Presentación del Capítulo español del (ISC)2

Ayer, día 22 de abril, tuvo lugar la presentación del capítulo español del (ISC)2 en el aula magna  de la Escuela Técnica Superior de Ingenieros de Telecomunicación de la Universidad Politécnica de Madrid, donde los miembros de la junta explicaron el contenido del capítulo y las diferentes acciones y eventos que se van a acometer por parte del capítulo.

Para quien no lo sepa todavía, la misión del Capítulo es promover el interés en el área de Seguridad de la Información y  apoyar la misión del (ISC)2.

En la presentación, se contó con una mesa redonda sobre ciberseguidad donde participaron Pablo Santamaría del BBVA, Enrique Aristi del Grupo UCI, el Teniente Coronel Ángel Gómez de Ágreda del Ejército del Aire y el Comandante Javier Bermejo del Ejército de Tierra.

Referencias

http://www.isc2chapter-spain.com
https://twitter.com/isc2spain
http://www.linkedin.com/groups/ISC-2-Spain-Chapter


Autor: Alberto Martín de los Santos

¿Quién es quién en la protección de datos de carácter personal en la Unión Europea?

La Agencia Española de Protección de Datos (AEPD) es la autoridad de control independiente que vela por el cumplimiento de la normativa sobre protección de datos y garantiza y tutela el derecho fundamental a la protección de datos de carácter personal.

A través de su web www.agpd.es podemos encontrar toda la información regulatoria aplicable en nuestro país, pero ¿quién regula la protección de datos en nuestro entorno?.

Si quieres conocer quiénes son las  Autoridades en materia de Protección de Datos de Carácter Personal en los Países Miembros de la Unión Europea te proporcionamos las webs donde puedes localizarlos y ver las diferentes normativas:
Alemania www.bfdi.bund.de
Austria www.dsk.gv.at
Bélgica www.privacycommission.be
Bulgaria www.cpdp.bg
Chipre www.dataprotection.gov.cy
Dinamarca www.datatilsynet.dk
Eslovaquia www.dataprotection.gov.sk
Eslovenia www.ip-rs.si
España www.agpd.es
Estonia www.eesti.ee
Finlandia www.tietosuoja.fi
Francia www.cnil.fr
Grecia www.dpa.gr
Holanda www.cbpweb.nl
Hungría www.ajbh.hu
Irlanda www.dataprotection.ie
Italia www.garanteprivacy.it
Letonia www.dvi.gov.lv
Lituania www.ada.lt
Luxemburgo www.cnpd.public.lu
Malta http://idpc.gov.mt
Portugal www.cnpd.pt
Polonia www.giodo.gov.pl
Reino Unido http://ico.org.uk
República Checa www.uoou.cz
Rumanía www.dataprotection.ro
Suecia www.datainspektionen.se


Autor: María del Carmen Areces
Departamento Comercial

Problemas de ayer en aplicaciones de hoy

Sorprende ver como las aplicaciones más actuales siguen sufriendo vulnerabilidades clásicas. Más aún cuando estas aplicaciones son desarrolladas por grandes corporaciones en las que el presupuesto disponible es un problema menor y su negocio reside en su presencia en Internet y el valor que ofrecen a sus usuarios.
Recientemente, varios miembros del equipo de Auditoría hemos publicado vulnerabilidades que afectan a LinkedIn (1), la red social para profesionales que en la actualidad cuenta con más de 200 millones de usuarios. Cabe recordar que, hasta finales de 2012, LinkedIn no disponía de la figura de un CISO, y que dicha figura fue creada a raíz de que varios millones de cuentas de usuario en LinkedIn fueran comprometidas como reconocía la propia red de contactos (2). Muchos blogs se hicieron eco de este hecho, preguntándose como era posible que una compañía de tecnología digital online no dispusiera de un CSO o CISO.

En este caso, se han reportado vulnerabilidades de tipo XSS (3) y CSRF (4), aunque nuestro equipo ha descubierto otras múltiples vulnerabilidades que, a día de hoy, seguimos gestionando su corrección con LinkedIn. Los problemas reportados son ampliamente conocidos y llevan con nosotros los años suficientes como para comprender sus riesgos y las medidas a adoptar para evitarlos. Aún así, se trata de problemas muy comunes en aplicaciones web y así queda reflejado al encontrar estas vulnerabilidades, año tras año, en el Top 10 de OWASP (5).

La vulnerabilidad de tipo CSRF fue corregida por LinkedIn a las 48h de su notificación, lo que revela la predisposición y nivel de compromiso de este equipo respecto la seguridad. La explotación de esta vulnerabilidad, que afectaba a la funcionalidad de envío de invitaciones, permitía incorporar contactos a nuestra red sin el consentimiento por parte de los afectados. Aprovechando, por ejemplo, los propios recursos que ofrece LinkedIn, un usuario malicioso podría explotar de forma masiva esta vulnerabilidad para incorporar, potencialmente, miles de usuarios a su red de contactos sin la aprobación de los mismos.

Todo ello gracias a que la información para autenticar al usuario se encontraba única y exclusivamente en la cookie de sesión que, como todos sabemos, transmite el navegador de forma automática y transparente para el usuario cada vez que se accede al dominio en cuestión. Por lo tanto, resultaba trivial el hecho de forzar un petición autenticada por parte de otros usuarios (por ejemplo, a través de un simple tag IMG cuyo atributo SRC apunte al recurso vulnerable se genera una petición GET que transmitirá la cookie de sesión). A pesar de que la petición de envío de invitaciones transmitía un parámetro "csrfToken", precisamente para ofrecer protección contra este tipo de ataques, la aplicación no validaba el valor de dicho token por lo que podía ser, incluso, eliminado de la petición sin que la operativa se viera afectada.

Por otro lado, se identificaron múltiples recursos vulnerables a XSS en el dominio "investors.linkedin.com". La inyección de código se podía realizar a través de la cabecera HTTP "User-Agent" y, dado que esta aplicación comparte la cookie de sesión con la aplicación de contactos, podía ser explotada con el fin de obtener el ID de sesión ("JSESSIONID") de otros usuarios. Este hecho sumado a que el token de protección contra CSRF (recordemos, parámetro "csrfToken") contiene el mismo valor que el ID de sesión, permitía suplantar la identidad de otros usuarios y realizar cualquier operativa en su nombre. Además, con el agravante de que la sesión de los usuarios de LinkedIn expira en 1 año y no se destruye al cerrar la sesión, con lo que alguien que quisiera sacar provecho de esta vulnerabilidad dispondría de 1 año para suplantar a los usuarios.

En definitiva, problemas clásicos y de trivial explotación pero de gran impacto para los usuarios.

Referencias:

(1) LinkedIn (2) LinkedIn member passwords compromised
(3) Multiple Reflected XSS vulnerabilities in LinkedIn Investors
(4) CSRF vulnerability in LinkedIn
(5) OWASP Top 10 Project

Autor: Vicente Aguilera - CISA, CISSP, CSSLP, ITILF, CEH, ECSP, OPST/A, OWASP Spain Chapter Leader
Departamento de Auditoría