Validación y pruebas de un control de seguridad para defacement en sitios web

Autores/as

  • Oscar Mondragón Sikkerdata SAS
  • Andrés Felipe Mera Arcos Sikkerdata SAS
  • Christian Urcuqui Universidad Icesi, Cali
  • Andrés Navarro Cadavid Universidad Icesi, Cali

DOI:

https://doi.org/10.18046/syt.v15i41.2442

Palabras clave:

Defacement, aplicación web, seguridad, vulnerabilidad, seguridad web, integridad.

Resumen

Los ataques cibernéticos a sitios web constantemente afectan la integridad y disponibilidad de la información, esto hace necesaria la implementación de salvaguardas capaces de mitigar o reducir a niveles aceptables los riesgos generados. Los incidentes informáticos producen impactos económicos y de reputación para diferentes organizaciones. Se ha identificado un aumento en los ataques informáticos en diferentes organizaciones, uno de ellos con impacto altamente reputacional, el ataque defacement, que consiste en la modificación no autorizada o alteración de los sitios web, lo cual afecta la integridad de la información. Este artículo presenta el desarrollo de un modelo para establecer un control de seguridad para realizar el confinamiento y reporte de este tipo de ataque, el cual actualmente se ha centrado en los sitios web de las entidades gubernamentales. El modelo de desarrollo permite el control en línea del ataque a sitios web mediante la lectura constante de ciertas partes del código fuente, lo que permite la detección y el mantenimiento de la integridad de la información.

Biografía del autor/a

  • Oscar Mondragón, Sikkerdata SAS

    Ingeniero en Electrónica y Telecomunicaciones de la Universidad del Cauca (Popayán, Colombia) y Máster en Informática y Telecomunicaciones de la Universidad Icesi (Cali, Colombia). Ha participado en dos proyectos del área de ciberseguridad implementados por el grupo de investigación i2t de la Universidad Icesi. Es socio fundador de Sikkerdata SAS empresa dedicada a la seguridad informática.

  • Andrés Felipe Mera Arcos, Sikkerdata SAS

    Ingeniero en Electrónica y Telecomunicaciones de la Universidad del Cauca (Popayán, Colombia) y Máster en Informática y Telecomunicaciones de la Universidad Icesi (Cali, Colombia). Ha participado en dos proyectos del área de ciberseguridad implementados por el grupo de investigación i2t de la Universidad Icesi. Es socio fundador de Sikkerdata SAS empresa dedicada a la seguridad informática.

  • Christian Urcuqui, Universidad Icesi, Cali

    Ingeniero de Sistemas con énfasis en Administración e Informática y Máster en Informática y  Telecomunicaciones de la Universidad Icesi (Cali-Colombia). Miembro del grupo de investigación en Informática y Telecomunicaciones [i2t] de la Universidad Icesi. Sus áreas de interés incluyen: inteligencia artificial, aprendizaje de máquina, y seguridad informática.

  • Andrés Navarro Cadavid, Universidad Icesi, Cali

    Profesor titular y Director del Grupo de Investigación en Informática y Telecomunicaciones (i2T) de la Universidad Icesi de Cali (Colombia). Es Ingeniero Electrónico y Magister en Gestión de la Tecnología de la Universidad Pontificia Bolivariana de Medellín (Colombia) y Doctor Ingeniero en Telecomunicaciones de la Universidad Politécnica de Valencia (España). Sus áreas de interés son: la gestión del espectro radioeléctrico, la radio-propagación y las soluciones móviles aplicadas a salud.

Referencias

Aman, H., Yamashita, A., Sasaki, T., & Kawahara, M. (2014, August). Multistage growth model for code change events in open source software development: An example using development of Nagios. In Software Engineering and Advanced Applications (SEAA), 2014 40th EUROMICRO
Conference on, (pp. 207-212). IEEE.

Bartoli, A., Davanzo, G., & Medvet, E. (2010). A framework for large-scale detection of Web site defacements. ACM Transactions on Internet Technology (TOIT), 10(3), Art. 10. doi:10.1145/1852096.1852098

Caswell, B., Beale, J., & Baker, A. (2007). Snort intrusion detection and prevention toolkit. Burlington, MA: Syngress.

Cerf, V. G. & Quaynor, N. (2014). The Internet of everyone. IEEE Internet Computing, 18(3), 96-96.

Dalai, A. K. & Jena, S. K. (2011). Evaluation of web application security risks and secure design patterns. In Proceedings of the 2011 International Conference on Communication, Computing & Security, (pp. 565-568). New York, NY: ACM.

Fujimura, N. & Mei, J. (2007). Implementation of file interpolation detection system. In Proceedings of the 35th annual ACM SIGUCCS fall conference, (pp. 118-121). New York, NY: ACM.

Gross, G. (2015, June). US Army website defaced, then brought down. Retrieved from: http://www.pcworld.com/article/2932936/us-army-website-defaced-then-brought-down.html

Harper, A., Harris, S., Ness, J., Eagle, C., Lenkey, G., & Williams, T. (2015). Gray hat hacking: The ethical hackers handbook. New York, NY: McGraw-Hill.

Howard, G. M., Gutierrez, C. N., Arshad, F. A., Bagchi, S., & Qi, Y. (2014, June). pSigene: Webcrawling to generalize SQL injection signatures. In Dependable Systems and Networks (DSN), 2014 44th Annual IEEE/IFIP International Conference on, (pp. 45-56). IEEE.

Jericho & Munge. (2000). Hard-core web defacement statistics trends and analysis [video]. Retrieved from: https://www.youtube.com/watch?v=7nrDoH4GZV0

Kim, G. H. & Spafford, E. H. (1994, November). The design and implementation of tripwire: A file system integrity checker. In: Proceedings of the 2nd ACM Conference on Computer and Communications Security, (pp. 18-29). New York, NY: ACM.

Kumar, M. (2015, May). Gaana.com hacked, 10 million user´s details exposed. Retrieved from: http://thehackernews.com/2015/05/gaanacom-hacked-10-million-users.html

Mohaisen, A. (2015, November). Towards automatic and lightweight detection and classification of malicious web contents. In Hot Topics in Web Systems and Technologies (HotWeb), 2015 Third IEEE Workshop on, (pp. 67-72). IEEE.

Roesch, M. (1999, November). Snort: Lightweight intrusion detection for networks. In LISA, 99(1), 229-238.

Stuttard, D. & Pinto, M. (2011). The web application hacker's handbook: Finding and exploiting security flaws. Indianapolis, IN: John Wiley & Sons.

Wei, W. (2015, November). Rise in website: Defacement attacks by hackers around the world. retrieved from: http://thehackernews.com/2013/11/rise-in-website-defacement-attacks-by.html

Zhong, Y., Asakura, H., Takakura, H., & Oshima, Y. (2015, July). Detecting malicious inputs of web application parameters using character class sequences. In Computer Software and Applications Conference (COMPSAC), 2015 IEEE 39th Annual, (Vol. 2, pp. 525-532). IEEE.

Zone-H [Web site]. Retrieved from: http://www.zone-h.org

Descargas

Publicado

2017-08-01

Número

Vol. 15 Núm. 41 (2017)

Sección

Investigación científica y tecnológica

Licencia

Esta publicación está licenciada bajo los términos de la licencia CC BY 4.0 (https://creativecommons.org/licenses/by/4.0/deed.es)