A5 Configuración de seguridad

incorrecta
Security Misconfiguration
Jesús Grajeda
Alan Rocha
Pablo Beltrán
Introducción
Uno de los ataques más comunes y también más evitables es la
configuración deficiente de los sistemas. Está al alcance de todos
prevenir esta amenaza, y en consecuencia evitar muchas otras
que vienen en la lista.

La debilidad posicionada en el lugar A5 del top 10 de los riesgos

más críticos según la owasp de 2013 y A6 en el mismo ranking
pero de 2017.
Introducción
Según OWASP Top 10 - 2017 Los diez riesgos más críticos
La configuración de seguridad incorrecta es un problema muy común y se
debe en parte a establecer la configuración de forma manual, ad hoc o
por omisión.
Errores comunes
Por ejemplo:
● S3 buckets abiertos (accesos a memoria)
● Cabeceras HTTP mal configuradas
● Mensajes de error con contenido sensible
● Falta de parches y actualizaciones,
● Frameworks
● Componentes desactualizados

Además si lo pensamos bien, el tener una mala configuración de

seguridad muchas veces da la oportunidad de que muchas otras
amenazas de la lista puedan suceder.
Funcionamiento
● Fácilmente Explotable
● Utiliza medios bastante obvios para atacar
○ Vulnerabilidades sin parchear
○ cuentas por defecto
○ Páginas no utilizadas
○ archivos y directorios desprotegidos.
● Ocurre en cualquier stack tecnológico
○ Servicios de red
○ Servidor
○ Base de datos
○ frameworks
○ código
¿Soy vulnerable a la mala configuración?
● Tiene programas desactualizados?
● Tiene habilitadas funciones innecesarias?
● Están las cuentas predeterminadas y sus contraseñas habilitadas sin
cambios?
● Tu manejo de errores revela pilas de errores demasiado informativas para el
usuario?
● No tienes un proceso de configuración de la aplicación concreto?
Cómo prevenir la mala configuración de
seguridad?
● Hacer Hardening (Endurecimiento) de forma constante y automatizarlo en
entorno de desarrollo, control de versión, producción todos deben tener
contraseñas diferentes.
● Mantenerse al tanto de las actualizaciones. Y actualizar constantemente.
● Una buena arquitectura de software que proporcione una separación efectiva
y segura entre componentes. (alta cohesividad y bajo acoplamiento)
● Hacer escaneos y auditorías periódicamente
Pérdidas Causadas
- Hackers secuestran el sistema en la nube de Tesla’s para minar
criptomonedas.
- Un ciberataque de ransomware a la red de computación de Atlanta causó
interrupciones generalizadas de los programas administrados por la ciudad.
- Facebook reveló que los datos de 50 millones de cuentas han quedado al
descubierto y a merced de los hackers tras un ataque informático.
PERSONAS SANCIONADAS
-Esta es la historia de Kane Gamble, un joven británico de apenas 16 años que
estaba muy interesado en la informática. Cracka es el nombre con el que Gamble
quiere ser reconocido. Kane Gamble, de 18 años actualmente, tendrá que
permanecer arrestado durante dos años en un centro para jóvenes.

-Ningún otro caso en toda la historia del malware tuvo el mismo alcance que el
gusano Morris.fue declarado culpable de violar la Ley de Fraude y Abuso de
Computadoras de 1986, la primera condena de este tipo.
Mala configuración del firewall
Usuarios por defecto