La seguretat al món de la Web 2.0
Internet està canviant. Noves tecnologies i fins i tot fenòmens socials han transformat la Xarxa, mentre han provocat l'aparició de noves amenaces que els administradors de TI en les empreses han de començar a valorar i afrontar.
Si vostè encara no és conscient de què és i què representa la Web 2.0, és que no viu en aquest món. Per donar-li algunes dades, li direm que Wikipedia és, avui en dia, una de les Webs més populars d'Internet; que actualment ja es comptabilitzen més de 52 milions de blogs o que, recentment, Gartner incloïa la Web 2.0 entre les tecnologies emergents més contundents i de la que preveu una adopció massiva en els pròxims dos anys.
En vista de l'èxit d'empreses com a YouTube i MySpace, Dan Gillmor, director de la fundació CMC, dedicada a impulsar el periodisme colaborativo, no dubta d'afirmar que "si fos accionista d'una empresa que no està considerant aprofitar la tecnologia Web 2.0, deixaria immediatament de ser-ho". En el seu sentit més fonamental, Web 2.0 fa referència a qualsevol eina o aplicació distribuïda per Internet que permet la interacció d'usuaris a través de l'ús compartit de continguts. En comptes dels continguts estàtics (Web 1.0) d'una pàgina Web, ara Internet ofereix la participació i col·laboració activa dels usuaris (Web 2.0).
Però Web 2.0 és molt més que Web 2.0
Pensi, per exemple, si la seva empresa utilitza qualsevol tipus de programari com a servei. Si la resposta és afirmativa, sàpiga que això és Web 2.0. I encara més, si la seva companyia està dissenyant una Arquitectura Orientada a Servicios, això també és Web 2.0. "Les companyies veuen en Web 2.0 una nova manera de fer negoci", explica Amrit Williams, analista de Gartner. "Web 2.0 ofereix l'oportunitat d'innovar i crear noves fonts d'ingressos. "Pot ser que sigui veritat, però Web 2.0 també és una oportunitat per als hackers i altres delinqüents que busquen infectar sistemes corporatius a fi de robar informació. "Sempre que apareix una nova tecnologia, aquesta provoca una sèrie de problemes relacionats amb la seguretat", aclareix Williams. I lògicament aquests problemes són diferents als tradicionalment experimentats per les companyies.El perquè el trobem que els serveis web normalment són aplicacions JavaScript complexes que s'executen a través d'un navegador i que accedeixen a les dades guardades localment en l'equip de l'usuari. En no tractar-se de dades i aplicacions ubicades en un servidor central, aquests s'executen amb molta més rapidesa. El costat negatiu? Que aquestes dades no estan adequadament protegides. És més, amb les presses d'implementar aquestes eines, l'aspecte de la seguretat passa normalment a un segon pla, deixant així, vulnerables les aplicacions davant els atacs.
"S'imagini que disposo d'una aplicació web 2.0 que és un client d'email, descarregat com un programa Java al meu ordinador", diu Tom Longstaff, director de Tecnologia en el Centre de Coordinació CERT de Carnegie Mellon University, que es responsabilitza d'estudiar les vulnerabilidades en Internet. "Els missatges s'emmagatzemen localment. I com els llocss client no estan integrats al servidor de la companyia, manquen de protecció. En té prou que arribi un codi que ataqui el client de correu, que accedeixi als missatges en memòria i, des d'allà, infecti el sistema.
"Un altre escenari: un empleat d'un banc utilitza un servei web per accedir a dades sensibles. "Si està interactuant amb altres pàgines Web, un atac phishing que aconsegueix robar dades sense el coneixement de l'usuari seria totalment factible", afirma Longstaff.
El monitoratge d'aquestes vulnerabilidades és pràcticament impossible, ja que la majoria de companyies no disposa de la visibilitat dels equips individuals. "Quan els programes s'executen des del servidor i disposen de control d'entorn, un administrador pot monitoritzar tota l'activitat de la xarxa", afegeix Longstaff. Tanmateix, en el cas de la Web 2.0, els atacs es dirigeixen preferentment cap als equips locals.
"El que ocorre", segons Williams, de Gartner, "és que les companyies estan creant serveis fora del perímetre corporatiu que permeten aquesta interacció en Internet. Com a resultat, perden la visibilitat de la seguretat dels equips locals". De fet, ja hi ha virus amenaçant llocs com el de MySpace, el servei del qual va haver de ser interromput durant dos dies, l'octubre de 2005. En l'àmbit empresarial, les amenaces són insignificants, per ara. "Encara així, els hackers sempre desenvolupen noves tècniques", apunta Longstaff. "La creixent facilitat de creació de continguts, també ha facilitat el desenvolupament d'eines malicioses", afegeix Williams. Irònicament, les companyies que, durant els últims deu anys, es van llançar a enrobustir la seguretat dels seus sistemes, veuen ara com han d'obrir els tallafocs per permetre l'accés d'aplicacions web 2.0.
A Wilson, una companyia nord-americana d'enginyeria, Ray Benegas, director de TI diu que el problema principal que tenen és impedir la fuga de dades. "Com a empresa, hem de reconèixer l'existència d'aquestes noves tecnologies. Internament, aquestes eines són necessàries per als projectes de col·laboració i intentem controlar el seu ús sense ser un impediment a la creativitat. Però estem obligats a controlar-ho". Com a resultat, la companyia va haver de realitzar una redefinició de les polítiques sobre la informació compartida. "Hem formulat normes internes que especifiquen i expliquen l'ús acceptable d'informació i, fins ara, han tingut un efecte positiu", diu Benegas.
Unes polítiques ben planificades són un element absolutament essencial, segons Gillmor, "si les empreses disposen de polítiques clares sobre la qual cosa no ha de fer un bloguero, molts dels problemes es podrien evitar des d'un principi". Encara així, l'acció policial cobra igual importància, segons Josh Kessler, analista de TowerGroup. "Els empleats impliquen una amenaça perquè tenen accés a les dades. Sense cap tipus d'esforç per controlar el seu ús, una política no soluciona absolutament res, afirma Kessler. Proveïdors com Covelight Systems, Vontu, SmartLine i d'altres ofereixen programari que permet 'marcar' dades importants. D'aquesta manera, aquestes dades es monitoritzen constantment per assegurar que mai no passen la barrera del tallafocs.
Tanmateix, els experts coincideixen a afirmar que la millor manera de securizar la Web 2.0 és partint d'aplicacions segures. "El primer que un CIO ha de fer és inculcar la importància de la seguretat al propi equip de desenvolupament", apunta Williams, de Gartner. "Hi ha d'haver un punt en el cicle de desenvolupament on es comprovi la seguretat de l'aplicació". Això significa la incorporació de capacitats de rastreig per monitoritzar els comportaments sospitosos.
Asseguri's que les pràctiques de seguretat del seu proveïdor de serveis 'hosting' són transparents. Consideri la possibilitat de realitzar auditoria que proporcioni una via per documentar els processos de seguretat i aconsegueixi que aquests s'acoblin a les corresponents normatives. Encara que de gran ajuda, aquesta auditoria només serveix per comprovar que existeixen controls, no per descobrir vulnerabilidades. Per tant, és aconsellable fer un monitoratge més profund.
A Motorola, el responsable de Seguretat de la Informació, Bill Boni, afirma que els de-sarrolladores d'aplicacions web 2.0 han de passar per un programa d'orientació sobre la responsabilitat de la seguretat.
"Amb l'afany de realitzar desenvolupaments immediats, hi ha una tendència a ignorar altres aspectes de l'aplicació; els esforços es concentren a demostrar que l'eina funciona", explica Boni.
"Els desenvolupadors es plantegen els casos d'utilització, no els casos d'abusos".
L'equip de seguretat de Boni comprova i en verifiquen totes les aplicacions web 2.0 de Motorola. "És un treball que requereix uns consellers fiables, bé sigui intern o extern, per assegurar que la plataforma no solament funciona sinó que no conté vulnerabilidades explotables". Qualsevol que sigui l'evolució de la Web 2.0, està clar que la seguretat continuarà sent un dels temes que més donin que parlar. Per a Williams, "les noves aplicacions marcaran la diferència entre les companyies, però no podem permetre que la seguretat sigui un inhibidor de la innovació; volem que la seguretat sigui la raó d'innovació".
Mar MM
Cap comentari:
Publica un comentari a l'entrada