18/2/09

Las 8 vulnerabilidades más importantes de la Web 2.0

Como mencioné en el post reciente sobre mundos virtuales corporativos, la política de seguridad de las empresas es una de las barreras más complicadas para la adopción de herramientas colaborativas y sociales. Me enteré vía Sarah Perez que el Secure Enterprise 2.0 Forum publicó su informe 2009, donde identifica las 8 vulnerabilidades de seguridad más importantes de la Web 2.0:
  1. Controles de autenticación insuficientes
    Típicamente, los sistemas informáticos asumen que existen una cantidad limitada de cuentas con permisos administrativos, reservadas para personas más experimentadas, que deben aprobar cualquier cambio al sistema. En la Web 2.0 la mayoría de los usuarios pueden realizar cambio, por lo tanto los controles deben ser más sofisticados.

  2. Cross Site Scripting
    Conocido como XSS, esta vulnerabilidad permite que un usuario ingrese código malintencionado a través de un formulario HTML. Esto es bastante común en sitios 2.0 (blogs, redes sociales y wikis) ya que muchos permiten que el usuario ingrese toda clase de contenido formateado.

  3. Cross Site Request Forgery
    CSRF es una vulnerabilidad donde un usuario ingresa a una página web aparentemente inocente, pero sin darse cuenta el código malicioso de la página ingresa a sitios autorizados por el usuario, donde puede llevar a cabo operaciones no autorizadas. La cantidad de funciones ofrecidas por muchos sitios y el uso de AJAX (donde muchas operaciones se ejecutan sin que el usuario se entere) hace que la Web 2.0 sea más vulnerable a este tipo de ataques.

  4. Phishing por medio de widgets falsos
    Un widget es una pequeña aplicación que puede ser embebida en una página o en el escritorio de la PC, y que proporciona información o brinda servicios a través de la Web, usando web services. Dado que con un widget el usuario no puede ver la URL o el certificado de seguridad de la página con la cual se conecta, es más difícil detectar y protegerse contra ataques de phishing.

  5. Filtración de información confidencial
    Dado que las aplicaciones Web 2.0 promueven la publicación de contenidos generados por los usuarios, y que los ámbitos personales y profesionales de las personas se confunden cada vez más, existe mayor riesgo de que un empleado publique información considerada sensible o confidencial por su empleador.

  6. Fallas de inyección
    Dado que la mayoría de las aplicaciones Web 2.0 funcionan con XML, XPath, JavaScript, JSON, etc., son más vulnerables a los ataques por inyección usando estas tecnologías. Adicionalmente, como las aplicaciones dependen de código generado por el usuario, hay más posibilidad que un atacante pueda hackear los sistemas de validación para insertar código málicioso.

  7. Integridad de los datos
    Además de la posibilidad de pérdida de datos por un ataque malintencionado, el hecho que los usuarios puedan ingresar y modificar datos incrementa la posibilidad de que dichos datos estén incompletos, sean incorrectos o incluso sean falsos (piensen en la propagación de rumores...).

  8. Controles anti-automatización insuficientes
    Las interfases de muchos aplicativos Web 2.0 permiten que las funcionalidades, y los ataques maliciosos, sean ejecutados en forma automática. Muchos aplicativos 2.0 carecen de controles suficientes (CAPTCHAs) para inhibir este tipo de ataques.