VI Foro de seguridad RedIRIS

Descripción de los módulos


Evolución histórica de los servicios Web

En esta presentación se analizará la evolución de las tecnologías asociadas a la Web ,desde su aparición y popularización hasta nuestros días, desde el comienzo de los contenidos dinámicos hasta la llamada Web 2.0 y las últimas tendencias tecnológicas. Los cambios parecen frenéticos pero ¿Qué ha cambiado en la arquitectura subyacente a los servicios web? y ¿En que medida afectan todas estas evoluciones a la seguridad de los servicios y del usuario final?

Principales vulnerabilidades en aplicaciones Web

En esta presentación podremos ver las vulnerabilidades más comunes que presentan las aplicaciones web, se utilizará como base el "Top 10 de la OWASP" y la "Clasificación de Amenazas" del Web Application Security Consortium (WASC). Veremos ejemplos de las vulnerabilidades más explotadas como: SQL Injection, Blind SQL Injection, Cross Site Scripting (XSS), File Inclusion , Identificación de recursos previsibles, etc. Veremos cuales son los objetivos de estos ataques, como podemos prevenirlos y que herramientas podemos utilizar para verificar la seguridad de nuestras aplicaciones.

Malware, Malware y más Malware. Cómo me puedo proteger? "Dijo el cliente web"

En esta presentación se hablará sobre la evolución de los clientes Web, cuales són las principales vulnerabilidades y amenazas que permiten que estos sean usados cómo vector de infección para la proliferación del temido Malware, quién y con qué finalidad se aprovechan de ellas, y finalmente, técnicas, trucos y herramientas para la mejora de la seguridad en la parte cliente.

Seguridad en entornos Apache y PHP

Con la proliferación de los servicios web en los últimos años, nuevas amenazas han emergido atentando contra la seguridad de la información.
Como consecuencia, cada día se hace más patente la necesidad de aplicar políticas preventivas desde los inicios de la implantación de los sistemas. Desgraciadamente, un porcentaje elevado de administradores no adaptan las configuraciones por defecto de los servidores web tras su instalación.

En esta línea, la sesión se centrará en explorar las posibilidades que proporciona el servidor web Apache para mejorar la seguridad, centrándose especialmente en la configuración de éste. Al mismo tiempo, se analizarán diversos problemas relacionados con el lenguaje PHP, tanto desde la perspectiva del administrador de sistemas como del programador.

Quién se ha comido mi dato?

La protección basada en contenido se manifiesta claramente ineficaz como opción de defensa. La seguridad web, orientada a la conexión proporciona nuevos y sorprendentes vectores de agresión y hace que los administradores se planteen la paradoja de permitir cada vez más accesos, pero sin medios suficientes para defenderlos.

El dato es el "objetivo de la intrusión" y no la conquista del mecanismo de protección. El mercado de la seguridad evoluciona pero siempre un paso por detrás, dejando la iniciativa a los atacantes. Por ello, se hace necesario una parada para recapitular e intentar volver a tomar la iniciativa ante la oleada de nuevas amenazas y tendencias de ataque.

Restricción y evidencia en infraestructuras web 2.0

La definición e implantación de políticas, guías y procedimientos de codificación no supone la eliminación total de los nuevos riesgos de seguridad en el desarrollo de aplicaciones web 2.0.

Así en el proceso de gestión de estos riesgos es importante considerar las posibilidades de detección y prevención proporcionadas por la infraestructura de sistemas de información en la que se procede al despliegue de los desarrollos web 2.0. Estos elementos de infraestructura constituyen tanto posibles puntos de control, como de recolección de actividad.

OWASP y su aportación a la comunidad internacional. Seguridad en las relaciones de confianza

Los proyectos de la OWASP se han convertido en un estándar de facto en cuanto a seguridad en aplicaciones Web se refiere y sus directrices son aceptadas comúnmente (un ejemplo reciente es la exigencia por parte de PCI DSS de las buenas prácticas en el desarrollo ofrecidas por la OWASP).

Esta sesión tratará los objetivos perseguidos así como las aportaciones realizadas por OWASP a la comunidad internacional. Por otro lado, se abordarán los problemas de seguridad relacionados con la comunicación entre aplicaciones Web y otros componentes (bases de datos, servidores de autenticación, servidores de correo, etc.) así como recomendaciones y buenas prácticas para evitar o mitigar su impacto.

Protegiendo nuestros servicios web

Web Services Security (WS-SEC) nos proporciona un entorno de seguridad sobre mensajes SOAP permitiendo integridad, confidencialidad y autenticación de mensaje, en los cuales podemos utilizar diferentes modelos de seguridad y técnicas de cifrado. Esta especificación nos define un sistema general extensible para relacionar tokens de seguridad con mensajes SOAP. A través de los diferentes perfiles propuestos en WS-SEC, podemos utilizar tokens binarios (binary security token), aserciones SAML (SAML assertion) y tickets de kerberos, entre otros.
En esta ponencia se mostrará una visión completa del estándar Web Services Security deteniéndose en los perfiles más significativos.

Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario (UCLM)

Los entornos Web son uno de los objetivos principales en los ataques directos a organizaciones, así como uno de los medios de ataque más empleados hoy en día sobre dispositivos cliente.

Es necesario concienciar y formar a administradores de sistemas, redes y desarrolladores sobre el tipo de amenazas, ataques e incidentes de seguridad reales que existen actualmente sobre los entornos Web, así como profundizar en los mecanismos necesarios para protegerse frente a éstos, estableciendo un plan de acción para disponer de aplicaciones Web seguras.

Tomando como referencia la iniciativa de la Universidad de Castilla-La Mancha (UCLM), esta charla presenta una aproximación a la mejora de la seguridad en las aplicaciones Web, cubriendo tanto aspectos organizativos como técnicos.