Los servicios web abren a los hackers una amplia brecha de asalto
En su prisa por implementar servicios web, algunas empresas pueden estar exponiéndose a nuevos riesgos de seguridad de los que aún no son plenamente conscientes, según han advertido algunos expertos en seguridad en el marco de la conferencia CanSecWest/core06, celebrada la semana pasada en la ciudad canadiense de Vancouver.
“Web Services” o Servicios Web son conceptos muy amplios utilizados para describir una forma de informática distribuida soportada en estándares y basada en XML (Extensible Markup Language) cuyas virtudes incluyen la simplificación del trabajo de programación de software. Una de sus ventajas más importantes es que las aplicaciones basadas en servicios web son extremadamente portables y pueden fácilmente interactuar con diferentes tipos de software.
Sin embargo, su flexibilidad es también origen de gran parte de los peligros a los que pueden abrir la puerta de entrada. Aunque su capacidad para funcionar en entornos de plataformas cruzadas puede simplificar la programación, también puede crear riesgos de seguridad por la creación de situaciones no previstas por los desarrolladores, según Stamos. En su discurso, describió un hipotético ataque en el que un supuesto usuario podía introducir código malicioso en un formulario web y después ejecutarlo llamamdo al número de servicio al cliente de la empresa víctima y provocando que el agente lo ponga en marcha de manera inadvertida.
Stamos también mostró cómo las peticiones de servicios web pueden ser utilizadas para realizar ataques de denegación de servicio (DoS), ya sea mediante la creación de peticiones XML maliciosas que utilizan cantidades masivas de memoria o mediante el bombardeo de las aplicaciones de bases de datos corporativas con más solicitudes de las que son capaces de manejar.
Varitas “mágicas” y, por tanto, misteriosas
Los suministradores de aplicaciones web han creado herramientas “mágicas” capaces de esconder la complejidad y hacer muy sencillo el desarrollo de servicios web. Desafortunadamente, esas herramientas también facilitan que los usuarios ignoren las implicaciones que sobre la seguridad pueden tener el software que están construyendo, según Stamos. “Debido precisamente a esa naturaleza de `varitas mágicas´ de esas herramientas, las personas que escriben servicios web no tienen necesariamente que entender cómo están realmente trabajando. Tenemos muchos clientes que están abriendo una funcionalidad extremadamente rica, pero también extremadamente crítica, a Internet”.
Lo más peligroso es que algunos hackers, contrastando con la ingenuidad de los usuarios, son plenamente conscientes de lo que hacen. El mes pasado Symantec, en su informe bianual Internet Security Threat, reveló que las aplicaciones web representan un blanco de creciente atractivo para los hackers. Del total de vulnerabilidades descubiertas por la compañía en la segunda mitad de 2005, casi un 70% estuvieron asociadas a aplicaciones web.