La Web 2.0 necesita una Seguridad 2.0

Existe una preocupación sobre la seguridad y la privacidad en las nuevas aplicaciones orientadas a las redes sociales y el grado de confianza existente en la comunidad de usuarios de los sitios web que soportan servicios y funciones Web 2.0.

La consultora Yankee Group, en su informe “Redefining Risk and Opportunity for Web 2.0 and Social Networks” ha evaluado la percepción que tienen los usuarios sobre la seguridad, la recogida de datos personales y de hábitos y preferencias de navegación, el grado de confianza sobre terceros y la propia seguridad de cuatro sitios web emblemáticos: Google, Yahoo!, MySpace y Facebook.

La consultora es de la opinión que el comportamiento del usuario, sus actitudes e intenciones son reveladores sobre el nivel de riesgo corporativo por las acciones legales y las acciones delictivas que deben enfrentarse las empresas que soportan dichos sitios web. Para estas empresas, reducir los riesgos es un aspecto clave para consolidar un entorno de confianza entre ellas y los usuarios. La confianza es lo que permitirá crear relaciones duraderas y a largo plazo necesarias para la recogida de datos y suministro de servicios que puedan satisfacer las necesidades de los usuarios y los publicistas.

En una macro encuesta realizada a usuarios y consumidores de los Estados Unidos (Yankee Group Anywhere Consumer: 2007 US Web/Data Survey), se evaluaron las luces y sombras sobre el grado de percepción de los usuarios sobre aspectos de seguridad y privacidad de los 4 sitios Web objetos del estudio.

Según el estudio, Facebook es el sitio web considerado más fiable o con menor riesgo y los usuarios suelen aportar información más veraz sobre ellos mismos.

Con Google y Yahoo!, los usuarios tienen una fuerte tendencia a falsificar sus identidades, aspecto que incide en la fiabilidad de los datos aportados y, por tanto, en la credibilidad entre los publicistas para los procesos de segmentación. Por último, MySpace es el sitio web que plantea una percepción de mayor riesgo para revelar información personal y por exponerse a intromisiones que pueden afectar la seguridad y la privacidad. .

En su informe, la consultora recomienda para todos las empresas involucradas en proyectos Web 2.0 poner foco en el desarrollo en los aspectos relacionados con la seguridad y la privacidad de los usuarios y desarrollar modelos que incrementen la confianza del sitio web. En especial, para las redes sociales, recomienda crear “zonas protegidas” para que los usuarios puedan interaccionar entre ellos con seguridad y salvaguarda de su privacidad y, también, colaborar con terceros para desterrar a los que utilizan de forma inapropiada de los diferentes servicios.

Para finalizar, en otro informe más técnico: ““The Web 2.0 Security Train Wreck”, la consultora identifica que las prometedoras aplicaciones para la Red basadas en el concepto y la tecnología Web 2.0, tienen graves problemas de seguridad que deberán ser resueltos lo antes posible. Según Yankee Group, la tecnología Web 2.0 y exacerba los viejos métodos de ataque y facilita nuevos. Las aplicaciones actuales Web 2.0 son terreno abonado para el robo de identidades y el fraude, la distribución masiva de virus, troyanos y otras aplicaciones malévolas, erosión de los miembros de la red social y pérdida de la confianza del consumidor entre otras.

En el informe se proponen una serie de medidas a contemplar y de prácticas a implantar en dichas aplicaciones que afectan a los lenguajes de programación, estándares o sistemas de bloqueo del tráfico proveniente de sitios web considerados peligrosos.

Fuentes:

Yankee Group Report. “Redefining Risk and Opportunity for Web 2.0 and Social Networks”, October, 2007. Jennifer Simpson.

Yankee Group Report. “The Web 2.0 Security Train Wreck”, October, 2007. Jennifer Simpson.




La Web 2.0 y la seguridad

Lo que se a dado en llamar la Web 2.0 es sin duda el camino a una experiencia más rica para los usuarios de aplicaciones web, pero según Shreeraj Shah en su artículo 'Top 10 Web 2.0 Attack Vectors' , tambien es un nuevo caldo de cultivo para nuevas vulnerabilidades y vectores de transmisión de virus y ataques. El artículo me ha parecido especialmente interesante, por eso me he decidido a traducir la listas de esos vectores con el afán de tenerlos siempre en cuenta, a modo de checklist de comprobación, para más información os remito al artículo original.

Aquí va la lista de vectores de ataque en aplicaciones Web 2.0 y una breve descripción de cada uno de ellos:

Cross-site scripting en AJAX: Las vulnerabilidades basadas en XSS son ya unas viejas conocidas de todos los desarrolladores web, pero sin duda el amplio uso de JavaScrip que hace AJAX hace que estas tomen una nueva dimensión.

Envenenamiento XML: Muchas aplicaciones Web 2.0 mueven datos entre el servidor y el cliente en forma de XML. Es relativamente facil crear XML malformado, que unido a un parseo poco cuidadoso del mismo en el servidor, puede degenerar en una denegación de servicio. Debemos validar en cualquier caso todo XML recibido en el servidor.

Ejecución maliciosa de código AJAX: Las llamadas AJAX se ejecutan en segundo plano sin la interacción directa del usuario. Esto hace que el usuario no siempre sea consciente de las activdades que esta realizando un determinada web, lo que una web maliciosa puede aprovechar para, por ejemplo, hacerse con cookies de autentificación.

Injección RSS / Atom: Esta tecnica consiste en inyectar código JavaScript en el RSS o Atom para que el navegador lo ejecute. Casi todos los navegadores son capaces de mostrar feeds RSS o Atom. Si nuestra aplicación produce un RSS o un Atom deberiamos validar su contenido antes de enviarlo al cliente.

Enumeración y escaneo WSDL: Básicamente los posibles atacantes pueden encontrar un motón de información sobre simplemente viendo la información que nosotros publicamos sobre nuestros servicios web. Debemos proporcionar el acceso más limitado posible a nuestros WSDLs.

Validación (unicamente) de cliente en rutinas AJAX: La validación en cliente en la aplicaciones Web 2.0 es muy rica, esto ha hecho que algunos desarrolladores no hagan estas misma validaciones en el servidor. Esto es un error porque es facil crear una petición y enviarla al servidor saltandose la validaciones de cliente. Por ello las validaciones de cliente siempre deben ser respaldadas en el servidor.

Cuestiones relacionadas con el enrutado servicios web: WS-Routing permite enviar un mensaje SOAP debidamente encriptado por un camino de servidores, pero si un solo servidor de ese camino se ve comprometido, nuestro mensaje SOAP puede ser comprometido.

Manipulación de parámetros con SOAP: Es posible crear mensajes SOAP malformados que intenten realizar inyecciones clasica tipo SQL, XPATH, LDAP o de comandos.

Injección XPATH en mensajes SOAP: Es un proceso similar a las inyecciones de SQL sobre bases de datos, solo que utilizando XPATH como lenguaje de consulta y documentos XML como destino del ataque.

Manipulación binaria del cliente rico ligero: La aplicaciones utilizan componentes ActiveX, Flash o Applets, que ya han demostrado historicamente que son caldo de cultivo para virus y otros tipos de malware.
Publicado el jueves, 19 de octubre de 2006 0:01 por Rodrigo Corral
Archivado en: ASP.Net,Seguridad

Tomado de: http://geeks.ms/blogs/rcorral/archive/2006/10/19/La-Web-2.0-y-la-seguridad.aspx