Seguridad
Página 8
-
Líderes de ingeniería: la seguridad también es vuestra responsabilidad
Sean Leach
El auge de DevOps seguro ha hecho que muchos profesionales de la seguridad tengan que luchar por ganarse la atención y el apoyo de sus compañeros ingenieros. ¿Qué pueden hacer los líderes de ingeniería para garantizar que haya una estrecha colaboración? Te presentamos cuatro ideas para integrar la seguridad en tu cultura, flujos de trabajo y objetivos de DevOps.
Cultura+ 3 más -
Tres ventajas de la CDN para las startups
Simon Wistow
Una CDN moderna puede ayudar a mejorar el posicionamiento en buscadores, facilitar la distribución de contenido personalizado y proteger tus sitios y aplicaciones. Tres factores clave en el éxito de cualquier startup.
Rendimiento+ 2 más -
Las nuevas reglas de seguridad para aplicaciones web y API
Sean Leach
Casi todo lo que sabemos sobre el diseño de aplicaciones web y API ha cambiado en las últimas décadas. ¿Y por qué no ha cambiado la seguridad? Creemos que ya es hora de adoptar un nuevo enfoque de seguridad para aplicaciones web y API más acorde al modo en que se diseñan las aplicaciones y a la manera de trabajar de los equipos.
DevOpsSeguridad -
Entrega incorrecta de registro parcial
Equipo de Security Research de Fastly, El equipo de Security Technical Account Management de Fastly
El 29 de julio a las 00:00 UTC, Fastly recibió un mensaje de un cliente (cliente X) en el que se informaba de que su sistema de registros había recibido una línea de registro que estaba destinada a otro cliente (cliente Y). Fastly empezó a investigar inmediatamente y determinó que, cuando confluyen una serie compleja de condiciones, es posible que una línea de registro se enrute por error a un servicio de registro que no corresponde. Logramos averiguar que la raíz del incidente era un error en la lógica que Fastly había introducido en abril de 2012 para mejorar el rendimiento. En Fastly nos consta que la notificación de este cliente ha sido el único caso en ocho años en que se han dado a la vez todas las condiciones necesarias.
Seguridad -
Seguridad a escala: Fastly anuncia su intención de adquirir Signal Sciences, la solución de protección de API y aplicaciones web
Joshua Bixby
La seguridad forma parte del ADN de Fastly y se pone de manifiesto en los productos y en nuestra visión de confianza y protección como plataforma moderna. Hoy nos complace comunicar nuestra intención de adquirir Signal Sciences.
Noticias de la empresaSeguridad -
Advertencia de seguridad de Fastly: Vulnerabilidad por envenenamiento de caché que aprovecha el encabezado X-Forwarded-Host
Equipo de Security Research de Fastly, El equipo de Security Technical Account Management de Fastly
Fastly recibió una notificación del problema el 21 de mayo de 2020 a las 13:30 UTC e, inmediatamente, abrió una investigación para identificar los servidores de origen que respondieron con un número de puerto de prueba en la respuesta de redireccionamiento, con el fin de entender la vulnerabilidad e identificar posibles soluciones. Concluida la investigación, Fastly notificó los hechos por primera vez el 15 de julio de 2020 a las 04:30 UTC a los clientes potencialmente afectados. La vulnerabilidad es una variante de una vulnerabilidad [previamente comunicada](/security-advisories/cache-poisoning-leveraging-various-x-headers) y, en última instancia, es el resultado de diseñar respuestas de origen almacenables en caché basadas en datos definidos por el usuario. El problema se produce cuando un atacante emite una petición HTTPS y especifica en el encabezado Host un número de puerto que no se está utilizando realmente para ningún servicio. Existe la posibilidad de almacenar en caché un recurso de tal manera que se impida que futuras peticiones se atiendan de forma adecuada.
Seguridad -
Enrutamiento de servicio incorrecto en conexiones de cliente HTTP/2
Equipo de Security Research de Fastly, El equipo de Security Technical Account Management de Fastly
El 11 de noviembre de 2019, a las 21:57 UTC, Fastly desplegó una nueva compilación de su software de terminación HTTP/2 en dos servidores de caché de Fastly del centro de datos de Mineápolis-St. Paul (STP). Esta compilación contenía un fallo de procesamiento que implicaba la reutilización de la conexión entre sistemas internos de Fastly (no relacionada con la multiplexación de HTTP/2) y provocaba que algunas peticiones entrantes de HTTP/2 destinadas a servicios de los clientes de Fastly pudieran enrutarse por error a un grupo de hasta 20 servicios y orígenes de clientes de Fastly. Esto daba lugar a que algunos datos de peticiones de cliente se entregaran a un origen de cliente incorrecto, con el consiguiente envío de respuesta por parte de este. Es posible que los clientes cuyos orígenes recibían estas peticiones por error registraran los datos de las solicitudes incorrectamente enrutadas. Fastly recibió por primera vez notificación de este incidente por parte de un cliente el 12 de noviembre de 2019 a las 23:07 UTC. El 13 de noviembre de 2019, a las 00:50 UTC, todo el tráfico de clientes se desvió del centro de datos afectado. Fastly comenzó inmediatamente una investigación, y el 14 de noviembre de 2019, a las 00:31 UTC, confirmamos la presencia de datos de peticiones incorrectamente enrutadas en los registros de un cliente. Calculamos que el fallo afectó al 0,00016 % de nuestro tráfico global de peticiones durante un periodo de 27 horas. Es poco probable que las peticiones de cliente afectadas procedieran de fuera de Norteamérica. Como Fastly no almacena datos de registro de los clientes, no podemos asegurar con certeza si una petición afectada en concreto se enrutó incorrectamente.
Seguridad -
Envenenamiento de caché mediante diversos encabezados de tipo X
Equipo de Security Research de Fastly, El equipo de Security Technical Account Management de Fastly
El jueves 9 de agosto se publicó en Black Hat USA 2018 un artículo de investigación sobre ataques de envenenamiento de caché contra sitios web desplegados detrás de la infraestructura de almacenamiento en caché. Estos ataques tenían como objetivo potencial inyectar contenido arbitrario en la caché de la víctima. Ciertas configuraciones de los servicios de Fastly pueden resultar vulnerables si no tienen en cuenta la interacción entre los encabezados utilizados por los backends para seleccionar contenido. Este riesgo se puede mitigar por completo a través de un parche de VCL o mediante la modificación de las configuraciones de los backends.
Seguridad -
Linux カーネルの TCP 実装における脆弱性
Equipo de Security Research de Fastly, El equipo de Security Technical Account Management de Fastly
El 6 de agosto de 2018, se hizo pública una vulnerabilidad en la implementación de TCP del kernel de Linux. La vulnerabilidad se denominó «SegmentSmack». Esta vulnerabilidad permitía a un atacante remoto provocar un ataque de denegación de servicio en el servidor de destino simplemente estableciendo una conexión TCP al servidor y enviando segmentos específicos a través de la conexión. Fastly viene trabajando con el mundo de la seguridad desde antes de la publicación de esta vulnerabilidad, para abordar cómo atajarla en nuestras redes del borde. No representa ninguna amenaza para los clientes de Fastly.
Seguridad -
Cómo construir el sistema de test WAF
Christian Peron
Para ayudar a nuestros clientes a proteger la seguridad de sus sitios y aplicaciones —sin dejar de ofrecer a sus usuarios experiencias fiables online— hemos construido un cortafuegos de aplicaciones web (WAF) integral y muy fácil de configurar. Para ofrecer una solución integral que proteja realmente tu infraestructura es esencial someter continuamente a prueba esa solución. En esta entrada, explicaremos cómo garantizamos la calidad en la implementación de WAF a nuestros clientes, sometiéndola continuamente a prueba utilizando nuestro testing framework o marco para pruebas WAF (FTW, por sus siglas en inglés), y profundizaremos en los hallazgos y contribuciones realizados en la comunidad OWASP CRS con FTW.
Seguridad+ 2 más -
Cómo mitigar un ataque DDoS y cómo protegerse para evitarlo
Jose Nazario, PhD, Ryan Landry
En la primera parte de esta serie echamos un vistazo al panorama cambiante de los DDoS (ataques de denegación de servicio). Queremos ofrecer una idea de la situación en términos de dimensiones y tipología de los ataques, y ayudarte a tomar decisiones mejor informadas para proteger tu infraestructura. En esta entrada compartiremos nuestra visión interna sobre la forma en que protegemos a nuestros clientes, las lecciones que hemos aprendido con los DDoS reales y presentaremos nuestra lista de verificación recomendada sobre cómo mitigar un ataque DDoS.
SeguridadIngeniería -
Vulnerabilidad en procesadores modernos
Equipo de Security Research de Fastly, El equipo de Security Technical Account Management de Fastly
El miércoles 3 de enero se publicó una investigación sobre una clase de vulnerabilidades de seguridad que afecta a procesadores específicos. Estas vulnerabilidades podrían permitir que un usuario capaz de ejecutar código en un sistema obtenga acceso no autorizado a información vulnerando los límites de seguridad. Fastly ha completado el análisis inicial de estas vulnerabilidades y no cree que supongan una amenaza inmediata para los clientes de Fastly.
Seguridad -
Cómo lanzar pruebas continuas de fuzzing autoservicio
Jonathan Foote
OSS-Fuzz es un proyecto innovador que supone un avance en la ya puntera ingeniería de seguridad OSS y que mejora la calidad general del software que presta servicio a Internet. En esta publicación explicaré cómo utilizar los componentes de código abierto de google/oss-fuzz para lanzar pruebas de fuzzing autoservicio continuas para software público y privado utilizando h2o, el proxy HTTP/2 de Fastly, como ejemplo de ejecución.
Seguridad -
Resuelta: vulnerabilidad de la confidencialidad directa de Fastly
Equipo de Security Research de Fastly, El equipo de Security Technical Account Management de Fastly
El lunes 14 de noviembre de 2016, varios investigadores de seguridad publicaron un artículo titulado «Measuring the Security Harm of TLS Crypto Shortcuts» (Medición de los perjuicios que ocasionan en la seguridad los atajos del cifrado TLS). Entre otras conclusiones de la implementación de TLS en varios sitios, el artículo constataba que Fastly no estaba rotando vales de sesión TLS con frecuencia, lo que limitaba la eficacia de la confidencialidad directa. Aunque los investigadores no se pusieron en contacto directo con Fastly, el problema se había puesto en conocimiento de Fastly con anterioridad, y esta vulnerabilidad se abordó el viernes 11 de noviembre. No se requiere ninguna acción por parte del cliente para beneficiarse de la corrección.
Seguridad -
Interrupción generalizada del DNS de Dyn con impacto en clientes de Fastly
Equipo de Security Research de Fastly, El equipo de Security Technical Account Management de Fastly
El 21 de octubre de 2016, Dyn, un destacado proveedor de DNS administrado, sufrió un ataque de denegación de servicio distribuido que se tradujo en interrupciones que afectaron a varios sitios web importantes, incluida la infraestructura de Fastly (como el panel de control y la API) y clientes de Fastly. Fastly trabajó con nuestros proveedores adicionales de DNS administrado para garantizar el servicio durante el incidente, lo cual mitigó el impacto a los clientes de Fastly.
Seguridad -
Errores de revocación de certificados TLS de GlobalSign
Equipo de Security Research de Fastly, El equipo de Security Technical Account Management de Fastly
El 13 de octubre de 2016, alrededor de las 11:10 GMT, los visitantes de sitios web que utilizaban certificados TLS de GlobalSign, incluidos algunos alojados por Fastly, comenzaron a encontrarse con errores de validación de certificados TLS. Este problema lo causó información incorrecta de revocación de certificados publicada por nuestro proveedor de certificados, GlobalSign. En esta advertencia de seguridad se describe el origen de este problema y las acciones que Fastly ha tomado para limitar su impacto en los clientes.
Seguridad -
Dotación de medidas de seguridad a TLS en la conexión edge a origen
Equipo de Security Research de Fastly, El equipo de Security Technical Account Management de Fastly
Fastly ha solucionado un problema en la configuración predeterminada de nuestra seguridad de la capa de transporte (TLS) que impedía la correcta validación de certificados al establecerse conexión con los servidores de origen del cliente. Los servicios creados después del 6 de septiembre de 2015 no se vieron afectados. Esta advertencia describe el problema para informar a nuestros clientes de su posible vulnerabilidad, la solución que hemos desarrollado y las mejoras adicionales que vamos a implantar. A esta vulnerabilidad se le ha asignado la clasificación de gravedad de seguridad de Fastly ALTA.
Seguridad -
CVE-2015-7547: Desbordamiento del búfer en glibc
Equipo de Security Research de Fastly, El equipo de Security Technical Account Management de Fastly
El martes 16 de febrero se publicó un informe de investigación acerca de una nueva vulnerabilidad de la biblioteca glibc, biblioteca estándar de C. La vulnerabilidad residía en el código utilizado para convertir los nombres de host en direcciones IP. Los procesos que lo utilizan son muy comunes entre los proveedores de servicios de red, como las CDN. Fastly implementó inmediatamente una actualización de seguridad en los sistemas afectados. No hace falta ninguna acción por parte del cliente. El servicio de Fastly no se vio afectado.
Seguridad -
Cómo realizar pruebas de fuzzing a un servidor con American Fuzzy Lop
Jonathan Foote
En esta entrada de blog, voy a explicar cómo utilizar el modo persistente experimental de American Fuzzy Lop (AFL) para abrir las puertas de un servidor sin tener que hacer modificaciones significativas en su código base. He utilizado esta técnica en Fastly para ampliar la realización de pruebas en algunos de los servidores de los que dependemos y en otros con los que estamos experimentando.
Seguridad -
FREAK no afecta a los servicios de Fastly
Daniel McCarney
Fastly no es vulnerable a Logjam. Solo ofrecemos la variante de curva elíptica del intercambio de claves Diffie-Hellman (ECDHE), que es más segura, mientras que el mecanismo de intercambio de claves RSA lo reservamos para clientes que no admiten ECDHE. Dado que Fastly no ofrece opciones de conjuntos de cifrado de grado de exportación, ni tampoco el mecanismo de intercambio de claves Diffie-Hellman, nuestros servicios no se ven afectados.
Seguridad