Crece la vulnerabilidad de las aplicaciones Web

2 Ago 2007 en Seguridad

El congreso de seguridad Black Hat que se lleva a cabo en Las Vegas es un crisol de novedades, como ocurre cada año desde que sus inicios que fueron en forma de una convención de hackers.
“En las empresas tienen que despertar y darse cuenta de que están siendo hackeadas a través de sus aplicaciones Web. El crecimiento de las vulnerabilidades es sólo un síntoma y nos queda mucho por hacer en la protección de la infraestructura en lo que hace aplicaciones Web. Mejor que nos movamos ahora o nunca estaremos a tiro,” dijo Mandeep Khera, VP de la firma de análisis de seguridad Cenzic.
El estudio realizado por Cenzic encontró 1484 vulnerabilidades publicadas durante el segundo trimestre de este año. Un 72% de las mismas se detectó en tecnologías Web, un 7% de aumento respecto al anterior trimestre. El grueso de ellas era de “fácil explotación.”
El estudio analiza vulnerabilidades en PHP y Apache HTTP Web Server, todas ellas publicadas y no detectadas por la propia Cenzic. En el caso de PHP y Apache, las vulnerabilidades fueron corregidas con patches, pero Khera se preguntó ¿Cuántas empresas aplicaron esos patches? ¿Quiénes los han probado y certificado?
“Hemos detectado vulnerabilidades en productos Oracle y Yahoo, pero no las damos a conocer porque seguimos una política responsable. Le informamos a los proveedores y les damos un plazo de 45 días para corregir la vulnerabilidad y para que la den a conocer a sus clientes antes de que nosotros informemos al público,” agrega Khera.
Khera criticó tanto a los llamado hackers éticos como a las firmas de seguridad que llegan a lanzar ataques sobre sitios Web para probar que existe vulnerabilidad. “Luego publican que han encontrado problemas de seguridad. Es un comportamiento irresponsable y también ilegal porque atacan sin autorización,” dijo. Además, la publicación notifica a otros potenciales atacantes y les abre camino para sus fines más destructivos.
El informe de Cenzic prevé que los ataques a las aplicaciones Web sigan creciendo. Khera espera que las regulaciones sobre seguridad empresarial y las políticas de publicación forzarán a que las empresas hagan públicos más ataques que hasta el presente.
Las principales formas de ataque son a las vulnerabilidades XSS (Cross Site Scripting), Cross-Site Request Forgery y Session Management. Según el informe de Cenzic, el 60% de las aplicaciones Web son vulnerables a XSS. Sólo un 20% lo son a los ataques tipo SQL injection.
Finalmente, Khera destacó que la mayoría de los desarrolladores no tiene presente a XSS en la codificación por razones de tiempo. “Lo positivo es que la conciencia sobre el tema crece rápidamente y las empresas comenzarán a usar alguna clase de solución para probar sus aplicaciones,” concluyó.