[18/01/2013] 6Scan, una
startup de seguridad web de Tel Aviv, Israel, lanzó un
nuevo servicio que puede escanear sitios web en busca de problemas de seguridad, como vulnerabilidades e infecciones de malware, y permite a sus dueños reparar de manera automática los problemas identificados.La parte de escaneo del servicio puede ser usada de forma gratuita por cualquiera, pero las características como la reparación automática de vulnerabilidades y la remoción de malware, el firewall de aplicaciones web o SMS y las notificaciones por correo electrónico, solo se encuentran disponibles para los clientes que pagan una suscripción mensual.
Existen tres planes de pago: el “Básico” por 9,99 dólares al mes, el “Profesional” por 29,99 dólares al mes y el “Empresarial” por 49,99 dólares al mes. Estos planes están pensados para diferentes tamaños de sitios web y difieren en el número de páginas individuales que pueden escanear, la frecuencia de los escaneos (diariamente o cada hora) y las características adicionales como el monitoreo del uptime y la analítica de intrusión.
El nuevo servicio amplía las capacidades de escaneo de vulnerabilidades del antiguo producto de la compañía -una extensión de seguridad para WordPress- a todos los tipos de sitios web que corren en servidores Apache Web, y también añade nuevas características como la detección de malware, sostuvo Chris Weltzien, CEO de 6Scan.
Los clientes tienen que desplegar un pequeño script de agente en sus servidores web para usar algunas de las características, incluyendo la de reparación automática. Los resultados del escaneo, opciones de parchado y otras características pueden verse y configurarse a través de un panel en el sitio web de 6Scan.
La característica de reparación automática utiliza un parchado virtual, un método que en realidad no cambia los archivos originales del sitio web, sino que en cambio intercepta todas las solicitudes de los usuarios y las modifica de tal forma que una vulnerabilidad conocida no pueda ser explotada, sostuvo Nitzan Miron, fundador y presidente de 6Scan. Sin embargo, el agente sí tiene la capacidad de modificar los archivos originales si es necesario, afirmó el ejecutivo.
También existe una opción de reparación manual que proporciona a los propietarios del sitio web las instrucciones exactas para reparar la vulnerabilidad, como qué código tiene que modificarse y de qué manera. Esta característica también se encuentra disponible para los clientes que no pagan y que usan el servicio para escanear sus sitios web de forma gratuita, sostuvo Miron.
El servicio usa dos diferentes escáneres de vulnerabilidades. Un escáner puede detectar las vulnerabilidades genéricas que caen dentro de 10 categorías importantes de riesgos de seguridad para aplicaciones web, tal y como los define el Open Web Application Security Project (OWASP) –inyección SQL, directory traversal, scripting intersitios y otros.
El otro escáner busca vulnerabilidades conocidas en las aplicaciones web populares que fueron reportadas en sitios web como en OSVBD (Open Source Vulnerability Database), Packet Storm Security y otros, y también vulnerabilidades descubiertas de forma interna por los investigadores de 6Scan, sostuvo Miron.
El servicio usado para detectar malware de sitio web -código falso y malicioso inyectado en los sitios web- en realidad se licencia por otro proveedor de la industria, señaló Weltzien. Eso se debe, por ahora, a que 6Scan se centra en detectar de manera proactiva problemas de seguridad antes de que sean explotados para infectar sitios web, señaló el ejecutivo.
El nuevo servicio de 6Scan apunta al segmento de mercado de pequeñas empresas ya que éstas generalmente no tienen los recursos para proteger sus sitios web de ataques o detectar que sus sitios web han quedado comprometidos, sostuvo Weltzien. Esto hace que los sitios web de las pequeñas empresas sean el blanco perfecto para muchos atacantes, manifestó el ejecutivo.
Lucian Constantin, IDG News Service