Acabo de ver en el blog de mi amigo Dancho una interesante nota sobre un tema que es de mi más intenso interés.
Comenta Dancho en The Current State of Web Application Worms que ha estado ojeando un PDF de un prestigioso analista de seguridad de la White Hat Security, Jeremiah Grossman, en el que se habla del estado actual de los gusanos programados para atacar vulnerabilidades Web.
Grossman ha escrito recientemente un informe sobre el asunto, que ha publicado para que podamos ver de qué va el estado del arte en esta materia de seguridad. El documento podéis ojearlo en Cross-Site Scripting Worms and Viruses – The Impending Threat and the Best Defense, y como su propio título indica, es un informe sobre malware orientado a la conducción de ataques de Cross-Site Scripting, tratando no sólo las amenazas, sino las mejores técnicas de defensa.
Los factores críticos a la hora de analizar el malware orientado a aplicaciones Web son, esencialmente, los siguientes:
- La tasa de penetración, es decir, el número global de sistemas que consiguen infectar y golpear
- La severidad del golpe, es decir, las consecuencias de la infección.
- La ventana de tiempo, es decir, la rapidez en la diseminación y la contaminación masiva y el diferencial existente hasta la aparición de workarounds o parches de actualización
El PDF, de 30 páginas y repleto de información, contiene datos muy interesantes. Me gusta ver cómo el autor centra las medidas de evitación no sólo en el clásico consejo basado en el control de seguridad de los aplicativos Web, sino en todos los integrantes del canal: el usuario, los desarrolladores, los profesionales de la seguridad y las casas que proporcionan productos de navegación. Lo que menos me ha gustado es el capítulo de conclusiones, a todas luces muy generalistas y prececibles, y con un claro componente comercial, que aún siendo perfectamente legítimo y razonable en este tipo de informes, le quita la guinda al pastel :)
No os perdáis tampoco la lista de enlaces que proporciona Dancho al final del artículo. Se trata de un surtido amplio sobre este tipo de amenazas.