Los servicios web abren a los hackers una amplia brecha de asalto


En su prisa por implementar servicios web, algunas empresas pueden estar exponiéndose a nuevos riesgos de seguridad de los que aún no son plenamente conscientes, según han advertido algunos expertos en seguridad en el marco de la conferencia CanSecWest/core06, celebrada la semana pasada en la ciudad canadiense de Vancouver.





Durante una conferencia sobre el tema, Alex Stamos, prestigioso investigador especializado en seguridad TIC y socio fundador de Information Security Partners, explicó cómo diversas tecnologías de servicios Web, incluidas AJAX (Asynchronous Java Script and XML) y el lenguaje XQuery pueden ser utilizadas por los hackers como instrumento para extraer información secreta y atacar sistemas.

"Web Services" o Servicios Web son conceptos muy amplios utilizados para describir una forma de informática distribuida soportada en estándares y basada en XML (Extensible Markup Language) cuyas virtudes incluyen la simplificación del trabajo de programación de software. Una de sus ventajas más importantes es que las aplicaciones basadas en servicios web son extremadamente portables y pueden fácilmente interactuar con diferentes tipos de software.

Sin embargo, su flexibilidad es también origen de gran parte de los peligros a los que pueden abrir la puerta de entrada. Aunque su capacidad para funcionar en entornos de plataformas cruzadas puede simplificar la programación, también puede crear riesgos de seguridad por la creación de situaciones no previstas por los desarrolladores, según Stamos. En su discurso, describió un hipotético ataque en el que un supuesto usuario podía introducir código malicioso en un formulario web y después ejecutarlo llamamdo al número de servicio al cliente de la empresa víctima y provocando que el agente lo ponga en marcha de manera inadvertida.

Stamos también mostró cómo las peticiones de servicios web pueden ser utilizadas para realizar ataques de denegación de servicio (DoS), ya sea mediante la creación de peticiones XML maliciosas que utilizan cantidades masivas de memoria o mediante el bombardeo de las aplicaciones de bases de datos corporativas con más solicitudes de las que son capaces de manejar.

Varitas “mágicas” y, por tanto, misteriosas
Los suministradores de aplicaciones web han creado herramientas “mágicas” capaces de esconder la complejidad y hacer muy sencillo el desarrollo de servicios web. Desafortunadamente, esas herramientas también facilitan que los usuarios ignoren las implicaciones que sobre la seguridad pueden tener el software que están construyendo, según Stamos. “Debido precisamente a esa naturaleza de `varitas mágicas´ de esas herramientas, las personas que escriben servicios web no tienen necesariamente que entender cómo están realmente trabajando. Tenemos muchos clientes que están abriendo una funcionalidad extremadamente rica, pero también extremadamente crítica, a Internet”.

Lo más peligroso es que algunos hackers, contrastando con la ingenuidad de los usuarios, son plenamente conscientes de lo que hacen. El mes pasado Symantec, en su informe bianual Internet Security Threat, reveló que las aplicaciones web representan un blanco de creciente atractivo para los hackers. Del total de vulnerabilidades descubiertas por la compañía en la segunda mitad de 2005, casi un 70% estuvieron asociadas a aplicaciones web.

Fuente:
idg.es



Otras noticias de interés:

El malware se vale de los antivirus para proteger sus intereses
Symantec publica una curiosa entrada en su blog sobre las licencias de uso de un kit de troyano. Como industria, no debe extrañar que un kit de malware sea adquirido con su correspondiente licencia de uso, archivo de ayuda, e incluso restricciones q...
Parece que el Skin-Hack funcionó bien!!!
No solo existe el Hack a nivel de PC - La boda del príncipe Felipe de Borbón y doña Letizia Ortiz podría haberse convertido en una tragedia de consecuencias inimaginables si el coronel del Estado Mayor Amadeo Martínez Inglés, quien consiguió b...
Microsoft anuncia el lanzamiento de la primera beta de Explorer 8
La compañía de Redmon lanzará su nuevo navegador de Internet durante la primera mitad de 2008...
A pesar del Cloud Computing, es necesario instalar Software antimalware
David Perry, con una dilatada experiencia de más de 25 años, está considerado uno de los mejores expertos mundiales en el campo del hacking, virus, malware y cibercrimen. Además, ha sido asesor de la Casa Blanca y es autor y conferenciante muy po...
LOS EXTRAÑOS ATAQUES A SERVIDORES WINDOWS 2000
Una erupción de ataques a servidores de Windows 2000 han dejado a los expertos en seguridad totalmente confundidos. ...
Lanzamiento del PROYECTO ALPARGATA (www.alpargata.org.ve).
Alpargata es un proyecto lanzado con la finalidad de cubrir un área donde poco se ha desarrollado software abierto disponible a la comunidad y en donde hay un potencial importante para desarrollar. ...
6to Aniversario de Ubuntu-ve
Ubuntu-ve Cumple seis años en la ardua lucha de difusión de Ubuntu y Software Libre en Venezuela, una tarea nada fácil pero muy gratificante. desde el comienzo cuando fuimos aprobados el 21-07-2006; nuestros fundadores fueron dando pasos, algunos ...
US-CERT unificará los nombres de los Virus para evitar confusiones
La disparidad de denominaciones genera problemas tanto al usuario infectado como a las organizaciones y empresas que trabajan en este campo. US-CERT - la organización encargada de enfrentarse a los ciberataques en EE UU- pretende p...
Firmware 2.0 del iPhone hackeado en tiempo récord
Como era de esperarse, el nuevo firmware ha sido completamente jailbroken, descifrado y el grupo iPhoneDevTeam ya encontró la manera de engañar a los certificados incluidos para que los desarrolladores puedan correr cualquier aplicación sin ser ...
Diez claves de seguridad para redes sociales
Stonesoft ha elaborado una lista con las que considera las 10 claves de seguridad que cualquier usuario debe tener en cuenta para protegerse de los peligros que acechan a las redes sociales....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • abren
  • amplia
  • anonimato
  • anonimo
  • antivirus
  • apache
  • asalto
  • blog
  • brecha
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hackers
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • servicios
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra