Seguridad integrada en aras de una experiencia web sin riesgos

Este mes de octubre se ha declarado el Mes Europeo de la Ciberseguridad , en un momento en el que el grado de concienciación sobre la seguridad en Internet se encuentra en su punto álgido en la UE. Se calcula que la cibercriminalidad tiene un coste anual de varias decenas de miles de millones de euros para la economía europea. Gran parte de las actividades ilícitas consisten en el robo de datos de tarjetas de crédito, que se venden posteriormente en el mercado negro.

Uno de los proyectos financiados por la UE para combatir la cibercriminalidad se llama WEBSAND (Server-driven Outbound Web-application Sandboxing), en el cual se han creado herramientas nuevas para poner más trabas a los delincuentes informáticos que se propongan penetrar en sistemas.

Los informáticos participantes en WEBSAND han construido soluciones basadas en los llamados sandboxes, o mecanismos de aislamiento de procesos, esto es, mecanismos que separan los sistemas de un servidor y los flujos de información (entre los servidores y los buscadores de los usuarios) del código que no es fiable.

ARREGLAR LA WEB

«El éxito primordial de WEBSAND ha consistido en mostrar a los desarrolladores la manera de hacer que la seguridad sea un elemento consustancial del sistema, no que se acople con posterioridad», explica su coordinador, el Dr. Martin Johns .

Internet ha cambiado significativamente desde 1990, cuando se utilizaba como una herramienta estática para el envío de documentos. Hoy en día constituye un entorno en el que intervienen múltiples fuentes en tiempo real, que obliga a los programadores a añadir elementos de seguridad en los sistemas, en lugar de que ésta sea un elemento integral del modelo cliente-servidor. WEBSAND se creó para tratar de cambiar esa situación.

«Al inicio del proyecto nos fijamos un objetivo ambicioso de forma deliberada. Pensamos lo siguiente: "Vamos a tratar de arreglar la web". Y lo hemos logrado en cierta medida. Hemos construido gran cantidad de soluciones directamente en el lado del servidor que imponen la seguridad que ambicionamos en ciertas áreas».

El objetivo era poner al programador al volante aplicando a la seguridad un enfoque centrado en el servidor y construyendo un marco modular y sencillo de usar que permita al programador, por pocos conocimientos previos que tenga en el sector de la seguridad, construir aplicaciones que sean seguras por defecto.

El equipo de WEBSAND también desarrolló una serie de extensiones para buscadores en beneficio de los usuarios finales. Un ejemplo es CSFIRE , que es «invisible» para los usuarios ya que procura no interferir en la funcionalidad de las aplicaciones que utilicen, trátese de un programa de correo electrónico, Facebook, Google o un convertidor de divisas, protegiéndolas a la vez de forma transparente frente a posibles ataques cibernéticos.

Además, después de una labor de estudio, los científicos de WEBSAND han propuesto soluciones para algunos de los problemas fundamentales actuales de Internet.

Así, han diseñado un complemento «ligero» para el lado del cliente de los buscadores que impide ataques del tipo «DNS rebinding», un método común y muy extendido de extraer información de un servidor sin el conocimiento del host. Una leve expansión de la «política del mismo origen» del servidor pone fin a este riesgo.

También han ideado un método distinto de autenticar contraseñas implantando un nuevo sistema de desafío y respuesta (challenge-and-response) iniciado por el servidor y no por el buscador.

Ahora los socios principales del proyecto —las empresas alemanas SAP , Siemens y las universidades de Leuven (Bélgica) y Chalmers (Suecia)— cooperan con los organismos internacionales competentes en materia de estándares de Internet, W3C e IETF, con el propósito de convencer a las empresas de buscadores para que adopten la tecnología de WEBSAND. Además, pertenecen a la organización sin ánimo de lucro OWASP (Open Web Application Security Project) y están difundiendo sus hallazgos a través de sus grupos de usuarios y encuentros.

«En SAP y Siemens utilizamos la tecnología de WEBSAND para reforzar la seguridad de nuestros propios productos. Pero también nos beneficiaría directamente que la propia Internet fuera segura por defecto», destaca el Dr. Johns. «La seguridad acarrea costes muy elevados; si Internet fuera más segura, las empresas podrían dedicar más recursos a la funcionalidad».

WEBSAND, en marcha entre octubre de 2010 y abril de 2014, recibió del 7PM una financiación de 3,2 millones de euros y contó con la participación de cinco socios de tres países.


Enlace a la página web del proyecto