A6- Exposicin de datos

sensibles
EXPOSITOR: RICARDO DARO DEJO TORRES

Introduccin
Muchas aplicaciones web no protegen adecuadamente sus datos sensibles.
Tales como nmeros de tarjetas de crdito o credenciales de autenticacin.
Los atacantes pueden robar o modificar tales datos para llevar a cabo
fraudes, robos de identidad u otros delitos.
Los datos sensibles requieren de mtodos de proteccin adicional tales
como el cifrado de datos.
Se debe llevar precauciones especiales en un intercambio de datos con el
navegador.

Cmo prevenirlo
Asegurar de cifrar datos o en su defecto el trfico.
No muestra datos sensibles innecesariamente.
Asegurar los algoritmo de cifrados fuertes y vigentes. As como claves.
Adems de guardarlos en un lugar seguro.
Deshabilitar el autocompletar en los formularios que recolecten datos
sensibles. Adems de el cacheado de pginas que contengan datos en
claro.

Diagrama de ataque
Vector
de
ataque
Criminales
cibernticos.
Trabajador de
la empresa.

Robar clave
del usuario.
Hombre en el
medio.
Robar datos en
texto claro del
servidor.

Debilidad
de
Seguridad
Falta de
controles
criptogrficos.
No existen
otros controles
de Seguridad.

Impactos
tcnicos
Exposicin de
los datos en
texto claro.

Impacto
de
negocio
Dao a la
reputacin.
Afecta el
proceso del
negocio.
Continuidad
del negocio.

SSL (Https)
Es un protocolo criptogrfico que proporciona confidencialidad,
autenticidad e integridad en una comunicacin cliente/servidor. Los pasos
son los siguientes:

El cliente y el servidor negocian (criptografa). Se establece un handshake.

Una vez terminada la negociacin, la conexin segura es establecida.

Usando llaves preestablecidas, se codifica y decodifica todo lo que sea enviando

hasta que la conexin se cierre.

El nombre de la url no se transfiere en texto claro, a menos que se

enmascare.
Se utilizan los certificados digitales, entregados por agencias confiables.

SSL (Https)
Para cifrar los datos se necesita intercambiar un clave.
Para transferir la clave es necesario utilizar la Clave Pblica/Privada.
Cifrar y descifrar los datos enviados.

SSL (Https)
Es un protocolo criptogrfico que proporciona confidencialidad,
autenticidad e integridad en una comunicacin cliente/servidor. Los pasos
son los siguientes:

El cliente y el servidor negocian (criptografa). Se establece un handshake.

Una vez terminada la negociacin, la conexin segura es establecida.

Usando llaves preestablecidas, se codifica y decodifica todo lo que sea enviando

hasta que la conexin se cierre.

El nombre de la url no se transfiere en texto claro, a menos que se

enmascare.
Se utilizan los certificados digitales, entregados por agencias confiables.

SSL (Protocolo)

SSL (Protocolo)

Ejemplo de codificacin sin SSL

Ejemplo de codificacin con SSL

Gracias
.