Asegura tus Sitios Web con OWASP

"OWASP - Logo de la página oficial"

Uno de estos días estaba buscando en internet un par de técnicas para librarse de ataques XSS y SQL Injection cuando me topé con The Open Web Application Security Project, (OWASP). Un portal/wiki creado por una comunidad con filosofía libre en el cual encontré muchísimo material referente a las formas más populares de ataques en la web. Encontré tan valiosa información que tomé a bien compartirlo con ustedes.

La referencia y documentación sobre vulnerabilidades comunes en el diseño y técnicas de programación de aplicaciones web es muy extensa, descriptiva y variada, encontrando desde artículos en PDF hasta vídeos de youtube. Entre lo más valioso que encontré en este sitio fue ESAPI, Enterprise Security API. Este consiste en un conjunto de librerías desarrolladas por la comunidad de OWASP y liberadas bajo la licencia BSD en distintos lenguajes de programación las cuales encapsulan controles de seguridad para evadir las vulnerabilidades más comunes en los sitios web incentivando además al desarrollador a hacer uso de los patrones de diseño básicos recomendados por las comunidades de software.

Me tomé la libertad de descargar y probar la librería en su versión para Java 1.5 para jugar un rato con ella pero se ve un tanto compleja como para juzgarla a la ligera. Por tal razón me reservo mis comentarios de su uso y cuando haya podido implementarla actualizo con mis comentarios.

"Captura de pantalla del Read Me" 

Como ejemplo les dejo un vídeo en el cual narran de manera bastante comprensible las variantes y ejemplos de un ataque por Cross Site Scripting (XSS) así como consejos básicos de cómo proteger tus sitios ante este ataque:

"OWASP - Cross Site Scripting"

Pueden encontrar más información en el la página principal de OWASP.

ESET Security Day (El Salvador)

Para los interesados en al seguridad informática, ESET, anuncia la realización del ESET Security Day en El Salvador mañana jueves 25 de Agosto (de 2011) en el Hotel Sheraton Presidente de 8:30 am a 1:30 pm .

El evento estará dirigido al sector corporativo, académico y empresas del sector público y privado con el principal objetivo de dar a conocer los temas más relevantes a tener en cuenta cuando se implementan soluciones de seguridad informática y antivirus en empresas e instituciones. En su primera edición en El Salvador, contará con las disertaciones de: Raphael Labaca Castro, especialista de Awareness & Research de ESET Latinoamérica y Sebastián Bonta, Director de Ventas de ESET Latinoamérica.

Las charlas tratarán los siguientes temas/actividades (agenda detallada):

• (Bloque técnico) Fuga de información ¿cómo gestionar la seguridad en su empresa?
• (Bloque comercial) ESET y la seguridad de su negocio.
• Demostración en vivo: ¿cómo mitigar la fuga de información?
• Bloque con speaker local
• Coffe Break, Sorteos y premios y cocktails de despedida.

Lastima que no me di cuenta antes para avisar, pero para obtener más información sobre el ciclo de estos eventos y las nuevas fechas puede visitar: http://www.esetsecurityday.com/

¡Saludos!

Los 25 Errores de Software Más Peligrosos del 2011

"SQL Injection. Una de las más peligrosas y comunes vulnerabilidades en los sistemas"

Recientemente me entero de una comunidad online de programadores y especialistas en seguridad que cada año se encargan de enumerar las vulnerabilidades de sistemas informáticos que más daño han realizado y que más se han popularizado entre los sistemas para que cada uno tome las medidas necesarias al momento de desarrollar sus sistemas especialmente cuando manejamos datos que al ser vulnerados causarían pérdidas significativas de información en nuestra empresa.

Esta comunidad, denominada Common Weakness Enumeration, liberó recientemente la lista de los 25 errores de software que más se han utilizado y que más daño han causado durante el presente año de manera que podamos tomarlos en cuenta para evitar que nuestros sistemas sean atacados.

Además de la lista, en el sitio puedes encontrar información detallada del error, las variaciones que pudieran existir del mismo, código fuente de ejemplo de utilización del ataque y posibles alternativas de corrección a las vulnerabilidades que este aprovecha. Es una fuente bastante completa de ítems a tomar en cuenta al momento de diseñar la seguridad de nuestro sitio. De hecho, si en su equipo de desarrollo o calidad no poseen un checklist de vulnerabilidades a cubrir, les recomiendo usar este sitio como referencia.

Me remito a describir en español las tres primeras vulnerabilidades de la lista:

1. La inadecuada neutralización de comandos especiales utilizados en SQL (A.K.A. SQL Injection). La número uno de la lista. Tal como lo ilustra la imagen del post, si utilizamos SQL simple para validar nuestras páginas de login, algo como por ejemplo:

"SELECT * FROM SYSTEM.USERS WHERE NAME = '" + inputBox1.text + "' AND PASSWORD = '" + inputBox2.text + "'";

cualquiera podría escribir cualquier comando SQL dentro de los textboxes y con suficiente astucia obtener acceso total al sistema saltándose la validación del login o peor aún, obteniendo acceso total a la base de datos.

Esto me recuerda a una vieja ilustración que XKCD elaboró para el día de las madres:

"...'Little Bobby Tables' xD"

En el blog de El Rincon de Cisko pueden encontrar más información en español acerca de este tema.

2. La inadecuada neutralización de comandos especiales utilizados en un sistema operativo (A.K.A. OS Command Injection). Aplica el mismo principio que el SQL Injection pero en este caso nos referimos a comandos del sistema operativo. Pueda ser menos común que nuestros programas ejecuten comandos directamente sobre el sistema operativo pero aunque sea menos común, esta vulnerabilidad es mucho más peligrosa que el SQL Injection ya que en el sistema operativo pueden residir no solamente el servidor de aplicaciones, servidor web y servidor de bases de datos sino muchos otros servicios sin mencionar que una vez que el atacante ha logrado ingresar a un servidor, es mucho más fácil que este logre acceso a cualquier otro servidor dentro de la intranet, especialmente si nuestro servidor de aplicaciones posee privilegios de administrador (root) lo cual es mencionado en otro elemento de la lista: "11. Ejecución de aplicaciones/servicios con privilegios mayores a los necesarios".

3. Copia de búffers sin la comprobación del tamaño del dato de entrada (Buffer Overflow). Este es nuevo para mí. Según la documentación del sitio leo que aplica mayormente para lenguajes de programación que no poseen un manejo automático de la memoria utilizada, como por ejemplo C y C++ ya que estos no revisan previamente si la porción de memoria donde se están escribiendo los datos está reservada para su fin o si su tamaño excede lo esperado y termina escribiéndose información en la memoria reservada del sistema operativo, por ejemplo.

La recomenadación para evitar esta vulnerabilidad consiste en verificar previamente el tamaño de los búffers de entrada, utilizar librerías o frameworks que realizan esta comprobación por nosotros o utilizar lenguajes de alto nivel que poseen un manejo automático de la memoria a utilizar por aplicación o grupo de aplicaciones.

Les recomiendo nuevamente y con gran énfasis leer el resto de la lista de vulnerabilidades y sus respectivos detalles técnicos, causas y soluciones para que como programadores y administradores de sistemas podamos dormir bien por las noches sin preocuparnos porque el operador nos va a llamar en la madrugada avisándonos que vulneraron un server y robaron información confidencial y valiosa de nuestra empresa. Mas aún teniendo en cuenta los recientes ataques de LulzSec, AntiSec y Anonymus.

vía Java Code Geeks.

Anatomía de un Virus de Computadora (Stuxnet)

Ahora me encontré con este interesante infográfico animado en el que se muestra la naturaleza y ramificaciones de Stuxnet, un virus de computadora específicamente diseñado para apagar las centrifugas de las plantas nucleares de Irán, y al que inclusive se le atribuye (en calidad de rumor y teoría de conspiración) parte de la culpa de los problemas en la planta nuclear de Fukishima en Japón.




Parece un relato de ciencia ficción, pero la realidad, es que es un escenario con aire futurista que marca un hito histórico para la realización de ciber ataques. Para los interesados en este tipo de temas, les dejo tres de videos que explican de forma extensa y detallada la complejidad de Stuxnet.
El primero es un video de Symantec (creadores de los productos "Norton"), donde se explica Stuxnet comienza su ciclo de propagación hasta infectar los PLC (Programmable Logic Components):




El segundo video, es una charla del experto en seguridad Ralph Langner que brindo en TED, donde habla de Stuxnet como la ciber arma del siglo 21:




Y finalmente, un brillante y detallado análisis por Bruce Dang (Microsoft), donde explica su aventura analizando el comportamiento del virus, desde como fue descompilado, hasta los "zero day bugs" que aprovecha:


(La charla comienza en el minuto 6:44)

Todo el tema me parece muy interesante y ligeramente preocupante ya que el mayor problema de Stuxnet, es que su código es abierto, y eso implica que cualquiera puede modificarlo para su "conveniencia". Para mayor información sobre Stuxnet, les recomiendo visitar la wikipedia:

http://en.wikipedia.org/wiki/Stuxnet

Saludos.

Hacktivismo y LulzSec

¿Qué es lo que sucede cuando sitios web como el de la CIA, el Senado de los Estados Unidos, Citibank USA, varios sitios dedicados a juegos, etc, son "hackeados" regulamente por un grupo sin organización y una genial cuenta de Twitter? Sencillo, se pierde la fe en la seguridad de Internet.

Muchos dirán que es obvio, y tiene razón, esa es la naturaleza de Internet y del software (bugs bugs y más bugs). Estoy seguro que la gran mayoría de los lectores de este blog tiene algún problema de inseguridad vigente en sus maquinas. Y estoy todavía más seguro, que todos los días nos topamos con algún sitio que carece de las reglas de seguridad básicas para proteger la información de sus usuarios.

Logo oficial de LulzSec

Podríamos hablar y leer sobre hacks, parches, vulnerabilidades y ataques hasta por los dientes, pero en este momento me quiero concentrar en hablarles de el grupo de "Hacktivistas" (Hackers + Activistas) llamado LulzSec que se están encargado de que todos recordemos cuan insegura y vulnerable es nuestra información en Internet.

¿LulzSec?
Lulz Security o solamente LulzSec, es un grupo de Hackers de sombrero negro (Black Hat Hackers) responsables por varios ataques recientes de alto impacto, incluyendo la publicación de 1,000,000 de cuentas de Sony, a LulzSec también se le atribuye botar el sitio de CIA. LulzSec llama la atención por dos cosas: sus ataques a sitios web reconocidos y los amenos mensajes que colocan en la cuenta de Twitter después de dichos ataques.

¿De donde viene LulzSec?
LulzSec es un "spin-off" de Anonymous. Anonymous es el grupo de hackers que realizo la operación "Payback", en la que se encargaron de vengar a Julian Assange lanzando un ataque de denegación de servicio (DDos) a Amazon, PayPal, MasterCard y Visa. Anonymous también ataco a HBGary Federal, una empresa dedicada a la "seguridad" informática. A su vez, Anonymous es un "spin-off" de los usuarios en 4Chan... así que, digamos que es difícil ubicar a cualquiera de estos grupos en un mapa. Qué conste, la historia y origen de Anonymous es muchísimo más interesante de lo mencionado acá, pueden leer un buen resumen en la Wikipedia.

Manifestación organizada por "Soldados" de Anonymous

Tanto LulzSec como Anonymous son grupos Hacktivistas, con una diferencia fundamental. Anonymous es ligeramente más político, y muchísimo más peligroso. Mientras que LulzSec, también es peligroso, pero tiene una personalidad más bromista:

TimeLine de LulzSec

Lo que LulzSec busca, además de burlarse de los sitios que ataca, es concientizar (y no de la mejor manera) sobre los problemas existentes de seguridad que abundan en Internet, esa es su campaña. Es poco probable que uno de estos grupos LulzSec se fije en un sitio web de la región, pero eso no elimina la posibilidad de un "ciber-ataque".

La primera linea de defensa, es identificar todos los agujeros que tiene el queso, y luego rellenarlos. Pero la pregunta del millón es: ¿Qué están haciendo los sitios regionales (bancos, tiendas, comunidades) para protegerse y a sus usuarios de un ataque de este tipo? En lo personal, yo cruzo los dedos para no ver jamás información de usuarios de bancos regionales en algún sitio de BitTorrent.
Pueden visitar el sitio de LulzSec acá:

http://lulzsecurity.com/

Y seguirlos en Twitter para ver sus noticias más recientes:

http://twitter.com/LulzSec

Y tu, ¿Crees que los usuarios están conscientes de lo vulnerable es la información que publican en Internet?

Protegiendo tu Laptop contra Robos

Justamente el día de hoy por la mañana me comentaban sobre un posible móvil de robo de laptops que llevan a cabo en cierta universidad del país en la que un infiltrado universitario identifica a los estudiantes que portan laptops en sus mochilas para luego notificarle a quienes se encargaría de robárselas una vez estos salgan del campus.

Hay que aceptarlo, nuestro país no destaca por su seguridad y muchos de nosotros como que aún no reconocemos este hecho y tentamos a nuestra suerte portando objetos electrónicos de valor arriesgándonos a que otros se den cuenta y nos priven de los mismos. Para ello me encargo de listar quizás un resumen de las recomendaciones generales para reducir lo más posible que puedan robar tu preciada laptop.

1. Prudencia.

La mejor prevención que les podría recomendar es la prudencia. Tal como lo mencioné en el párrafo anterior, nuestro país no destaca por su seguridad así que hay que ser prudentes y pensarlo dos veces antes de decidir sacar estos equipos de nuestros hogares. Si nos es estrictamente necesario sacarlos, es mejor evitarse el riesgo a que nos lo roben en el próximo semáforo si es que vamos en carro o alguien se de cuenta del contenido de nuestra mochila/maletín si es que viajamos en bus y hasta he presenciado colmos de colmos cuando la gente va utilizando sus laptops en el bus como si fueran protegidos por guardaespaldas!

2. Cables de Protección.

He aprendido por experiencia propia que no debo perder de vista mi laptop si es que la he sacado de mi casa ya que una vez presencié como una laptop desapareció en cuestión de minutos cuando un amigo la perdió de vista aún estando en instalaciones consideradas seguras y vigiladas. Si aun siendo prudente te es necesario sacar tu laptop de la casa, sería una buena inversión comprar un cable de protección para tu laptop.

3. Alarmas para Laptops.

Me sorprendió encontrar en Amazon alarmas audibles para laptops, similares a las alarmas que se les instala a los automóviles pero en este caso se activan mediante sensores de movimiento.

4. Backup de tus Archivos Importantes.

Aprovechando el auge de la nube y servicios que la aprovechan como Google Documents, Dropbox, Sugarsync y la recientemente anunciada iCloud, no está de más proteger los documentos que consideremos importantes y estos servicios nos ofrecen la conveniencia de sincronizar carpetas automáticamente con nuestro espacio en la nube, lo cual puede salvarte la vida si lamentablemente te dejaron sin laptop y te quedaste a la mitad de tu tesis o perdiste documentos del trabajo. Esto considerando que muchas personas posee en sus laptops información que consideran tan valiosa como la latop misma.

5. Rastreo del ladrón de tu laptop.

Recién ayer leía una noticia en CodigoGeek de un tipo a quien le robaron su laptop y logró recuperarla brindándole información a la policía sobre la apariencia y la ubicación del bandido. Esta información la obtuvo haciendo uso de un programa denominado Hidden, el cual te permite recibir este tipo de reportes de tu laptop robada utilizando geolocalización y la webcam integrada en tu laptop. Toda la historia junto con las fotografías capturadas están en su blog de Thumblr.

Hidden es una aplicación de pago únicamente disponible para computadoras Mac pero existen otras alternativas que además de ser multiplataforma son libres y gratuitas. En este caso específico les hablo de la aplicación Prey (que ya hace rato mencionamos, pero no esta de más tenerla en mente). Prey hace exactamente lo mismo que Hidden: te permite registrar tus dispositivos en el sitio y controlarlos remotamente desde el mismo pudiendo reportarlos como robados y configurar para este evento que tu laptop realice capturas de la pantalla, capturas de imagen de la cámara web, ubicación de la laptop mediante geolocalización, entre otras opciones las cuales te las envía a tu correo periódicamente en forma de un reporte del estatus de tu laptop. Prey además tiene la ventaja de estar disponible también para dispositivos móviles y ofrece una serie de cuentas premium con mayores beneficios al usuario.

"Rastrea remotamente tu laptop robada utilizando Prey"

Decálogo de seguridad corporativa

Con el primordial objetivo de contribuir con la educación e información de las empresas para alcanzar una mejor política de seguridad de la información, los especialistas de ESET Latinoamérica han elaborado los 10 mandamientos de la seguridad corporativa, entendidos como los principios básicos que deben regir la protección de la información en las empresas:

1. Definirás una política de seguridad: Es el documento que rige toda la seguridad de la información en la compañía. Se recomienda que no sea muy extensa (ningún empleado podrá comprometerse con un documento excesivamente extenso), que sea realista (pedirle a los empleados cosas posibles para mantener la credibilidad) y que se les de valor. Es preferible, además, que las mismas sean entregadas a los empleados por los altos cargos o por el departamento de Recursos Humanos, en lugar del soporte técnico de IT, para que le asignen mayor importancia.
2. Utilizarás tecnologías de seguridad: Son la base de la seguridad de la información en la empresa. Una red que no cuente con protección antivirus, un firewall o una herramienta antispam estará demasiado expuesta como para cubrir la protección con otros controles.
3. Educarás a tus usuarios: Los usuarios técnicos o del departamento de IT suelen ser omitidos en este tipo de iniciativas, como si estuviera comprobado que están menos expuestos a las amenazas informáticas. Según las estadísticas de ESET, el 45% de los ataques informáticos detectados en la región utiliza técnicas de Ingeniería Social - es decir, que atentan contra el desconocimiento del usuario para infectarlo. Por ello, es fundamental que toda la empresa forme parte de los procesos de educación y capacitación.
4. Controlarás el acceso físico a la información: La seguridad de la información no es un problema que deba abarcar sólo la información virtual, sino también los soportes físicos donde ésta es almacenada. ¿Dónde están los servidores? ¿Quién tiene acceso a éstos? Sin lugar a dudas, el acceso físico es fundamental. También deben ser considerados en este aspecto los datos impresos, el acceso físico a oficinas con información confidencial (el gerente, el contador, etc.) o el acceso a las impresoras.
5. Actualizarás tu software: Las vulnerabilidades de software son la puerta de acceso a muchos ataques que atentan contra la organización. Según el informe sobre el estado del malware en Latinoamérica (elaborado por ESET) el 41% de los dispositivos USB están infectados y el 17% del malware utilizan explotación de vulnerabilidades. Mantener tanto el sistema operativo como el resto de las aplicaciones con los últimos parches de seguridad, es una medida de seguridad indispensable.
6. No utilizarás a IT como tu equipo de Seguridad Informática: Es uno de los errores más frecuentes, por lo que es importante recordar que la seguridad no es un problema meramente tecnológico. Debe existir un área cuyo único objetivo sea la seguridad de la información para que ésta no pueda ser relegada por otros objetivos asociados a la usabilidad, como por ejemplo la instalación y puesta a punto de determinado servicio, según las necesidades comerciales.
7. No usarás usuarios administrativos: De esta forma, una intrusión al sistema estará limitada en cuánto al daño que pueda causar en el mismo.
8. No invertirás dinero en seguridad sin un plan adecuado: La seguridad debe ser concebida para proteger la información y, por ende, el negocio. Hacer inversiones en seguridad sin medir el valor de la información que se está protegiendo y la probabilidad de pérdidas por incidentes puede derivar en dinero mal invertido o, básicamente, en dinero perdido.
9. No terminarás un proyecto en seguridad: La seguridad debe ser concebida como un proceso continuo, no como un proyecto con inicio y fin. Es cierto que pequeñas implementaciones de los controles pueden necesitar de proyectos, pero la protección general de la información es una necesidad permanente del negocio que debe encontrarse en mejora continua.
10. No subestimarás a la seguridad de la información: Entender el valor que asigna al negocio tener la información protegida es clave. Muchas empresas, especialmente las pequeñas y medianas, no pueden recuperarse de un incidente de gravedad contra la seguridad de la información.

Triniti usando nmap en Matrix I ;)

Entre los que me resultan más interesantes son: "Educaras a tus usuarios" (3), dado que un usuario no educado usualmente es el eslabón más débil en la cadena de protección de información, y "No utilizarás a tu departamento de IT como equipo de Seguridad Informática"(6), un consejo muy adecuado, ya que tenemos que ser conscientes de que un buen DBA, programador, desarrollador o arquitecto de software, etc, puede ser excelente en su puesto de trabajo y tener muy buenas nociones sobre la seguridad en general, pero no necesariamente será un experto en seguridad informática (al menos no para hacer una auditoría de seguridad), aunque mucha gente lo crea así.

¿Y ustedes que piensan de este decálogo? ¿Se cumplen estas reglas en la empresa en la que trabajas?

Seguridad vs. Usabilidad

"La imagen de la discordia, origen y razón de ser de este post"

Recientemente por casualidades del destino me ví en la necesidad de ingresar al sitio en línea del banco agrícola. Tenía meses de no entrar a dicho sitio y al ingresar en esta ocasión me doy cuenta de un cambio significativo que han aplicado en la forma como escribes tu usuario, clave y token para ingresar al sistema. Resulta que ahora ya no puedes digitar de forma directa estos datos sino que debes hacer uso de un teclado virtual que te aparece en pantalla. Tal como se aprecia en la imagen inicial de este post.

Quizá la característica más particular que he encontrado junto con otros usuarios que pasaron por la misma experiencia de tratar de hacer login en dicha página, ha sido la que las teclas no se encuentran en un orden aparente sino mas bien ordenadas aleatoriamente. De hecho, por cada vez que refrescas la página (ej. en un intento fallido), dichas teclas vuelven a cambiar de posición y nuevamente de manera aleatoria.

"A ver... hoy donde quedó la A? y la L? la Ñ? OMG!"

Es cierto que hoy en día las instituciones bancarias sufren ataques de todo tipo en sus sitios web, el phishing y el cross site scripting por ejemplo, con el cual cualquier otro intenta vulnerar los sistemas web para tener acceso a las cuentas de sus clientes y sus datos privados están en juego. Es cierto que es deber de cada empresa en general proteger los datos de sus usuarios especialmente en el mayor punto débil de todos los sistemas seguros: sus pantallas de ingreso.

Todo esto es necesario para asegurarnos que los sitios a los que ingresamos se encuentren seguros de cualquier ataque pero no por ello se debe dejar de lado la usabilidad del sitio y la experiencia del usuario. Es posible mantener un balance entre seguridad y usabilidad?

La respuesta es SI.

Asumiendo que la inclusión de este terrible teclado virtual con teclas aleatorias que les mencionaba al principio se incluyó para prevenir que se intente ingresar por medio de un programa y no mediante la interacción con un usuario, existen alternativas mucho más usables para lograr este fin. Menciono las dos más comunes y útiles:

CAPTCHA

Captcha es un sistema ideado con la intención de diferenciar si la interacción con un sitio web la está realizando un humano o un programa de computadora. Para ello, muestran una imagen la cual contiene una palabra con el texto un tanto distorsionado o difuso, de manera que solamente un humano pueda leer e interpretar el texto, para luego escribirlo en un campo al final del formulario. No es 100% infalible ya que hoy en día existen programas para la interpretación de texto difuso pero sí es bastante confiable, ya que tanto Google, Facebook y otros sitios importantes hacen uso del mismo. Uno de los CAPTCHAs más populares es reCAPTCHA de Google, el cual es usado en la mayoría de formularios de login de Google cuando deseas crear una cuenta o cuando te has equivocado más de tres veces en tu login:

"Ejemplo de un cuadro de reCAPTCHA. Consiste en escribir el texto difuso en la caja de texto. En caso de no distinguirlo, click en el botón con forma de bocina para escuchar su pronunciación"

En este link puedes obtener plugins para blogs y el código fuente para hacer uso de reCAPTCHA en tu sitio.

Slide to Unlock

Este es un muy ingenioso sistema de ingreso que originalmente viene en los iPhone/iPod Touch, el cual se puede usar también en los sitios web para asegurarse que es un humano quien hace clic sobre el botón y lo desliza de izquierda a derecha. Esta interacción sería muy difícil (mas no imposible) de llevarse a cabo mediante un programa que intentara llenar automáticamente un formulario de login por lo que se podría considerar efectivo y fácil de usar.

"Ejemplo del mecanismo de submit 'Slide to Submit' similar al 'Slide to Unlock' del iPhone/iPod Touch"

En este link puedes encontrar el código fuente para incluir un botón de tipo "Slide to submit" mediante código Javascript.

Para mi punto de vista, usando alguna de las técnicas aquí presentadas, sumándole el uso de conexiones seguras por HTTPS, tokens, certificados digitales y mecanismos de prevención del XSS, un sitio podría considerarse lo suficientemente seguro como para no tener la necesidad de molestar más al usuario con pasos extra o peticiones para llevar a cabo su ingreso al sitio en cuestión.

Alguna otra técnica o sugerencia para crear sitios web tanto seguros como usables?

Bonus: Talvez estos 91 ejemplos de cajas de login te puedan inspirar para crear una página completamente usable y agradable a la vista de tus usuarios.

Bonus No. 2: Me entero en twitter que @hkadejo desarrolló un muy útil bookmarklet para desactivar las cajas de texto y poder escribir de forma manual el usuario y clave en la página del Banco Agrícola. Pueden encontrarlo en este link.

Seguridad vs. Usabilidad

"La imagen de la discordia, origen y razón de ser de este post"

Recientemente por casualidades del destino me ví en la necesidad de ingresar al sitio en línea del banco agrícola. Tenía meses de no entrar a dicho sitio y al ingresar en esta ocasión me doy cuenta de un cambio significativo que han aplicado en la forma como escribes tu usuario, clave y token para ingresar al sistema. Resulta que ahora ya no puedes digitar de forma directa estos datos sino que debes hacer uso de un teclado virtual que te aparece en pantalla. Tal como se aprecia en la imagen inicial de este post.

Quizá la característica más particular que he encontrado junto con otros usuarios que pasaron por la misma experiencia de tratar de hacer login en dicha página, ha sido la que las teclas no se encuentran en un orden aparente sino mas bien ordenadas aleatoriamente. De hecho, por cada vez que refrescas la página (ej. en un intento fallido), dichas teclas vuelven a cambiar de posición y nuevamente de manera aleatoria.

"A ver... hoy donde quedó la A? y la L? la Ñ? OMG!"

Es cierto que hoy en día las instituciones bancarias sufren ataques de todo tipo en sus sitios web, el phishing y el cross site scripting por ejemplo, con el cual cualquier otro intenta vulnerar los sistemas web para tener acceso a las cuentas de sus clientes y sus datos privados están en juego. Es cierto que es deber de cada empresa en general proteger los datos de sus usuarios especialmente en el mayor punto débil de todos los sistemas seguros: sus pantallas de ingreso.

Todo esto es necesario para asegurarnos que los sitios a los que ingresamos se encuentren seguros de cualquier ataque pero no por ello se debe dejar de lado la usabilidad del sitio y la experiencia del usuario. Es posible mantener un balance entre seguridad y usabilidad?

La respuesta es SI.

Asumiendo que la inclusión de este terrible teclado virtual con teclas aleatorias que les mencionaba al principio se incluyó para prevenir que se intente ingresar por medio de un programa y no mediante la interacción con un usuario, existen alternativas mucho más usables para lograr este fin. Menciono las dos más comunes y útiles:

CAPTCHA

Captcha es un sistema ideado con la intención de diferenciar si la interacción con un sitio web la está realizando un humano o un programa de computadora. Para ello, muestran una imagen la cual contiene una palabra con el texto un tanto distorsionado o difuso, de manera que solamente un humano pueda leer e interpretar el texto, para luego escribirlo en un campo al final del formulario. No es 100% infalible ya que hoy en día existen programas para la interpretación de texto difuso pero sí es bastante confiable, ya que tanto Google, Facebook y otros sitios importantes hacen uso del mismo. Uno de los CAPTCHAs más populares es reCAPTCHA de Google, el cual es usado en la mayoría de formularios de login de Google cuando deseas crear una cuenta o cuando te has equivocado más de tres veces en tu login:

"Ejemplo de un cuadro de reCAPTCHA. Consiste en escribir el texto difuso en la caja de texto. En caso de no distinguirlo, click en el botón con forma de bocina para escuchar su pronunciación"

En este link puedes obtener plugins para blogs y el código fuente para hacer uso de reCAPTCHA en tu sitio.

Slide to Unlock

Este es un muy ingenioso sistema de ingreso que originalmente viene en los iPhone/iPod Touch, el cual se puede usar también en los sitios web para asegurarse que es un humano quien hace clic sobre el botón y lo desliza de izquierda a derecha. Esta interacción sería muy difícil (mas no imposible) de llevarse a cabo mediante un programa que intentara llenar automáticamente un formulario de login por lo que se podría considerar efectivo y fácil de usar.

"Ejemplo del mecanismo de submit 'Slide to Submit' similar al 'Slide to Unlock' del iPhone/iPod Touch"

En este link puedes encontrar el código fuente para incluir un botón de tipo "Slide to submit" mediante código Javascript.

Para mi punto de vista, usando alguna de las técnicas aquí presentadas, sumándole el uso de conexiones seguras por HTTPS, tokens, certificados digitales y mecanismos de prevención del XSS, un sitio podría considerarse lo suficientemente seguro como para no tener la necesidad de molestar más al usuario con pasos extra o peticiones para llevar a cabo su ingreso al sitio en cuestión.

Alguna otra técnica o sugerencia para crear sitios web tanto seguros como usables?

Bonus: Talvez estos 91 ejemplos de cajas de login te puedan inspirar para crear una página completamente usable y agradable a la vista de tus usuarios.

Bonus No. 2: Me entero en twitter que @hkadejo desarrolló un muy útil bookmarklet para desactivar las cajas de texto y poder escribir de forma manual el usuario y clave en la página del Banco Agrícola. Pueden encontrarlo en este link.

Twitter Cambia su Modelo de Autenticación

Desde hace ya un buen tiempo twitter ha permitido a los desarrolladores de aplicaciones hacer login mediante dos métodos distintos: autenticación básica y OAuth. Mediante autenticación básica, nosotros le confiábamos nuestro nombre de usuario y clave al cliente de twitter y este lo utilizaba para intentar hacer login y permitirnos hacer updates y leer los timelines desde dicha aplicación. La segunda y más reciente alternativa es OAuth, es un método mediante el cual la autenticación del usuario se hace directamente desde una página de twitter.com y si la autenticación es válida, twitter le devuelve un token a la aplicación para que esta nos brinde sus servicios con acceso a nuestra cuenta.

Definitivamente la segunda alternativa es mucho más segura ya que nuestros datos de usuario y clave de twitter eran únicamente compartidos con twitter.com y las aplicaciones nada más reciben un token de autenticación por lo cual estos no pueden abusar de nuestras cuentas y nosotros podemos revocarles el permiso de usarlas en cualquier momento desde la página de settings, en nuestra cuenta de twitter.

Debido a esta mejora en seguridad que se experimenta con el uso de OAuth, twitter por fin ha decidido dar de baja al método de autenticación básica de manera que OAuth será la única alternativa por la cual los clientes de twitter podrán autenticarnos. Esta noticia la han publicado en el blog The Twitter Engineering, blog oficial de los desarrolladores de twitter.

Este cambio entrará en vigencia a partir del 30 de junio del presente año. Pueden seguir la cuenta regresiva en esta URL y además seguir al usuario de twitter @twitterapi para obtener más información sobre cambios técnicos en twitter y su api.

En qué afectará esto a los usuarios?

En absolutamente nada. Simplemente tendrán una forma mucho más segura de iniciar sesión en sus clientes de twitter y un mejor control de cuáles aplicaciones tienen acceso a sus cuentas.

En qué afectará esto a los desarrolladores de aplicaciones para twitter?

En mucho! Hay una gran cantidad de aplicaciones que aún funcionan con la autenticación básica y a partir de la fecha antes mencionada estas aplicaciones simplemente dejarán de funcionar así que empieza la cuenta regresiva para que cada grupo de desarrolladores empiece a implementar OAuth en sus aplicaciones. Uno de los populares servicios de hosting de imágenes vinculadas a twitter, el conocido twitpic, recientemente hizo el cambio a autenticación por medio de OAuth. Cabe mencionar que es de los servicios populares que más se tardaron en implementar esta medida pero al final de cuentas la implementaron a tiempo.

Si necesitas documentación para tener una idea de cómo implementar OAuth en tu cliente de twitter, puedes leer la wiki de twitter relacionada al OAuth, donde encontrarás ejemplos escritos en los lenguajes de programación más populares. También puedes hacer uso de apis de terceros que ya encapsulen la funcionalidad del OAuth, como por ejemplo twitter4j para java, twitterauth para Ruby on Rails y twitteroo para C#.net.

Twitter Cambia su Modelo de Autenticación

Desde hace ya un buen tiempo twitter ha permitido a los desarrolladores de aplicaciones hacer login mediante dos métodos distintos: autenticación básica y OAuth. Mediante autenticación básica, nosotros le confiábamos nuestro nombre de usuario y clave al cliente de twitter y este lo utilizaba para intentar hacer login y permitirnos hacer updates y leer los timelines desde dicha aplicación. La segunda y más reciente alternativa es OAuth, es un método mediante el cual la autenticación del usuario se hace directamente desde una página de twitter.com y si la autenticación es válida, twitter le devuelve un token a la aplicación para que esta nos brinde sus servicios con acceso a nuestra cuenta.

Definitivamente la segunda alternativa es mucho más segura ya que nuestros datos de usuario y clave de twitter eran únicamente compartidos con twitter.com y las aplicaciones nada más reciben un token de autenticación por lo cual estos no pueden abusar de nuestras cuentas y nosotros podemos revocarles el permiso de usarlas en cualquier momento desde la página de settings, en nuestra cuenta de twitter.

Debido a esta mejora en seguridad que se experimenta con el uso de OAuth, twitter por fin ha decidido dar de baja al método de autenticación básica de manera que OAuth será la única alternativa por la cual los clientes de twitter podrán autenticarnos. Esta noticia la han publicado en el blog The Twitter Engineering, blog oficial de los desarrolladores de twitter.

Este cambio entrará en vigencia a partir del 30 de junio del presente año. Pueden seguir la cuenta regresiva en esta URL y además seguir al usuario de twitter @twitterapi para obtener más información sobre cambios técnicos en twitter y su api.

En qué afectará esto a los usuarios?

En absolutamente nada. Simplemente tendrán una forma mucho más segura de iniciar sesión en sus clientes de twitter y un mejor control de cuáles aplicaciones tienen acceso a sus cuentas.

En qué afectará esto a los desarrolladores de aplicaciones para twitter?

En mucho! Hay una gran cantidad de aplicaciones que aún funcionan con la autenticación básica y a partir de la fecha antes mencionada estas aplicaciones simplemente dejarán de funcionar así que empieza la cuenta regresiva para que cada grupo de desarrolladores empiece a implementar OAuth en sus aplicaciones. Uno de los populares servicios de hosting de imágenes vinculadas a twitter, el conocido twitpic, recientemente hizo el cambio a autenticación por medio de OAuth. Cabe mencionar que es de los servicios populares que más se tardaron en implementar esta medida pero al final de cuentas la implementaron a tiempo.

Si necesitas documentación para tener una idea de cómo implementar OAuth en tu cliente de twitter, puedes leer la wiki de twitter relacionada al OAuth, donde encontrarás ejemplos escritos en los lenguajes de programación más populares. También puedes hacer uso de apis de terceros que ya encapsulen la funcionalidad del OAuth, como por ejemplo twitter4j para java, twitterauth para Ruby on Rails y twitteroo para C#.net.

Cuidado Con Lo Que "Cliqueas"

¿Alguna vez  se han preguntado lo peligroso que podría ser el hacer clic sobre un link?. La respuesta es sencilla, puede ser muuuuuuuuuuy peligroso. Traigo a colación este tema, ya que en varias ocasiones he iniciado sesión en Windows Live Messenger y recibo mensajes de contactos desconectados. Esos mensajes contienen links - muy sosprechosos - y que hacen alusión a fotos bastante subidas de tono - básicamente, "pornografía" - o contenidos que para "el usuario común" son considerados atractivos e inofensivos. He aquí el problema, pues con hacer clic a ese link "inofensivo" podemos entregar valiosa información a cualquier mal intencionado ahí afuera: la dirección IP de nuestra computadora.

 Mala combinación: "Información correcta, en manos inadecuadas".

En este punto probablemente se cuestionen, ¿qué demonios puede saber alguien a partir de un simple conjunto de dígitos separados por puntos?, Básicamente se pueden conocer los siguientes datos:

• País en el que se localiza la dirección IP.
• Región.
• Ciudad.
• Latitud/Longitud.
• Nombre De Dominio asociado con la dirección IP.
• Nombre del ISP.
• Velocidad de conexión.

Pero más importante que conocer esa información existe el peligro de que una persona con ciertas habilidades informáticas - y malas intenciones - intente conectarse a nuestra computadora y explotar cualquier vulnerabilidad del sistema operativo que utilizamos. Acotemos el problema a conexiones residenciales, pues las grandes corporaciones poseen - en el mejor de los casos - estructuras de seguridad muy díficiles de burlar.

La mayoría utiliza un Router para conectarse a internet, muchas veces viene acompañado de un Firewall. Esta configuración presenta una primera capa de seguridad ya que la direccion IP visible desde Internet, es la dirección del Router, con lo cual nuestra computadora no puede ser contactada directamente, y de paso, el Firewall se encargará de bloquear la mayoría de accesos no autorizados - la efectividad viene dada en gran medida por la configuracion del Firewall -. Hasta cierto punto, no estamos tan descubiertos como parece.

Luego de esta breve contextualización solamente queda explicar como obtener la dirección IP de una computadora a través de un link. La manera más sencilla es utilizar una aplicación Web, cuyo objetivo principal será capturar la dirección IP cuando alguna persona de click en un link determinado, las direcciones ip pueden ser recuperadas a través de un log manejado por la aplicación. El siguiente paso es rastrear la dirección IP, para ello se puede acceder al siguiente sitio especializado en proveer informacion geografica a partir de la dirección IP. 

El uso que se le dé a esta información depende de cada persona, mMe limitaré a explicar el proceso para obtener una dirección IP y como rastrearla. Lo demás queda a su imaginación, y más importante aún, es el hecho que debemos tener mucho cuidado con lo que "cliqueamos". Como bien dicen : "la abstinencia es la mejor prevención". Sus comentarios son bienvenidos, hasta la próxima.

Cuidado Con Lo Que "Cliqueas"

¿Alguna vez  se han preguntado lo peligroso que podría ser el hacer clic sobre un link?. La respuesta es sencilla, puede ser muuuuuuuuuuy peligroso. Traigo a colación este tema, ya que en varias ocasiones he iniciado sesión en Windows Live Messenger y recibo mensajes de contactos desconectados. Esos mensajes contienen links - muy sosprechosos - y que hacen alusión a fotos bastante subidas de tono - básicamente, "pornografía" - o contenidos que para "el usuario común" son considerados atractivos e inofensivos. He aquí el problema, pues con hacer clic a ese link "inofensivo" podemos entregar valiosa información a cualquier mal intencionado ahí afuera: la dirección IP de nuestra computadora.

 Mala combinación: "Información correcta, en manos inadecuadas".

En este punto probablemente se cuestionen, ¿qué demonios puede saber alguien a partir de un simple conjunto de dígitos separados por puntos?, Básicamente se pueden conocer los siguientes datos:

• País en el que se localiza la dirección IP.
• Región.
• Ciudad.
• Latitud/Longitud.
• Nombre De Dominio asociado con la dirección IP.
• Nombre del ISP.
• Velocidad de conexión.

Pero más importante que conocer esa información existe el peligro de que una persona con ciertas habilidades informáticas - y malas intenciones - intente conectarse a nuestra computadora y explotar cualquier vulnerabilidad del sistema operativo que utilizamos. Acotemos el problema a conexiones residenciales, pues las grandes corporaciones poseen - en el mejor de los casos - estructuras de seguridad muy díficiles de burlar.

La mayoría utiliza un Router para conectarse a internet, muchas veces viene acompañado de un Firewall. Esta configuración presenta una primera capa de seguridad ya que la direccion IP visible desde Internet, es la dirección del Router, con lo cual nuestra computadora no puede ser contactada directamente, y de paso, el Firewall se encargará de bloquear la mayoría de accesos no autorizados - la efectividad viene dada en gran medida por la configuracion del Firewall -. Hasta cierto punto, no estamos tan descubiertos como parece.

Luego de esta breve contextualización solamente queda explicar como obtener la dirección IP de una computadora a través de un link. La manera más sencilla es utilizar una aplicación Web, cuyo objetivo principal será capturar la dirección IP cuando alguna persona de click en un link determinado, las direcciones ip pueden ser recuperadas a través de un log manejado por la aplicación. El siguiente paso es rastrear la dirección IP, para ello se puede acceder al siguiente sitio especializado en proveer informacion geografica a partir de la dirección IP. 

El uso que se le dé a esta información depende de cada persona, mMe limitaré a explicar el proceso para obtener una dirección IP y como rastrearla. Lo demás queda a su imaginación, y más importante aún, es el hecho que debemos tener mucho cuidado con lo que "cliqueamos". Como bien dicen : "la abstinencia es la mejor prevención". Sus comentarios son bienvenidos, hasta la próxima.

Clickjacking Que es? Como protegernos?

"No es necesario ser paranoicos para aceptar que nos pueden vigilar y hasta controlar desde las paginas web que visitamos"

Recientemente, dos investigadores de ha.ckers.org Robert "RSnake" Hansen y Jeremiah Grossman publicaron noticias acerca de un problema de vulnerabilidad el cual afecta a todos los navegadores web de la actualidad y que podría monitorear y controlar la actividad de un usuario en un sitio web especifico. Hasta el momento ningún navegador del web se encuentra exento, por lo menos no los que todo mundo utiliza ya que es un problema relativamente reciente, no esta directamente relacionado con javascript y no es tan fácil de solucionar con un simple parche o actualización de los mismos. Los únicos que no se ven afectados por este grave problema son lynx, Links, w3m y similares.

Ahora dos preguntas vienen a nuestra mente:

En que consiste realmente este problema?

Clickjacking, que se podría traducir como secuestro del clic, se refiere a la capacidad del desarrollador o dueño de un sitio web de tomar el control de los vinculos que nuestro navegador visita, botón, o cualquier elemento de la página sin que ni siquiera uno vea que está sucediendo. Esto lo hacen utilizando un Frame o iFrame con opacidad nula por encima del contenido original de la pagina de manera que el usuario, al tratar de dar clic sobre los elementos de la pagina original, realmente interactúe con los elementos ocultos de este iFrame sin darse cuenta. Este iFrame, a su vez, puede en realidad ser parte de un dominio totalmente diferente al de la pagina original que cubre y tendría la capacidad de hacer requests via Ajax a repositorios de datos de dichos dominios.

Dicho de otra forma, imaginemos un cristal (opacidad 0) con algo debajo, intentamos tocar con el dedo lo que hay debajo, pero tocamos el cristal, esto es lo mismo que sucede cuando ponemos un iFrame con opacidad 0 (invisible) encima de ciertos elementos de nuestra web: el usuario irá a hacer clic en nuestros elementos, pero hará clic dentro del iFrame.

"Imagen que ejemplifica las dos capas invisibles que puede tener un sitio web: la capa que vemos y la capa con la que realmente interactuamos"

Ahora imaginemos que cargamos en el iFrame una página de noticias, como meneame, fresqui, o digg, lo volvemos transparente, y debajo metemos un botón que diga: haz clic aquí, posicionándolo justo exactamente debajo de donde aparece el botón para votar a la noticia, dentro de la página de noticias. Cuando el usuario haga clic en nuestro botón, que está debajo del iFrame transparente, justo donde está el botón para votar de la web de noticias que hay cargada dentro del iFrame, hará clic en el botón votar de la pagina que hay dentro del iFrame.

Que puedo hacer para protegerme?

Como habíamos mencionado, no es tan fácil como agregar un parche o actualizar a nuestra ultima versión de nuestro navegador. Lo primero seria evitar las visitas a sitios de poca fiabilidad (ustedes saben a cuales me refiero) y si no estamos seguros de adonde nos llevara un link o un botón, dar clic derecho sobre este y revisar sus propiedades.

• Opera: Vayanse a la pagina opera:config y deshabiliten la opción iFrames.

"Captura de pantalla de Opera, mostrando la pagina de configuracion donde se deshabilitan los iFrames"

• Firefox: Instalar el plugin (complemento, add-on o como le quieran llamar) llamado NoScript el cual, al igual que el plugin FlashBlock que te bloquea los elementos Flash de una pagina, este te permite bloquear una gran cantidad de tipos de contenido de una pagina, entre estos, los scripts, animaciones flash, aplicaciones Java y por supuesto, iFrames.

"Captura de pantalla de Firefox, mostrando en su barra de estado la informacion de bloqueos de NoScript y en una ventana emergente, la configuracion del NoScript y donde se deshabilitan los iFrames"

• Internet Explorer Safari y Chrome: Resignense a estar vulnerables, esperen a que los fabricantes encuentren una solución o cambien de navegador.

addon chrome clickjacking complementos computadoras firefox iframe internet java navegador network Opera safari seguridad

Clickjacking Que es? Como protegernos?

"No es necesario ser paranoicos para aceptar que nos pueden vigilar y hasta controlar desde las paginas web que visitamos"

Recientemente, dos investigadores de ha.ckers.org Robert "RSnake" Hansen y Jeremiah Grossman publicaron noticias acerca de un problema de vulnerabilidad el cual afecta a todos los navegadores web de la actualidad y que podría monitorear y controlar la actividad de un usuario en un sitio web especifico. Hasta el momento ningún navegador del web se encuentra exento, por lo menos no los que todo mundo utiliza ya que es un problema relativamente reciente, no esta directamente relacionado con javascript y no es tan fácil de solucionar con un simple parche o actualización de los mismos. Los únicos que no se ven afectados por este grave problema son lynx, Links, w3m y similares.

Ahora dos preguntas vienen a nuestra mente:

En que consiste realmente este problema?

Clickjacking, que se podría traducir como secuestro del clic, se refiere a la capacidad del desarrollador o dueño de un sitio web de tomar el control de los vinculos que nuestro navegador visita, botón, o cualquier elemento de la página sin que ni siquiera uno vea que está sucediendo. Esto lo hacen utilizando un Frame o iFrame con opacidad nula por encima del contenido original de la pagina de manera que el usuario, al tratar de dar clic sobre los elementos de la pagina original, realmente interactúe con los elementos ocultos de este iFrame sin darse cuenta. Este iFrame, a su vez, puede en realidad ser parte de un dominio totalmente diferente al de la pagina original que cubre y tendría la capacidad de hacer requests via Ajax a repositorios de datos de dichos dominios.

Dicho de otra forma, imaginemos un cristal (opacidad 0) con algo debajo, intentamos tocar con el dedo lo que hay debajo, pero tocamos el cristal, esto es lo mismo que sucede cuando ponemos un iFrame con opacidad 0 (invisible) encima de ciertos elementos de nuestra web: el usuario irá a hacer clic en nuestros elementos, pero hará clic dentro del iFrame.

"Imagen que ejemplifica las dos capas invisibles que puede tener un sitio web: la capa que vemos y la capa con la que realmente interactuamos"

Ahora imaginemos que cargamos en el iFrame una página de noticias, como meneame, fresqui, o digg, lo volvemos transparente, y debajo metemos un botón que diga: haz clic aquí, posicionándolo justo exactamente debajo de donde aparece el botón para votar a la noticia, dentro de la página de noticias. Cuando el usuario haga clic en nuestro botón, que está debajo del iFrame transparente, justo donde está el botón para votar de la web de noticias que hay cargada dentro del iFrame, hará clic en el botón votar de la pagina que hay dentro del iFrame.

Que puedo hacer para protegerme?

Como habíamos mencionado, no es tan fácil como agregar un parche o actualizar a nuestra ultima versión de nuestro navegador. Lo primero seria evitar las visitas a sitios de poca fiabilidad (ustedes saben a cuales me refiero) y si no estamos seguros de adonde nos llevara un link o un botón, dar clic derecho sobre este y revisar sus propiedades.

• Opera: Vayanse a la pagina opera:config y deshabiliten la opción iFrames.

"Captura de pantalla de Opera, mostrando la pagina de configuracion donde se deshabilitan los iFrames"

• Firefox: Instalar el plugin (complemento, add-on o como le quieran llamar) llamado NoScript el cual, al igual que el plugin FlashBlock que te bloquea los elementos Flash de una pagina, este te permite bloquear una gran cantidad de tipos de contenido de una pagina, entre estos, los scripts, animaciones flash, aplicaciones Java y por supuesto, iFrames.

"Captura de pantalla de Firefox, mostrando en su barra de estado la informacion de bloqueos de NoScript y en una ventana emergente, la configuracion del NoScript y donde se deshabilitan los iFrames"

• Internet Explorer Safari y Chrome: Resignense a estar vulnerables, esperen a que los fabricantes encuentren una solución o cambien de navegador.

addon chrome clickjacking complementos computadoras firefox iframe internet java navegador network Opera safari seguridad