La seguridad de aplicaciones llega a cloud computing

13 Abr 2009 en Seguridad

Dos compañías que desarrollan herramientas para el aseguramiento de la seguridad en el desarrollo de aplicaciones, Cenzic y Fortify Software, lanzaron la semana pasada sus respectivas versiones on-demand. Con las nuevas soluciones, los desarrolladores pueden detectar código vulnerable antes de ponerlo en producción y también realizar pruebas de penetración.
Nuevas amenazas como Clickjacking y otras vulnerabilidades conocidas, como overflow de buffers, siguen apareciendo en el código de aplicaciones.
Según el VP de Fortify, Barmak Meftah, “ahora hay que dar seguridad a aplicaciones de diversas fuentes, transmitiendo diversos datos, con numerosas reglas de compliance y con una comunidad de hackers muy activa. La seguridad de aplicaciones requiere de programas amplios y de una administración efectiva.”
Fortify liberó su Fortify 360 versión 2. Es una importante actualización de su Application Vulnerability Analysis Suite. Esta solución utiliza un servicio on demand para detectar y remediar vulnerabilidades en softwares de terceras partes. Se trata de Fortify Vendor Security Management, que utiliza una fuente estadística y capacidades de análisis binario presentes en Fortify 360 y en su Collaboration Module.
Los ISV y los integradores de sistemas podrían analizar, definir y corregir vulnerabilidades para mejorar la seguridad del software.
En la nueva versión de Fortify 360 se mejoró la capacidad de comprensión de anotaciones Java y detección de anomalías en SQL más allá de las del tipo SQL Injection.
Por su parte, Cenzic realiza pruebas dinámicas de run-times (prueba de penetración), técnica que se complementa con el análisis estadístico.
Cenzic liberó su versión 5.9 de ClickToSecure, herramienta de test de seguridad ofrecida en modalidad SaaS y capaz de detectar vulnerabilidades de Clickjacking.
En Clickjacking, el atacante esconde un frame que le permite recoger los clicks del usuario con sus consiguientes riesgos. Esta clase de vulnerabilidad se evita en Internet Explorer 8 usando la declaración X-Frame-Options, que evita que el contenido de un sitio sea copiado a un frame.
Cenzic también evita “frame-injections.” En Clickjacking se reemplaza una sección de la página Web con un frame del atacante, mientras que en frame-injection, se lo esconde. Cenzic también detecta hijacking JavaScript, similar a CSRF pero más aplicable a sitios Web específicos Ajax. Si la aplicación es vulnerable, el atacante puede forzar a que el browser, después de un log-in envíe un requerimiento Ajax pre auntenticado, forzando a ese browser a una acción hostil.