1 de abril de 2011

¿Porqué atacan a las aplicaciones web?

Las motivaciones para el hacking de aplicaciones web son numerosas y se han discutido en profundidad durante muchos años en una variedad de foros. No vamos hacer un refrito de muchas de esas conversaciones, pero es importante señalar algunas de las características de las aplicaciones web que las hacen tan atractivas para los atacantes. La comprensión de estos factores conducirá a una perspectiva mucho más clara de las defensas que deben ser adoptadas para mitigar el riesgo.

Ubicuidad:
Las aplicaciones web están en casi todas partes hoy en día y siguen extendiéndose rápidamente a través de redes públicas y privadas. Para los hackers de aplicaciones web la probabilidad de encontrar una aplicación "jugosa" y vulnerable es cada vez mayor.

Técnicas simples de ataque:
Las técnicas de ataque de aplicaciones web son bastante fáciles de entender, incluso para los legos, ya que son en su mayoría basadas en texto. Esto hace que la manipulación de datos de entrada de la aplicación sea realtivamente trivial. En comparación con los conocimientos necesarios para atacar aplicaciones más complejas o sistemas operativos (por ejemplo, la elaboración de desbordamientos de buffer), atacar aplicaciones web es como quitarle un dulce un niño.

Anonimato:
El Internet todavía tiene muchas regiones no catalogadas o auditadas, y es bastante fácil para lanzar ataques con poco o sin temor de ser rastreado. El rastro del Web Hacking, en particular, es de fácil lavado (y a menudo sin darse cuenta) a través de  proxys HTTP/S que son abundantes en la Red. Hackers sofisticados enrutan cada solicitud a través de un proxy diferente para hacer las cosas aún más difíciles de rastrear. Sin duda, ésta sigue siendo la razón principal para la proliferación del hacking malicioso, ya que el anonimato protege al atacante de uno de los principales factores de disuasión en el mundo físico (es decir, ser atrapado y castigado).

Incapacidad de los Firewalls:
El HTTP/S entrante (puertos 80 y 443) es permitido por todos los cortafuegos o firewalls. Está de más decir que esta no es una vulnerabilidad de los mismos, sino un comportamiento necesario para poder recibir las solicitudes de los navegadores clientes. Inclusive esto seguirá sucediendo a pesar de que cada vez más aplicaciones emigren a la Web.

Código personalizado:
Con la proliferación de plataformas para facilitar el desarrollo web como ASP.NET y LAMP (Linux / Apache / MySQL / PHP), una gran parte de las aplicaciones web son ensambladas por desarrolladores que tienen poca o ninguna experiencia previa en seguridad de aplicaciones.

Seguridad inmadura:
HTTP ni siquiera pone en práctica control desesiones para reconocer usuarios únicos. La autenticación básica y la autorización de principal para HTTP fue adosada en años posteriores a que la tecnología se popularizara y aún sigue evolucionando en nuestros días. Muchos desarrolladores generan código propio de control de sesiones y autorización y logicamente muchos también se equivocan (aunque esto está cambiando con el creciente despliegue de plataformas de desarrollo web que incorporan procesos de gestión de sesiones y autorización nativos.

Cambio constante:
Por lo general, un montón de gente constantemente manipula una aplicación web: desarrolladores, administradores de sistemas y gestores de contenidos de todo tipo. ¡Hemos visto muchas empresas donde el equipo de marketing tiene acceso directo a la granja de servidores web de producción! Muy pocas de estas personas tienen la formación adecuada seguridad y sin embargo, están facultados para realizar cambios en un complejo entorno de aplicaciones web de forma constante. En este nivel de dinamismo, es difícil llevar un control de cambios sencillo, y mucho menos garantizar que la política seguridad se aplique de manera coherente.

...y por supuesto: Dinero.
A pesar de los contratiempos de la era punto-com, está claro que el comercio electrónico a través de HTTP apoyará muchos negocios lucrativos en un futuro previsible. Como era de esperar, las estadísticas recientes indican que la motivación para la piratería informática web ha pasado de la fama a la fortuna, en paralelo con la maduración de la propia web. Cada vez más, las autoridades están descubriendo empresas delictivas organizadas construidas sobre el hacking de aplicaciones web con fines de lucro. Ya sea de forma particular mediante robos de datos a los servidores web, el fraude contra los usuarios finales (también conocido como "phishing"), o la extorsión mediante la denegación de servicio, el hecho lamentable de la situación actual es que el crimen web paga bien.

Hasta la próxima!

No hay comentarios.:

Entradas populares