Llegamos a ustedes gracias a:



Noticias

Reporte muestra que los esfuerzos en seguridad de aplicaciones web no bastan

[12/11/2009] El número de fallas de seguridad que se han encontrado en las aplicaciones web continúan creciendo y probablemente dominen la agenda de seguridad en los siguientes años, de acuerdo a un reporte del proveedor de seguridad de aplicaciones Cenzic Inc.

Casi el 80% o más de tres mil fallas de seguridad en el software públicamente reportadas en lo que va del año se han presentado en tecnologías web como los servidores, aplicaciones, plugins y navegadores. Esa cifra es cerca de un 10% mayor que el número de fallas reportadas en el mismo periodo del año pasado, y nueva de cada 10 fallas fueron encontradas en código comercial.
Números similares han sido reportados por otros. Un reporte de tendencias de medio año y de riesgos lanzado por IBM, mostraba que las amenazas a las aplicaciones web se han convertido en la fuente número uno de problemas de seguridad para las empresas. Los ataques que apuntan a estas fallas se han incrementado pronunciadamente, en algunos casos duplicándose en menos de un año.
Los números sugieren que los proveedores y los propietarios de aplicaciones web necesitan abordar los temas de seguridad en las aplicaciones, señaló el CTO de Cenzic, Lars Ewe. Aún nos encontramos varados en la misma situación en la que hemos estado por mucho tiempo, indicó.
El tipo de fuerza significativa que la industria uso al tratar con las vulnerabilidades del software relacionado con la red y el perímetro se ha perdido cuando se trabajó con la seguridad de las aplicaciones, señaló. Esto va a ser un proceso prolongado.
Las fallas de seguridad en la capa de aplicaciones web pueden permitir a los atacantes robas datos, plantar código malicioso, o abrirse paso hacia otros sistemas internos. Algunas de las vulnerabilidades más comunes incluyen la inyección de SQL y fallas en el scripting entre sitios y errores de autorización y autenticación. El robo masivo de datos en Heartland Payment Systems y varios retailers recientemente se produjeron debido a errores de inyección de SQL, que permitió a los intrusos insertar código malicioso en las redes de sus empresas.
Aunque los riesgos a la seguridad planteados por estas vulnerabilidades han sido bien entendidos por años, un gran y creciente número de compañías continúan expuestos a ellas.
Al menos parte del crecimiento en las vulnerabilidades se encuentra ligado al creciente número de aplicaciones web y sitios web que aparecen todos los años, señaló Chenxi Wang, investigador de Forrester Research en Cambridge, Massachusetts.
Sin embargo, también siguen siendo un problema el software para web con bugs y los descuidados procesos de desarrollo in-house.
Un 90% de las vulnerabilidades analizadas por Cenzic para este reporte, que fue lanzado ayer, se produjeron en software comercial ya vendido tanto de proveedores pequeños como grandes.
Muchas de ellas parecen ser el resultado de un continuo énfasis en el time-to-market a expensas del uso de prácticas seguras, indicó Ewe. Las organizaciones de ingeniería están siendo medidas por la velocidad con la que responden a las presiones del mercado pero no a cuán seguros pueden ser los sistemas que construyen, señaló.
Los mismos factores han hecho de la seguridad un tema a posteriori en la mayoría de las aplicaciones web desarrolladas, señaló. El análisis de Cenzic encontró muchas vulnerabilidades en productos propietarios que fueron entregadas en outsourcing a firmas en India, China, Rusia y otros países.
Al problema se añade la creciente complejidad de los ambientes de aplicaciones web, especialmente tomando en cuenta que la mayoría de ellas están diseñadas para recibir y procesar input de fuentes externas, tales como los clientes y los socios de negocios. Grandes aplicaciones web pueden tener cientos de lugares en donde los usuarios colocan datos, cada uno de los cuales ofrece una oportunidad para que un atacante inyecte código malicioso al sistema.
Encontrar tales vulnerabilidades no es fácil, señaló Wang. Y repararlas puede ser incluso más difícil debido a la naturaleza muy interconectada de las aplicaciones web. Por ejemplo, reparar un error de inyección de código en una función de carrito de compras en una aplicación de comercio electrónico podría necesitar varios remiendos en la aplicación, indicó.
En la actualidad se dispone de herramientas automatizadas para revisar el código de las aplicaciones web en busca de errores y para realizar pruebas de penetración. Aunque los firewalls, sistemas de detección de intrusiones y encriptación de datos pueden mitigar algunos de los riesgos, las compañías que corren aplicaciones web aún necesitan asegurarse de que el código subyacente se encuentre lo más limpio posible, de acuerdo a los analistas.
Jaikumar Vijayan, IDG News Service