PwnedCon - Programación segura [Mariano Marino]

@marianoit
Desarrollo seguro | Pwn3dcon
Mariano Marino
Programar en forma segura y
no morir en el intento…
Retrospectiva a +20 años de desarrollo
(no tan seguro)

@marianoit
www.pwnedcon.com
@marianoit
Sommelier de las mejores prácticas
de seguridad del código ajeno…

@marianoit
www.pwnedcon.com
@marianoit
Upgrade

@marianoit
www.pwnedcon.com
@marianoit
“Si anda, no lo toques”

@marianoit
@marianoit
Microsoft
Flask
Laravel

@marianoit
@marianoit
JAVA
MongoDB

@marianoit
TODO ES SEGURO
MIENTRAS NO SE EVALÚE
EL VECTOR DE ATAQUE…

@marianoit
@marianoit
¿De qué se trata la charla?
• Organismos que trabajan en seguridad
• Marcos de trabajo
• Principios de seguridad
• Vulnerabilidades comunes
• Malas prácticas
• Mitigaciones

@marianoit
ORGANISMOS

@marianoit
@marianoit
ORGANISMOS DE SEGURIDAD
TOP 10 de vulnerabilades
Marcos de trabajo
Checklist de seguridad
CAPEC
CWE
ATT&CK
OWASP MITRE NIST
Marcos de
trabajo y
lineamientos

@marianoit
PRINCIPIOS DE
SEGURIDAD

@marianoit
Principios de seguridad
Privilegio mínimo y
separación de funciones
Defensa en profundidad
Confianza cero Security In The Open

@marianoit
¿Cuáles son los puntos de ataque?
Acceso al
dispositivo
Acceso a
la red
Privilegios
elevados
Privilegios
limitados
Intercepción y
manipulación de
mensajes
Objetivo: comprometer sistemas y romper la
cadena de confianza sin ser detectado

@marianoit
PRIVILEGIO MÍNIMO Y
SEPARACIÓN DE
FUNCIONES

@marianoit
@marianoit
Privilegio mínimo y separación de funciones
01
Privilegios
Solo los mínimos y
necesarios para
realizar el trabajo.
02
Recursos
Dar acceso a la
menor cantidad de
recursos posibles.
03
Transacciones
Asignar diferentes tareas
a diferentes personas.
04
Controles
Permiten mantener la
integridad de los datos
de una organización.

@marianoit
@marianoit
Que puede salir mal en esta
verificación de humano…

@marianoit
@marianoit
PRIVILEGIOS
Se pueden administrar de la siguiente manera:
• Role Based Access Control (RBAC)
• Attribute Based Access Control (ABAC)
• Access Control List (ACL)
• Discretionary Access Control (DAC)
• Mandatory Access Control (MAC)
• Relationship Based Access Control (ReBAC)

@marianoit

@marianoit
@marianoit
RECURSOS
Limitarlos ayuda a:
• Reducir riesgos
• Mejorar la seguridad
• Cumplir regulaciones y
estándares de seguridad

@marianoit
@marianoit
SEPARACIÓN
DE
FUNCIONES
Iniciador Aprueba Confirma
Transacción monetaria
Cliente Empleado Supervisor
Auditoría

@marianoit
@marianoit
RIESGOS
Privilegio mínimo
• Mayor superficie de ataque
• Acceso no autorizado
• Abuso de privilegios
Separación de funciones
• Posibilidad de fraude
• Manipulación de registros
• Dificultad de detectar intromisiones si todos los usuarios
tienen acceso a todos los recursos
• Fallas en responsabilidades

@marianoit
DEFENSA EN
PROFUNDIDAD

@marianoit
@marianoit
DEFENSA EN
PROFUNDIDAD
Datos
Aplicación
Dispositivo
Red

@marianoit
01
Secretos
02
Configuración
03
Binarios
04
Bitácoras
Seguridad
física

@marianoit
Todo SECRETO que se almacena en
TEXTO PLANO o con un MÉTODO
REVERSIBLE, deja VULNERABLE a sus
usuarios o sistemas
• Credenciales
• Token de autenticación
• API Keys
• Contraseñas del almacén de firmas
Secretos

@marianoit
• No almacenarlos en: archivos (CWE-256/260/313),
registro del sistema (CWE-314), base de datos ni
variables de entorno del SO (CWE-526).
• No utilizarlos como parámetros de ejecución (CWE-
214).
• No incrustarlos en el código fuente (CWE-
259/318/321).
• No transmitirlos en texto plano (CWE-523) ni
incluirlos en la URL. (CWE-598).
• No codificarlos dentro de un token JWT (CWE-522).
Secretos
Texto claro

@marianoit
• No debe codificarlos (CWE-261/798). Ej
Base64
• Debe proteger correctamente la clave
o llave utilizada para descifrarlos
(CWE-257).
Secretos
Método
reversible

@marianoit
Contraseñas:
• El hash debe ser computacionalmente
complejo, para evitar un ataque por fuerza bruta
(CWE-916).
• Debe renovarlas periódicamente (CWE-262/263)
• Deben ser robustas (CWE-1391)
Hardware:
• No transmitirlos en buses de datos sin su debida
protección anti-tamper. (CWE-1324)
SECRETOS

@marianoit
@marianoit
CWE-256 - Plaintext Storage of a Password

@marianoit
@marianoit
CWE-259 - Use of Hard-coded Password

@marianoit
@marianoit
CWE-526: Cleartext Storage of Sensitive
Information in an Environment Variable

@marianoit
@marianoit
CWE-214 Invocation of Process Using Visible
Sensitive Information
CVE-2021-32638 CodeQL Runner

@marianoit
@marianoit
CWE-1318 Missing Support for Security Features in On-chip
Fabrics or Buses

@marianoit
• Azure KeyVault
• Apple KeyChain
• Android KeyStore
• Generación dinámica de secretos
• Separación de ambientes, regiones,
aplicaciones
Secretos
Buenas prácticas

@marianoit
INFORMACIÓN CONFIDENCIAL
• Cifrar toda información confidencial (CWE-
312/538/922)
• Evitar su exposición a un autor no autorizado
(CWE-200/201/202/213)
• No debe estar presente en una cookie
(CWE-315)

@marianoit
Información
confidencial
• No debe estar presente en el
código fuente.
(CWE-215/318/531/540/615)
• No debe transmitirla sin cifrar
(CWE-319). Si viaja en https/ftps, ya
está cifrada!
• Debe ser eliminada
correctamente (CWE-212)

@marianoit
Configuración
del sistema
Firmar o cifrar la configuración para evitar
que se pueda manipular (CWE-15)

@marianoit
Configuración
del sistema
Ubicación de bitácoras

@marianoit
Configuración
del sistema
Ruta a librerías

@marianoit
Firmar digitalmente todos sus activos
evita que un atacante pueda:
• Inyectar código
(CWE-94, CWE-95, CWE-470, CWE-506)
• Reemplazarlos (CWE-114),
Evitar la ejecución con privilegios
elevados (CWE-250).
Binarios

@marianoit
@marianoit
Firma digital

@marianoit
@marianoit
CWE-95: Improper Neutralization of Directives in
Dynamically Evaluated Code ('Eval Injection')

@marianoit
@marianoit
CWE-250: Execution with Unnecessary
Privileges

@marianoit
Bitácoras
• Es importante no registrar
demasiado (CWE-779 ) ni muy poco
(CWE-778)
• No establecer límites en la cantidad
de veces que sucede un evento para
registrarlo (CWE-223)
• Neutralice y codifique
correctamente la información que
escribe en bitácoras (CWE-117)

@marianoit
Bitácoras
Identificación de
eventos
1. Si una acción sale mal, ¿tengo la trazabilidad
completa de lo sucedido?
2. Si se está cometiendo fraude, puedo responder
¿Quién?, ¿Cómo?, ¿Cuándo?, ¿Qué? y ¿Con qué?
3. Si están atacando el sistema o la infraestructura,
¿detecto cuál es el punto débil?
4. Si se mitigó el ataque, ¿tengo los elementos para
hacer un análisis forense detallado?

@marianoit
Bitácoras
Registro de eventos
¿Cuándo?
○ Fecha y hora de registro en formato internacional.
○ Fecha y hora del evento.
¿Dónde?
○ El identificador del servidor, de la aplicación y su versión.
○ El controlador y la acción que se ejecutó.
○ La geolocalización del dispositivo.
¿Quién?
○ Si proviene de un usuario o de un proceso automático ejecutado.
○ Hash que identifica la sesión de usuario.
○ Dirección IP del dispositivo.
¿Qué?
○ El tipo de evento.
○ Uno o más agrupadores.
○ La gravedad: fatal, error, warning, info, debug, trace.
○ Indicador de evento relevante para la seguridad.
○ Descripción.
○ Resultado de la acción: Éxito, Fallo, Diferido.

@marianoit
CWE-117: Improper Output Neutralization for Logs
final static Logger logger = Logger.getLogger(UserDetailsService.class);
...
logger.info("Authenticating " + username);
…

@marianoit
Configuración
del sistema
Log4Net
Bitácoras sin
neutralizar
Log4Shell

@marianoit
www.pwnedcon.com
@marianoit
Seguridad de la red
Protegiendo los datos en tránsito

@marianoit
@marianoit
Conexión segura
• Utilice siempre una conexión cifrada y con un certificado
validado (CWE-295, CWE-296, CWE-297, CWE-298, CWE-
299)
• No permita que se utilicen protocolos de seguridad
obsoletos, como TLSv1.0, v1.1 y SSL3.0 (CWE-757)
• Configure de manera segura las políticas de CORS
(CWE-942)

@marianoit
@marianoit
Encabezados
• Strict-Transport-Security (HSTS): esta opción indica a los navegadores que deben utilizar únicamente
conexiones seguras (HTTS). Su configuración protege a su sitio de ataques contra la degradación de protocolos y
el secuestro de cookies.
• X-Frame-Options: Indica al navegador que nunca debe mostrar el contenido dentro de un frame. Protege al
usuario contra ataques del tipo clickjacking.
• X-Content-Type-Options: Indica al navegador que interprete los archivos según el tipo indicado en Content-
Type.
• Content-Security-Policy (CSP): Indica al navegador cuáles serán los orígenes de confianza para cargar los
diferentes recursos de una página web. Ayuda a detectar y mitigar ciertos ataques como Cross-Site Scripting e
inyección entre sitios.
• X-Permitted-Cross-Domain-Policies: Habilita a un cliente web a intercambiar datos entre dominios
• Referrer-Policy: Modifica la política de tratamiento del encabezado Referer
• Clear-Site-Data: Indica al navegador qué información debe eliminar al finalizar la navegación en el sitio.
• Cross-Origin-Embedder-Policy: Evita que se inserten recursos de origen cruzado en el documento
• Cross-Origin-Opener-Policy: Controla cómo se pueden abrir o acceder a recursos, entre diferentes orígenes o
dominios.
• Cross-Origin-Resource-Policy: Controla el acceso a recursos entre diferentes orígenes o dominios. Ayuda a
prevenir ataques de tipo CSRF.
• Cache-Control: Establece cómo y por cuánto tiempo se deben almacenar en caché los recursos descargados.
• Permissions Policy: Establece la política de acceso a las API y funciones del navegador que están disponibles
para una página web. Esto permite limitar el uso de, por ejemplo, la cámara web o el micrófono.

@marianoit
www.pwnedcon.com
@marianoit
Seguridad de la aplicación

@marianoit
Base de
datos
• En bases de datos estructuradas,
utilice consultas parametrizadas o
procedimientos almacenados.
(CWE-89, CWE-564)

@marianoit
@marianoit
CWE-89: Improper Neutralization of Special Elements used in an SQL
Command ('SQL Injection')

@marianoit
Archivos
• Verifique que la ruta del archivo a
utilizar se encuentre dentro de
una esperada (CWE-23, CWE-36)
• Valide que no se incluyan
caracteres especiales en el
nombre (CWE-22) ni en su
contenido (CWE-167, CWE-238)
• Verifique la firma del archivo en
vez de su extensión (CWE-646)
• Firme archivos transaccionales
para evitar que sean modificados

@marianoit
Llamadas al
sistema
operativo
• Neutralice los caracteres
especiales utilizados para separar
comandos del sistema operativo
(CWE-77, CWE-78) y de los
argumentos de ejecución (CWE-
88)

@marianoit
Entradas y
salidas
• Valide la información al inicio de
una función (CWE-457).
• Toda validación va del lado del
servidor (CWE-602).
• Verifique que la salida generada por
una función sea la esperada por el
código que la invoca (CWE-252).
• Sanee toda información recibida de
recursos externos, para asegurarse
de que un atacante no la haya
manipulado

@marianoit
Neutralización
de valores
Al manipular información, asegúrese de neutralizar los siguientes valores (CWE-76):
• El caracter Null (CWE-158, CWE-170)
• Los elementos especiales que forman parte de un lenguaje de marcado como XML
(CWE-643), HTML (CWE-79, CWE-80) o JSON.
• Los caracteres utilizados para delimitar valores (CWE-140, CWE-142, CWE-143, CWE-
146), secuencias de control o escape (CWE-150), saltos de línea (CWE-93, CWE-113,
CWE-144) o como comodines (CWE-155).
• Los elementos del lenguaje dinámico que pueden ser manipulados para cambiar el
normal funcionamiento del sistema (CWE-81, CWE-82, CWE-83, CWE-616)
• Los valores numéricos que son utilizados en índices (CWE-1285), cantidades
razonables (1284) o en expresiones matemáticas que puedan irse del rango admitido
para el tipo de dato destino (CWE-190, CWE-191).

@marianoit
Seguro por
defecto
• Todos los controllers deben requerir
autenticación, salvo que lo indiques
en forma explícita.
• Aplique filtrado a la base de datos de
manera global y dependiente del
usuario autenticado para evitar
exponer información sensible.
• Nunca confíe en los datos recibidos
ni en sus propias fuentes de
información, valide y sanee todo.

@marianoit
Conclusión
• No confíen en la información que
vean en la web.
• Cada vez que vean un ejemplo,
analicen el “qué pasaría si…”.
• Es mejor aprender a desarrollar
seguro desde junior y no de senior.
• Las buenas prácticas no son difíciles
de incorporar, pero ninguna web de
referencia lo hace.
• Revisen todo el código que entrega
la IA.

@marianoit
¡Muchas gracias!
marianomarino
marianoit

PwnedCon - Programación segura [Mariano Marino]

Más contenido relacionado

Similar a PwnedCon - Programación segura [Mariano Marino] (20)

Más de Websec México (20)

Último (6)

PwnedCon - Programación segura [Mariano Marino]