Servicios
Internet

Los servicios Web abren a los hackers una amplia brecha de asalto

En su prisa por implementar servicios Web, algunas empresas pueden estar exponiéndose a nuevos riesgos de seguridad de los que aún no son plenamente conscientes, según han advertido algunos expertos en seguridad en el marco de la conferencia CanSecWest/core06, celebrada esta semana en la ciudad canadiense de Vancouver.



Durante una conferencia sobre el tema, Alex Stamos, prestigioso investigador especializado en seguridad TIC y socio fundador de Information Security Partners, explicó cómo diversas tecnologías de servicios Web, incluidas AJAX (Asynchronous Java Script and XML) y el lenguaje XQuery pueden ser utilizadas por los hackers como instrumento para extraer información secreta y atacar sistemas.

“Web Services” o Servicios Web son conceptos muy amplios utilizados para describir una forma de informática distribuida soportada en estándares y basada en XML (Extensible Markup Language) cuyas virtudes incluyen la simplificación del trabajo de programación de software. Una de sus ventajas más importantes es que las aplicaciones basadas en servicios Web son extremadamente portables y pueden fácilmente interactuar con diferentes tipos de software.

Sin embargo, su flexibilidad es también origen de gran parte de los peligros a los que pueden abrir la puerta de entrada. Aunque su capacidad para funcionar en entornos de plataformas cruzadas puede simplificar la programación, también puede crear riesgos de seguridad por la creación de situaciones no previstas por los desarrolladores, según Stamos. En su discurso, describió un hipotético ataque en el que un supuesto usuario podía introducir código malicioso en un formulario Web y después hacerlo correr tan sólo llamado al número de servicio al cliente de la empresa víctima y llevando al agente a ejecutarlo de manera inadvertida.

Stamos también mostró como las peticiones de servicios Web pueden ser utilizadas para realizar ataques de denegación de servicio (DoS), ya sea mediante la creación de peticiones XML maliciosas que utilizan cantidades masivas de memoria o mediante el bombardeo de las aplicaciones de bases de datos corporativas con más solicitudes de las que son capaces de manejar.

Varitas “mágicas” y, por tanto, misteriosas
Los suministradores de aplicaciones Web han creado herramientas “mágicas” capaces de esconder la complejidad y hacer muy sencillo el desarrollo de servicios Web. Desafortunadamente, esas herramientas también facilitan que los usuarios ignoren las implicaciones que sobre la seguridad pueden tener el software que están construyendo, según Stamos. “Debido precisamente a esa naturaleza de `varitas mágicas´ de esas herramientas, las personas que escriben servicios Web no tienen necesariamente que entender cómo están realmente trabajando. Tenemos muchos clientes que están abriendo una funcionalidad extremadamente rica, pero también extremadamente crítica, a Internet”.

Lo más peligroso es que algunos hackers, contrastando con la ingenuidad de los usuarios, son plenamente conscientes de lo que hacen. El mes pasado, Symantec, en su informe bianual Internet Security Threat, reveló que las aplicaciones Web representan un blanco de creciente atractivo para los hackers. Del total de vulnerabilidades descubiertas por la compañía en la segunda mitad de 2005, casi un 70% estuvieron asociadas a aplicaciones Web.
Whitepaper emc-cio-it-as-a-service-wp Whitepapers