En nuestro post semanal de prácticas de desarrollo seguro, del OWASP Top 10, hablaremos del tercer punto: Exposición de datos sensibles, los que muchas aplicaciones web y APIs no protegen adecuadamente. Los atacantes buscan información bancaria, de salud, datos de identificación personal y contraseñas y ¡es tu deber como desarrollador proteger esos datos! En la época […]
En nuestro post semanal de prácticas de desarrollo seguro, del OWASP Top 10, hablaremos del tercer punto: Exposición de datos sensibles, los que muchas aplicaciones web y APIs no protegen adecuadamente. Los atacantes buscan información bancaria, de salud, datos de identificación personal y contraseñas y ¡es tu deber como desarrollador proteger esos datos!
En la época del Big Data, los datos toman cada vez más valor. El desarrollo seguro debe considerar la importancia de proteger estos datos, que al ser recabados, pasan a ser responsabilidad de quien los almacena. Una vez almacenados, estos datos requieren protección especial, y las leyes se han adaptado hacia la protección de los mismos. Los atacantes buscan acceder a los datos mediante diversos ataques. Cada vez se crean nuevos métodos para saltarse los mecanismos de control. Es por esto que uno de los peores errores que aún se suelen cometer es dejar estos datos sin cifrar. El cifrado de los datos debe ser mandatorio, tanto para cuando éstos estén en tránsito como para cuando estén almacenados.
Para comenzar, se debe determinar qué datos son los que más protección requerirán, y para esto hay una serie de directrices legales y de compliance que los han, ya, determinado.
Se debe comprender que un atacante intentará:
Entonces, caeremos en este tipo de vulnerabilidades tanto si los datos almacenados o transmitidos se encuentran en “texto plano” y si se transmiten bajo protocolos inseguros (HTTP, FTP, TELNET o SMTP), incluso de manera interna (entre servidores, balanceadores de carga o cualquier sistema backend). También se encuentran en riesgo los datos que se encuentren encriptados o hasheados con un algoritmo débil u obsoleto, como MD5, SHA1, etc. Es por esto que se debe ser especialmente cuidadosos, además, al gestionar la rotación de claves criptográficas, pues éstas no pueden ser reutilizadas ni debieran ser débiles.
Y para protegernos ante estas vulnerabilidades, siempre debemos:
Otra charla que revisamos en DEF CON 26 fue la del ex NSA, Patrick Wardle, quien explicó en su conferencia titulada: ”El mouse es más poderoso que la espada” una vulnerabilidad zero-day para sistemas macOS, la cual ejecuta clics y tecleos ”automáticos”, sin el consentimiento del usuario.
El 8 y 9 de septiembre de 2018 se realizará la quinta edición de la DragonJAR Security Conference en Bogotá, Colombia, evento que reúne a investigadores en seguridad informática de todo el continente latinoamericano y Nivel4 estará ahí.