la misma ubicación,
en donde colocamos la llave obtenida.
Paso 5
Paso 6
CONCLUSIONES
BIBLIOGRAFÍA
Leyva Andres, J., & Mora Vargas, R. (2016). Instituto Politécnico Nacional. Obtenido
de
https://tesis.ipn.mx/bitstream/handle/123456789/21896/TOKEN%20DE%20
SEGURIDAD%20DE%20CONTRASE%C3%91A%20DESECHABLE.pdf?se
quence=1&isAllowed=y