El activo rol que ejerce el robo de la información por Internet está a la orden del día. Actualmente las aplicaciones han migrado en un buen porcentaje a la parte móvil; el flagelo de la sustracción y/o clonación de la información está presente en todos los rubros. por Osvaldo Callegari
En el segmento de los celulares se realizan un sinnúmero de transacciones de diferente índole como los bancarias, donde se tiene acceso a las cuentas, consultas de saldos o pagos electrónicos. También existen aplicaciones propias de las empresas que expanden sus servicios a través de movilidad con productos como mensajería corporativa, toma de pedidos u otras variantes que permiten a una organización ampliar la gestión. Cabe resaltar que luego de consultar a una serie de ejecutivos quienes viajan permanentemente debido a su trabajo, obtuvimos que su mayor temor es que les roben sus datos personales.
Un consejo para los usuarios móviles: es saludable realizar las transacciones personales desde el celular en ambientes estables, es decir, el usuario debe prestar atención a los datos que le llegan en su móvil para evitar una posible clonación, y como me dijo un amigo que convive con este rubro: “ante la menor duda se debe llamar al banco”, esto con el fin de corroborar que la pantalla que se nos presenta es la original.
Con el tema de las aplicaciones móviles siempre es necesario asesorarse en la entidad antes de utilizar el producto, familiarizarse con la imágenes que uno va a visualizar en el teléfono, y si es posible, conseguir una demo en vídeo para analizar posteriormente su uso. De esta manera revertimos la posibilidad de que nos clonen los datos de nuestras cuentas.
Asimismo, existen áreas relacionadas con Internet donde la seguridad debe ser rigurosa como:
Sitios de compra y venta de artículos
• Sitios bancarios• Sitios de cajeros automáticos
• Sitios de tarjetas de crédito
• Accesos remotos desde móviles
¿Qué es la Web 2.0?
La WEB 2.0 es el gran cambio transicional de las aplicaciones de escritorio orientadas a aquellas que generan colaboración y servicios enfocados en el usuario final. Con la web 2.0 se define un nuevo modelo de negocio de Internet.
Este diagrama ejemplifica toda la estructura de la WEB 2.0
Para poder controlar esa masa de información son necesarias las herramientas de seguridad. En esta entrega vamos a citar algunas con sus casos de estudios posteriores.
Novedades de la Web 2.0
Los desafíos de la Web 2.0 generaron nuevas aplicaciones y tendencias en el mercado. Las aplicaciones de amenazas y seguridad logran atenuar la información insegura.
Webinspect 7 es una de las primeras aplicaciones surgidas en el 2007 que contempla este desafío. Esta aplicación puede encontrar la vulnerabilidad en las tecnologías Web 2.0 que los scáneres comunes no encuentran y realizar múltiples escaneos, incorporando auditorías de sitios complejos. Lo que antes tardaba ocho horas para su verificación ahora tarda 45 minutos.
Una gran ventaja es el manual en línea con herramientas que permiten reducir los esfuerzos de testeos al poder automatizarlos, pero la desventaja es que es un producto muy nuevo y con poco tiempo de funcionamiento que necesita su adaptación final con el uso; no obstante soporta IPV6 y sus nuevas tecnologías.
Casos de estudio sobre Webinspect
Colonial Bank (Banco Colonial)
Este banco comenzó a buscar una solución para minimizar las amenazas en sus sitios de transacciones web y se analizó el costo de inversión de outsourcing y con este sistema conjugaron las dos incógnitas costo/beneficio.
En este producto no sólo encontraron cómo identificar las vulnerabilidades en las aplicaciones externas o internas, sino que además incorporaron un set de herramientas que les posibilitó utilizar (con alto grado de precisión) verificaciones locales, como el reciente utilitario del SQL: Inyector, para controlar una amenaza SQL.
Ellos se enfocaron en forma prioritaria en la seguridad de los clientes del banco, en las vulnerabilidades conocidas y por conocer, para evitar que una propagación de información se convierta en maliciosa, permitiendo publicar datos confidenciales, integridad y disponibilidad en el momento del uso de un servicio.
Webinspect les ayudó a salvar todas las normas financieras caso Gramm-Leach-Billey SOX , PCI, y otras regulaciones que exigen la confidencialidad de los datos en las operaciones día a día que deben ser seguras, además ayudó a que la información confidencial fuera privada.
El utilitario, denominado Inyector, puede extraer información de una base de datos SQL con los mínimos datos del cliente, asimismo cualquier lenguaje de programación de alto nivel podría facilitar su acceso, afirma Jessica Jones, Information Security Colonial Bank. Decimos que las principales aplicaciones bancarias están prácticamente orientadas en su capacidad al E-Comerce.
Compañía End2end de Copenhagen
Esta empresa comenzó a mitigar el riesgo del desarrollo de software de contenidos móviles y pudieron visualizar las vulnerabilidades de las aplicaciones Web en minutos, lo que antes les llevaba días controlar.
El contenido móvil y los servicios de información están al tope de las ventas. La demanda del consumidor ha crecido enormemente en el mercado de los teléfonos inteligentes y los asistentes personales PDA, en paralelo con la venta de los mismos equipos.
Como es el caso de End2end que se encuentra en esa línea de comercialización, esta empresa europea basada en servicios de negocio a negocio B2B, tiene una infraestructura única para almacenar, gestionar y entregar contenido a los operadores móviles y empresas de comunicaciones, además de otro tipo de contenidos en más de 20 países. Entre sus clientes se encuentran Lycos Mobile, MSN, Sony NetServices y Vodafone.
End2end hace posible alcanzar el ROI en los proyectos de contenidos móviles. En esa industria aplican Webinspect ® para su seguridad.
Caso de estudio de Microsoft®
Microsoft® comenzó la búsqueda en el mercado de aplicaciones que aumentaran la seguridad en Internet; su interés estaban basados en las siguientes premisas:
• Precisión
• Velocidad de proceso
• Facilidad en los reportes
Webinspect® salió airoso en sus requerimientos en una compañía de este rango.
Con la edición “enterprise”, los desarrolladores de aplicaciones, técnicos en control de calidad, auditores profesionales y oficiales de atención al cliente, controlaron cada fase del ciclo de vida de sistemas basados en la Web. De esta manera se planteó la necesidad de controlar las vulnerabilidades en los códigos y con esta herramienta lograron cubrir una necesidad imperiosa: la seguridad. Esto no significó la panacea o que sus proyectos quedaran cubiertos, sino que pudieron de manera dinámica controlar estados que antes eran impracticables.
El resultado de este caso fue que a lo largo de tres meses de intensas pruebas se logró sumar beneficios. Un aspecto importante fue que cumplimentó con los requisitos de las principales leyes reguladoras en Estados Unidos como: Sarbanes-Oaxley (SOX) HIPAA Seguridad en la portabilidad y en la gestión, GISRA acto de reforma de la seguridad en la información de gobierno y GLB Graham Leach Bliley en requisitos de la privacidad.
En el futuro, Costello (Auditor senior de IT de Microsoft®) ve en Webinspect un socio confiable para los procesos internos de desarrollos. La línea de productos de SPI hace seguras las aplicaciones Web desde el comienzo, integrándose con la aplicación en el proceso de desarrollo. Proveyendo además una seguridad intrínseca, los programadores pueden correr aplicaciones en contra del código que ellos desarrollaron puntualmente, asegurando una calidad final libre de defectos de seguridad, dice Costello.
“Cuando nosotros comenzamos a usar Webinspect y se lo mostramos a nuestros desarrolladores, ellos estaban impresionados con esta herramienta automatizable que les cubría un gran campo de vulnerabilidades conocidas y desconocidas. Una vez que lo usaron cada uno deseaba tener una copia en su equipo. De esta manera se demostró como surgen herramientas de seguridad cuando existen nuevos desafíos” aservera el auditor.
Seguridad Informática
A continuación presentaremos las diez más importantes amenazas de seguridad y su tendencia según SANS para este año.
Dispositivos Móviles
1. La encriptación de datos personales en las computadoras portátiles será obligatoria en varios países. Todos aquellos que manejen datos personales o datos de pacientes.
2. El robo de asistentes personales PDA o teléfonos inteligentes ha crecido significativamente, así como su información interna.
3. Acciones del Gobierno de Estados Unidos. El Congreso y el gobierno de los estados está tratando de legislar la protección privada de los clientes. En este caso se sancionaría legalmente a las empresas que pierdan información confidencial.
4. Blancos de Ataques. Los ataques realizados a organizaciones gubernamentales han ido en aumento en los últimos tres años, se vieron en escena las grandes falencias de respuestas con actividades de seguridad.
5. Los gusanos en los teléfonos celulares infectaron al menos 100,000 móviles saltando de uno en otro a través de las redes inalámbricas. Los nuevos equipos vienen con sistemas operativos con múltiples características que hace tierra fértil a los atacantes con experiencia.
6. VoiP (voz sobre IP) Dichos sistemas serán el nuevo blanco de los cyber ataques, ya que esta tecnología avanza sin contemplar la seguridad en todo su aspecto.
Técnicas de ataques
7. Spyware. Continuará creciendo en dimensiones impensadas. Los desarrolladores de spyware harán más dinero con la posibilidad de nuevos proyectos y nuevas formas de atacar los centros de distribución en todo el mundo.
8. Un día sin vulnerabilidades. Los investigadores ofrecen fallas de seguridad que ellos descubren a las empresas para que verifiquen previamente antes de comprar.
9. La mayoría de los Bots (Robot de malware) pueden venir con herramientas de instalación de sistemas operativos, los cuales pueden modificarlo y ocultar el ataque, y se hace prácticamente imposible solucionarlo a menos que se reinstale el sistema de cero con un disco de arranque.
Estrategias defensivas
10. El control de acceso a las redes está ampliando su sofisticación. Donde se verifica el ingreso de cualquier usuario, restringiendo cualquier posible acceso de un virus o de un código malicioso.
Podemos acotar que estas son sólo diez situaciones de seguridad que sugiere SANS® , el caso es que debemos actualizar permanentemente nuestra valija de recursos para estar al día con las circunstancias.
En la siguiente entrega ahondaremos sobre las implicancias que trae el paradigma de la Web 2.0, sus alcances, sus aplicaciones y en que segmento se está aplicando.
Como es costumbre en nuestro artículo analizamos productos del mercado cuando existe una tendencia en la tecnología que marque un punto de inflexión. El ensayo y la decisión están a cargo del lector para su implementación o referencia. Se pretende colaborar con una dirección o sentido en la industria, con sus virtudes y sus falencias.
Las marcas y nombres mencionados pertenecen a marcas registras y /o a nombres registrados de sus respectivas empresas. El top-ten de SANS® cuenta con la debida autorización escrita. Las licencias GNU pertenecen a sus autores.
Para consultas, cometarios y/o inquietudes puede escribir al correo electrónico [email protected] con el asunto “seguridad web”.
