• Tweet

Por agilizar el proceso en la implementación de servicios Web, algunas compañías pueden estar exponiéndose a nuevos riesgos de seguridad que no son completamente entendidos, dijo un investigador de seguridad en la conferencia CanSEcWest/core06 en Vancouver el jueves.

Durante la presentación de la conferencia de Alex Stamos mostró como un número de tecnologías de servicios Web, incluyendo el asíncrono JavaScript + XML (AJAX) y el lenguaje de consultas XQuery podrían ser explotados por hackers para extraer información confidencial y ataques a sistemas.

Los servicios Web toman todas las expresiones usadas para describir una forma de cómputo distribuido que usa los estándares basados en XML para simplificar el trabajo de la programación del software. Una de las afirmaciones claves es que las aplicaciones de servicios Web son extremadamente portables y pueden fácilmente interactuar con diferentes tipos de software.

Mientras la capacidad de esta plataforma puede simplificar la programación, esta también puede crear un riesgo de seguridad para crear situaciones que no pueden ser anticipadas por los desarrolladores de software, dijo Stamos, un socio de Information Security Partners en San Francisco. Durante su presentación describió un ataque donde un usuario podría introducir código malicioso en formas Web y entonces obtener el código de ejecución para llamar al servicio al cliente de la compañía y engañar a representativos para ejecutar internamente la ejecución de este código malicioso.

Stamos también mostró como las peticiones de servicios Web podrían ser usadas para realizar un ataque de negación de servicio, tanto creando consultas XML maliciosas que usan una cantidad masiva de memoria o para bombardear aplicaciones de bases de datos con más peticiones de las que puedan manejar.

Las compañías que ofrecen aplicaciones Web han creado herramientas “mágicas” que escondan la complejidad y hagan muy fácil crear servicios Web. Desafortunadamente, estas herramientas también facilitan que los usuarios ignoren las implicaciones de seguridad que el software realizaría, comento Stamos. “Las personas que escriben servicios Web no necesariamente entienden como trabajan estas” dijo Stamos “Tenemos muchos clientes quienes manejan increíbles funcionalidades de ejecución que pueden atraerles problemas y precisamente se encuentran en Internet.

El mes pasado Symantec público su reporte semestral de Internet Security Threat, se debe observar el incremento que representan las aplicaciones Web como objetivo para los intrusos. De todas las vulnerabilidades reveladas en los últimos meses de 2005, cerca del 70% fue asociado con aplicaciones Web, dijo Symantec.

Esta tendencia concierne particularmente a pequeñas compañías que no tienen el presupuesto para probar la seguridad de su software. Pero Stamos cree que las compañías de aplicaciones Web pueden ayudar agregando capacidades de filtrado de entrada en sus productos para mejorar estos.

Investigadores de seguridad también pusieron mayor atención al tema, comento Stamos. “Nos gustaría más que se ponga mayor atención en la seguridad de los servicios Web”, dijo Stamos “La seguridad de las aplicaciones Web es el hijastro pelirrojo de la industria de seguridad”.