Los servicios web abren a los hackers una amplia brecha de asalto


En su prisa por implementar servicios web, algunas empresas pueden estar exponiéndose a nuevos riesgos de seguridad de los que aún no son plenamente conscientes, según han advertido algunos expertos en seguridad en el marco de la conferencia CanSecWest/core06, celebrada la semana pasada en la ciudad canadiense de Vancouver.





Durante una conferencia sobre el tema, Alex Stamos, prestigioso investigador especializado en seguridad TIC y socio fundador de Information Security Partners, explicó cómo diversas tecnologías de servicios Web, incluidas AJAX (Asynchronous Java Script and XML) y el lenguaje XQuery pueden ser utilizadas por los hackers como instrumento para extraer información secreta y atacar sistemas.

"Web Services" o Servicios Web son conceptos muy amplios utilizados para describir una forma de informática distribuida soportada en estándares y basada en XML (Extensible Markup Language) cuyas virtudes incluyen la simplificación del trabajo de programación de software. Una de sus ventajas más importantes es que las aplicaciones basadas en servicios web son extremadamente portables y pueden fácilmente interactuar con diferentes tipos de software.

Sin embargo, su flexibilidad es también origen de gran parte de los peligros a los que pueden abrir la puerta de entrada. Aunque su capacidad para funcionar en entornos de plataformas cruzadas puede simplificar la programación, también puede crear riesgos de seguridad por la creación de situaciones no previstas por los desarrolladores, según Stamos. En su discurso, describió un hipotético ataque en el que un supuesto usuario podía introducir código malicioso en un formulario web y después ejecutarlo llamamdo al número de servicio al cliente de la empresa víctima y provocando que el agente lo ponga en marcha de manera inadvertida.

Stamos también mostró cómo las peticiones de servicios web pueden ser utilizadas para realizar ataques de denegación de servicio (DoS), ya sea mediante la creación de peticiones XML maliciosas que utilizan cantidades masivas de memoria o mediante el bombardeo de las aplicaciones de bases de datos corporativas con más solicitudes de las que son capaces de manejar.

Varitas “mágicas” y, por tanto, misteriosas
Los suministradores de aplicaciones web han creado herramientas “mágicas” capaces de esconder la complejidad y hacer muy sencillo el desarrollo de servicios web. Desafortunadamente, esas herramientas también facilitan que los usuarios ignoren las implicaciones que sobre la seguridad pueden tener el software que están construyendo, según Stamos. “Debido precisamente a esa naturaleza de `varitas mágicas´ de esas herramientas, las personas que escriben servicios web no tienen necesariamente que entender cómo están realmente trabajando. Tenemos muchos clientes que están abriendo una funcionalidad extremadamente rica, pero también extremadamente crítica, a Internet”.

Lo más peligroso es que algunos hackers, contrastando con la ingenuidad de los usuarios, son plenamente conscientes de lo que hacen. El mes pasado Symantec, en su informe bianual Internet Security Threat, reveló que las aplicaciones web representan un blanco de creciente atractivo para los hackers. Del total de vulnerabilidades descubiertas por la compañía en la segunda mitad de 2005, casi un 70% estuvieron asociadas a aplicaciones web.

Fuente:
idg.es



Otras noticias de interés:

Nanotecnologías: riesgos toxicológicos
La Revista del MIT (Instituto Tecnológico de Massachusetts) denuncia que las nanopartículas aumentan un 1.700% el proceso oxidativo....
Linux, por detrás del firewall
Ximian ha lanzado una nueva versión de su herramienta de gestión de software Red Carpet, que los clientes puede utilizar para generar actualizaciones y parches de seguridad para Linux. ...
Otro 0 day en Microsoft... a través de Microsoft Office Web Component
Por sorpresa, Microsoft ha publicado que se están detectando ataques contra Microsoft Office Web Components a través de Internet Explorer que permiten la ejecución de código. Este es el tercer 0 day de Microsoft (todos con ActiveX) en mes y med...
Grandes de Internet habilitan IPv6
El 6 de junio (6 del 6) es el día elegido por varias compañías de Internet para lanzar sus servicios compatibles con el protocolo IPv6 de forma definitiva. Por lo tanto, a partir de ahora empresas como Comcast, Telefónica, Facebook, Google, Micr...
Adoptar BYOD o quedarse atrás
Según el estudio, para el que se ha entrevistado a casi 1.500 responsables en la toma de decisiones de TI en Estados Unidos, Reino Unido, Francia, Alemania, España, Italia, Australia, Singapur, India y la región de BeijingAlgunas de las principale...
Cinco fallas en el IE que comprometen la seguridad
Múltiples vulnerabilidades han sido reportadas en Microsoft Internet Explorer, que implican riesgos como los de exponer información sensible a terceros, o la ejecución arbitraria de código en forma remota. ...
Están preparados los empresarios Venezolanos para la cultura del Software Libre?
En nuestro país amaneció de golpe, para los que estamos involucrados en el movimiento del software libre, Linux y Open Source ahora nos encontramos con un decreto 3390 que dictamina que una gran mayoría de las oficinas y...
Ubuntu Open Week en Español a partir de Hoy.
A partir de este lunes 09-05-2011 diferentes usuarios de la comunidad Ubuntu de Latinoamérica, impartirán vía iRc charlas en un horario bastante cómodos, donde se expondrán temas tan variados como:...
La virtualización se consolida y el cloud computing comienza a despegar
Según un estudio de Forrester Research cada vez más compañías adoptan estas tendencias, sobre todo los servidores virtualizados. Forrester Research ha llevado a cabo una encuesta a más de 2.600 tomadores de decisiones dentro del ámbito tecnoló...
Cuidado con la letra pequeña de la virtualización
Los usuarios prestan poca atención a algunas de las partes oscuras de la virtualización cuando tienen prisa por obtener los beneficios que esta tecnología les puede ofrecer, según una consultora....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • abren
  • amplia
  • anonimato
  • anonimo
  • antivirus
  • apache
  • asalto
  • blog
  • brecha
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hackers
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • servicios
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra