Seguridad de aplicaciones web: ¿Mito o realidad?

¿Es cierto que si pones el software bajo una fuerte luz puedes ver sus errores?

Después de leer este articulo en el blog "El Gurú de La informática" el el cual hablan de como un producto de la gente de Acunetix puede ser utilizado para mejorar la seguridad de las aplicaciones, me decidí a escribir esta nota, ya que me soprendio un poco lo fácil que es limitar la seguridad de las aplicaciones web a un sólo aspecto (por cierto, no creo mucho en los scanners de código cerrado de ciertos fabricantes. Más de eso después).

No todo es lo que parece en Internet; Le voy a mencionar dos casos de dos compañias diferentes (ambos casos ocurrieron hace ya 6 años atrás aunque la situación es aún válida) de las cuales llegué a saber (de fuente muy confiable, aunque por supuesto no tienen que creerme para nada) hacian lo siguiente:

• Una de ellas decidió sacar en menos de 1 mes un sitio de comercio electrónico para vender vinos por Internet. El sistema de comercio electrónico, inventario y transporte nunca estuvo listo aún después de el lanzamiento, así que los datos fueron recolectados (sin encriptación en el protocolo http ni en la base de datos en donde se guardaron los números de tarjeta de crédito) para luego ser procesados manualmente por una persona la cual hacia todo el proceso manual (desde pasar la tarjeta de crédito por un punto de venta hasta hacer el envio). Esta demás que el sitio web nunca hizo dinero y fué cerrado al poco tiempo.
• Otro sitio web Venezolano se decidió a recibir envios de comida por Internet. Lo que pasaba detrás de bastidores era patetico: Una persona recibia la orden y comenzaba a llamar por telefono a los restaurantes para hacer la orden manualmente. De nuevo las tarjetas de credito eran guardadas sin encriptación en una base de datos a la cual todos los desarrolladores y administradores tenian acceso. La compañia quebró al poco tiempo y como el caso anterior el paradero de esas tarjetas de credito es desconocido.
  

¿No se le paran los pelos de punta? Estas prácticas fueron mucho más comunes de lo que usted cree y si a eso le sumamos el hecho de las deficiencias de los lenguajes de programación, los errores de los programadores y la falta de estándares de programación el panorama simplemente no pinta nada bien.

La seguridad de las aplicaciones web siempre ha estado en entredicho, aunque ciertos ataques se han vuelto más comunes que otros (a medida que la plataforma sigue madurando). Es mucho más fácil de explotarlas no porque sean más inseguras que los programas normales de escritorio sino porque el accesso a estas es mucho más grande (Internet) por un número mayor de personas (Internet). Si a eso le sumamos le hecho de el "sindrome de el beta" al cual compañias como Google ya nos tienen acostumbrados y que los ciclos de desarrollo están gobernados por lo que el departamento de mercadeo y no QA (calidad de software digan) entonces se podrá dar cuenta que el escenario es bien complejo.

El problema de la seguridad de las aplicaciones web es una consecuencia de como se escribe el software, de que técnicas son utilizadas. Por ejemplo, la complejidad de la plataforma (la lucha de Java vs PHP) es un factor importante; pero aún más es saber cuando utilizar una herramienta en vez de la otra. El uso de standares de programación y reglas básicas dentro de una corporación ayudan a reducir en una gran medida los riesgos de aplicaciones que pueden ser potencialmente inseguras a ataques no enfocados al código usando por ejemplo ingeniería social (Kevin Mitnick es una prueba viviente de la magnitud de el problema).

En pocas palabras no es solamente un problema de código, firewalls o de si usemos o no un software para revizar el código de manera automatica. Todos esos factores son importantes, pero los problemas de fondo como son la complejidad de las aplicaciones (en su uso, instalación y número de funcionalidad) y como son construidas creo que son aún más importantes en sus repercusiones.


Bien, habiendo dicho todo lo anterior los dejo con unos enlaces interesantes que quizas quieran visitar:

• Web Application Security Consortium
• World Wide Web Security FAQ
• The Nessus Scanner. Antes era de código abierto pero ya no. Sin embargo aún es gratuito y es uno de los mejores que he visto. Lo utilicé hasta el cansancio en mis dos trabajos anteriores
• Las 75 mejores herramientas de seguridad: Un poco vieja la lista, sin embargo allí encontrará clasicos como NMAP, Ethereal y Snort. Una visita obligada.
• Programación segura de CGI: Si, antes de que arruge la cara y diga que usted hace todo con Ruby & Rails seguro recordará que al principio Dios creo al CGI y vió que fué bueno. Los principios de seguridad de CGI se aplican a PHP, Java Servlets y Rails (y toda aplicación web en cierta medida) así que ¿porque no estudiar lo básico?
• Seguridad para aplicaciones web escritas en Java Servlets: Si, Java cuenta con mecanismos especificos que le ayudan a escribir aplicaciones más seguras.
• Seguridad para aplicaciones web escritas en PHP: Sip, PHP es aún muchisimo más popular que Rails y lo más seguro es que su compañia utiliza aplicaciones en ese lenguajes escritas por otros.
• La educación y prevención juegan un papel importante. Los usuarios deberían saber que tan expuestos están cuando utilizan Internet. Los desarrolladores deberían saber como prevenirlas.
  
• Si usted escribe aplicaciones, tenga en mente dos cosas: Use las herramientas adecuadas para el trabajo y trate de reducir la complejidad de el código.
• ¿Les mencioné el sitio web de OWASP? :D
  

Es un tema increiblemente complejo, el cual podría llenar páginas y páginas de un blog. Hay libros escritos sobre el tema, articulos, etc así que ¿porqué no revizar lo que hay por allí para evitar ser la próxima victima?

Buscar en Technorati: venezuela, java, linux, Open Source, seguridad
Buscar en Blogalaxia: venezuela, java, linux, Open Source, seguridad