• Tweet

Hoy en LinuxWorld, el ingeniero en seguridad de SPI Dynamic, Matt Fisher, hablo acerca de las vulnerabilidades de Web 2.0; aunque no en forma diferente de sus colegas Billy Hoffman y Brian Sullivan la semana pasada en Black Hat,ofreció algunos ejemplos referentes a lo que los criminales están haciendo en línea, armando con un poco mas que un navegador de escritorio. Los ataques cross-site scriptingson la amenaza numero uno, de acuerdo a la organización Mitre, en parte porque son fáciles de hacer.

Particularmente, Fisher utilizó de ejemplo a sitios de relaciones sociales como myspace. Porque el sitio permite a los usuarios subir código HTML, y en la mayoría de los casos, cualquier código HTML. Sabiendo esto, Fisher dijo que alguien podría poner un código de script malicioso en un blog publicado en donde alguien pueda leerlo. ¿Que malo podría pasar con esto-, podría usted preguntarse. Fisher dijo que cuando alguien en un medio corporativo abre esto, el intruso puede ejecutar código dentro del perímetro corporativo, en la red interna.

Si el ataque parece demasiado pasivo. Fisher sugirió otro escenario. En este escenario un intruso agrega JavaScript malicioso en un help ticket de cliente. El help ticket es archivado dentro de la red corporativa. Cada vez que un técnico de soporte a clientes abra el help ticket, el código infectara la computadora de quien lo abre, y potencialmente, a la red corporativa.

En el caso de las vulnerabilidades del sistema operativo, pueden solucionarse con un parche, los ataques cross-site scripting no son genéricos; son específicos para la aplicación Web. La clave para mitigar esos ataques es limitar a los usuarios finales sobre que pueden y que que no pueden hacer en el sitio. Que suena simple, pero los sitios nuevos Web 2.0 no comprueban si hay algo en común, incluso en los viejos métodos de ataque.