La seguridad en el mundo de la Web 2.0


Internet está cambiando. Nuevas tecnologías e incluso fenómenos sociales han transformado la Red, al tiempo que han provocado la aparición de nuevas amenazas que los administradores de TI en las empresas deben empezar a valorar y afrontar. Si usted aún no es consciente de qué es y qué representa la Web 2.0, es que no vive en este mundo. Por darle algunos datos, le diremos que Wikipedia es, hoy en día, una de las Webs más populares de Internet; que actualmente ya se contabilizan más de 52 millones de blogs o que, recientemente, Gartner incluía la Web 2.0 entre las tecnologías emergentes más contundentes y de la que prevé una adopción masiva en los próximos dos años.





En vista del éxito de empresas como YouTube y MySpace, Dan Gillmor, director de la fundación CMC, dedicada a impulsar el periodismo colaborativo, no duda en afirmar que "si fuera accionista de una empresa que no está considerando aprovechar la tecnología Web 2.0, dejaría inmediatamente de serlo".

En su sentido más fundamental, Web 2.0 hace referencia a cualquier herramienta o aplicación distribuida por Internet que permite la interacción de usuarios a través del uso compartido de contenidos. En vez de los contenidos estáticos (Web 1.0) de una página Web, ahora Internet ofrece la participación y colaboración activa de los usuarios (Web 2.0).

Pero Web 2.0 es mucho más que Web 2.0

Piense, por ejemplo, si su empresa utiliza cualquier tipo de software como servicio. Si la respuesta es afirmativa, sepa que eso es Web 2.0. Y aún más, si su compañía está diseñando una Arquitectura Orientada a Servicios, eso también es Web 2.0. "Las compañías ven en Web 2.0 una nueva manera de hacer negocio", explica Amrit Williams, analista de Gartner. "Web 2.0 ofrece la oportunidad de innovar y crear nuevas fuentes de ingresos."

Puede que sea verdad, pero Web 2.0 también es una oportunidad para los hackers y otros delincuentes que buscan infectar sistemas corporativos con el fin de robar información. "Siempre que aparece una nueva tecnología, esta provoca una serie de problemas relacionados con la seguridad", aclara Williams. Y lógicamente estos problemas son distintos a los tradicionalmente experimentados por las compañías.

El porqué lo encontramos en que los servicios Web normalmente son aplicaciones JavaScript complejas que se ejecutan a través de un navegador y que acceden a los datos guardados localmente en el equipo del usuario. Al no tratarse de datos y aplicaciones ubicados en un servidor central, éstos se ejecutan con mucha más rapidez. ¿El lado negativo? Que estos datos no están adecuadamente protegidos. Es más, con las prisas de implementar estas herramientas, el aspecto de la seguridad pasa normalmente a un segundo plano, dejando así, vulnerables las aplicaciones frente a los ataques.

"Imagínese que dispongo de una aplicación Web 2.0 que es un cliente de email, descargado como un programa Java en mi ordenador", dice Tom Longstaff, director de Tecnología en el Centro de Coordinación CERT de Carnegie Mellon University, que se responsabiliza de estudiar las vulnerabilidades en Internet. "Los mensajes se almacenan localmente. Y como los puestos cliente no están integrados en el servidor de la compañía, carecen de protección. Basta que llegue un código que ataque al cliente de correo, para que acceda a los mensajes en memoria y, desde ahí, infecte al sistema".

Otro escenario: un empleado de un banco utiliza un servicio Web para acceder a datos sensibles. "Si está interactuando con otras páginas Web, un ataque phishing que consigue robar datos sin el conocimiento del usuario sería totalmente factible", afirma Longstaff.

La monitorización de estas vulnerabilidades es prácticamente imposible, ya que la mayoría de compañías no dispone de la visibilidad de los equipos individuales. "Cuando los programas se ejecutan desde el servidor y disponen de control de entorno, un administrador puede monitorizar toda la actividad de la red", añade Longstaff. Sin embargo, en el caso de la Web 2.0, los ataques se dirigen preferentemente hacia los equipos locales.

"Lo que ocurre", según Williams, de Gartner, "es que las compañías están creando servicios fuera del perímetro corporativo que permiten esta interacción en Internet. Como resultado, pierden la visibilidad de la seguridad de los equipos locales". De hecho, ya hay virus amenazando sitios como el de MySpace, cuyo servicio tuvo que ser interrumpido durante dos días, en octubre de 2005. En el ámbito empresarial, las amenazas son insignificantes, por ahora. "Aún así, los hackers siempre desarrollan nuevas técnicas", apunta Longstaff. "La creciente facilidad de creación de contenidos, también ha facilitado el desarrollo de herramientas maliciosas", añade Williams. Irónicamente, las compañías que, durante los últimos diez años, se lanzaron a robustecer la seguridad de sus sistemas, ven ahora cómo tienen que abrir los cortafuegos para permitir el acceso de aplicaciones Web 2.0.

En Wilson, una compañía norteamericana de ingeniería, Ray Benegas, director de TI dice que el problema principal que tienen es impedir la fuga de datos. "Como empresa, tenemos que reconocer la existencia de estas nuevas tecnologías. Internamente, estas herramientas son necesarias para los proyectos de colaboración e intentamos controlar su uso sin ser un impedimento a la creatividad. Pero estamos obligados a controlarlo". Como resultado, la compañía tuvo que realizar una redefinición de las políticas sobre la información compartida. "Hemos formulado normas internas que especifican y explican el uso aceptable de información y, hasta ahora, han tenido un efecto positivo", dice Benegas.

Unas políticas bien planificadas son un elemento absolutamente esencial, según Gillmor, "si las empresas disponen de políticas claras sobre lo que no debe hacer un 'bloguero', muchos de los problemas se podrían evitar desde un principio". Aún así, la acción policial cobra igual importancia, según Josh Kessler, analista de TowerGroup. "Los empleados implican una amenaza porque tienen acceso a los datos. Sin ningún tipo de esfuerzo para controlar su uso, una política no soluciona absolutamente nada", afirma Kessler. Proveedores como Covelight Systems, Vontu, SmartLine y otros ofrecen software que permite 'marcar' datos importantes. De esta manera, estos datos se monitorizan constantemente para asegurar que nunca pasan la barrera del cortafuegos.

Sin embargo, los expertos coinciden en afirmar que la mejor manera de securizar la Web 2.0 es partiendo de aplicaciones seguras. "Lo primero que un CIO debe hacer es inculcar la importancia de la seguridad al propio equipo de desarrollo", apunta Williams, de Gartner. "Debe haber un punto en el ciclo de desarrollo donde se compruebe la seguridad de la aplicación". Esto significa la incorporación de capacidades de rastreo para monitorizar los comportamientos sospechosos.

Asegúrese de que las prácticas de seguridad de su proveedor de servicios 'hosting' son transparentes. Considere la posibilidad de realizar auditoría que proporcione una vía para documentar los procesos de seguridad y logre que estos se acoplen a las correspondientes normativas. Aunque de gran ayuda, esta auditoría sólo sirve para comprobar que existen controles, no para descubrir vulnerabilidades. Por lo tanto, es aconsejable hacer una monitorización más profunda.

En Motorola, el responsable de Seguridad de la Información, Bill Boni, afirma que los de-sarrolladores de aplicaciones Web 2.0 tienen que pasar por un programa de orientación sobre la responsabilidad de la seguridad.

"Con el afán de realizar desarrollos inmediatos, hay una tendencia a ignorar otros aspectos de la aplicación; los esfuerzos se concentran en demostrar que la herramienta funciona", explica Boni. "Los desarrolladores se plantean los casos de utilización, no los casos de abusos".

El equipo de seguridad de Boni comprueba y verifica todas las aplicaciones Web 2.0 de Motorola. "Es un trabajo que requiere unos consejeros fiables, bien sean internos o externos, para asegurar que la plataforma no sólo funciona sino que no contiene vulnerabilidades explotables". Cualquiera que sea la evolución de la Web 2.0, está claro que la seguridad seguirá siendo uno de los temas que más den que hablar. Para Williams, "las nuevas aplicaciones marcarán la diferencia entre las compañías, pero no podemos permitir que la seguridad sea un inhibidor de la innovación; queremos que la seguridad sea la razón de innovación".

Fuente:
http://www.itweek.es



Otras noticias de interés:

Precaución al navegar en Internet
Que internet es un peligro para los jóvenes es algo que oímos constantemente, pero la realidad es que la red no es más peligrosa que la televisión, el teléfono móvil o cualquier otro medio que sirva para comunicarse, enviar y recibir informaci...
Recopilación y análisis de las últimas vulnerabilidades en Microsoft Office
Desde hace más de seis meses, la suite Microsoft Office se está convirtiendo en uno de los métodos favoritos de los atacantes para ejecutar código arbitrario de forma inadvertida en sus víctimas. De la última oleada de problemas encontrad...
Manejo incorrecto de cookies en múltiples navegadores
Múltiples navegadores (Mozilla, Firefox, Konqueror), son susceptibles a una debilidad en el manejo del hostname de determinadas cookies, que potencialmente puede permitir la revelación de información sensible....
Publicaran código fuente de Norton Antivirus
Hace una semana Symantec confirmaba el robo de un fragmento código fuente de dos sus productos. Al parecer, la llamada de un grupo de hackers que se hacía llamar The Lords of Dharmaraja, habían conseguido un segmento del código fuente de hacía c...
El crack de contraseñas Windows es todo un arte.
Aquello que parece seguro porque se le introduce un nombre de usuario y una contraseña, memorizada únicamente, por su propietario, deja de serlo según el sistema que se esté usando. Y de eso versa este artículo. Mostraremos cómo los sistemas Wi...
Chrome 16.0.912.75 corrige 3 vulnerabilidades
Desde el blog oficial de versiones, se informa se han corregido tres vulnerabilidades de seguridad de severidad alta,que podrían provocar desbordamientos de buffer....
Múltiples vulnerabilidades en el programa LinuxNode
Se han descubierto múltilples vulnerabilidades en LinuxNode, un programa contenido en Amateur Packet Radio Node, que pueden permitir a un atacante remoto causar una denegación de servicio o ejecutar código arbitrario en el sistema afectado....
Google parchea vulnerabilidades en Chrome
Google ha actualizado Chrome para parchear varias vulnerabilidades críticas en el producto, incluidas dos que, según la firma de seguridad Vupen, podrían ser aprovechadas para evadir la tecnología antiexploit del navegador. La actualización Chro...
IBM y Red Hat impulsarán conjuntamente la adopción de Linux
IBM y Red Hat se esfuerzan a nivel mundial para proporcionar a los desarrolladores los recursos y servicios tecnológicos para un rápido desarrollo de las aplicaciones Linux....
Hasta siempre, Windows 2k y SP 2
El día 13 de julio Microsoft deja de publicar parches de seguridad para Windows 2000 y XP con Service Pack 2. Esto supone la muerte de estas dos versiones de Windows puesto que, aunque obviamente se podrán seguir usando, a partir de ahora será muc...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mundo
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra