.

Computación

Blueprint ayuda a detener los ataques a los navegadores

1

Un filtro de software nos protege contra los ataques XSS.

  • por Erica Naone | traducido por Francisco Reyes (Opinno)
  • 14 Mayo, 2009

A medida que los contenidos generados por los propios usuarios se han hecho más populares en internet, las páginas web cada día permiten a sus visitantes personalizar, por ejemplo, sus comentarios en blogs o publicaciones en redes sociales con código HTML. Sin embargo, esto también provoca que las páginas web corran el riesgo de un tipo de ataque conocido como XSS (cross-site scripting, en ingles), que permite a los atacantes robar información de los usuarios a través de sitios reconocidos como seguros.

La semana próxima, en el Simposio sobre Seguridad y Privacidad IEEE, en Oakland, California, un grupo de investigadores de la Universidad de Illinois presentará una nueva forma de defensa contra los XSS. Este método permite que las webs controlen la forma en que los contenidos generados por los usuarios se transmiten al navegador de internet, con lo que en potencia se neutralizan los ataques de tipo XSS antes de que alcancen a sus víctimas.

Los XSS funcionan a base de hacer que el navegador del usuario ejecute un script no autorizado y que ha sido previamente inyectado en algún lugar de las páginas de una web aparentemente segura. Este tipo de scripts pueden permitir al atacante descrifrar información como las credenciales de registro y otro tipo de información delicada.

“Los XSS son una de las vulnerabilidades más comúnes en internet,” afirma Jeremiah Grossman, fundador y director tecnológico de White Hat Security, pero que no estuvo involucrado en el proyecto. “Es como una cucaracha dentro de nuestra industria.” Grossman afirma que los nuevos sitios de internet están mejor equipados para defenderse frente a los XSS, aunque existen millones de páginas web vulnerables en la red. “Necesitamos alternativas que nos ayuden a arreglar el código,” afirma.

Los investigadores de la Universidad de Illinois desarrollaron una capa de software—llamada Blueprint—que los desarrolladores de webs pueden insertar entre los contenidos generados por el usuario y los navegadores. Los investigadores desarrollaron Blueprint para que funcionase con los ocho navegadores principales, lo que se traduce en más de un 96 por ciento de la cuota de mercado, y probaron el sistema contra 94 tipos de ataques de XSS lanzados desde un depósito de internet denominado la Lista de Trampas de XSS. Descubrieron que logró prevenir con éxito todos los ataques de la lista.

Blueprint se instala en los servidores de las páginas web, lee el HTML generado por el usuario, y lo compara con una lista de código seguro. Elimina cualquier trazo de scrips que puedan ser potencialmente peligrosos y decide la forma en que el contenido debe aparecer en el navegador. Después reformatea la información y la transmite al navegador. Blueprint se asegura, por ejemplo, de evitar caracteres y símbolos que a veces se utilizan para enviar señales de script no autorizados al navegador del usuario. El contenido seguro, según los investigadores, no tendría por qué ser detenido por el sistema y debería llegar al navegador sin problemas.

La raíz de toda esta complicación, según explica V.N. Venkatakrishnan, profesor asistente de ciencias informáticas y que formó parte del proyecto, es que los navegadores se diseñaron, en un principio, para dejar pasar código de páginas web de poca calidad. “Los navegadores hacen todo lo posible para intentar mostrar el contenido de las webs, incluso si la escritura del código es mediocre,” afirma.

A lo largo de los años, los distintos navegadores han desarrollado su propia forma de interpretar los contenidos con baja calidad de formato. Los atacantes se aprovechan de esto e insertan un tipo de HTML que se ejecuta como un script en el navegador. “Esto hace que filtrar el contenido HTML de los scripts sea un reto muy, muy difícil,” afirma Venkatakrishnam. En la actualidad se está trabajando para modificar la forma en que los funcionan los navegadores, aunque los investigadores afirman que mientras tanto es necesario otro tipo de solución.

“Nuestro objetivo es eliminar la capacidad de los navegadores de tomar decisiones acerca de la identificación de los scripts basándose en el contenido de seguridad dudosa que le llega de la aplicación web,” afirma Venkatakrishnan.

Robert Hansen
, director y fundador de la compañía de seguridad de internet SecTheory, propietaria de la Lista de Trampas XSS, afirma que, aunque Blueprint es capaz de protegernos contra la mayoría de amenazas XSS, no cubre todas las amenazas posibles. “Existen otras formas de ejecutar este tipo de código malicioso dentro de los navegadores, y desafortunadamente este sistema no cubre esas otras formas,” afirma.

Hansen añade que el sistema de los investigadores envuelve el contenido en un script que los motores de búsqueda no pueden leer y así lo protege. “Esto no es la panacea,” afirma, “sino que ahí radica el mayor problema.” Hansen afirma que los XSS son un problema demasiado complejo como para ser solucionado sin tener que cambiar la forma en que funcionan los navegadores.

Computación

Las máquinas cada vez más potentes están acelerando los avances científicos, los negocios y la vida.

  1. ‘Chiplets’: el arma de China en su batalla tecnológica contra EE UU

    Al conectar varios chips menos avanzados en uno, las empresas chinas podrían eludir las sanciones impuestas por el gobierno estadounidense.

  2. Esta ciudad china quiere ser el Silicon Valley de los ‘chiplets’

    Wuxi, el centro chino del envasado de chips, está invirtiendo en la investigación de ‘chiplets’ para potenciar su papel en la industria de semiconductores

  3. La computación cuántica se abre camino a través del ruido

    Durante un tiempo, los investigadores pensaron que tendrían que conformarse con sistemas ruidosos y propensos a errores, al menos a corto plazo. Esto está empezando a cambiar.

    Jay Gambetta dirige el desarrollo de los ordenadores cuánticos de IBM y lideró la iniciativa de llevar estos sistemas a la nube.