4 oct 2011

Inseguridad Web: 7 medidas que deberíamos demandar de los anunciantes

En los últimos años, una batalla creciente entre diseñadores de sitios web y desarrolladores de plug-ins de navegadores para bloqueo de publicidad puso de cabezas la seguridad web e hizo a los sitios llamados "confiables" menos seguros para la persona promedio.

Es un conflicto con el que la mayoría de nosotros está familiarizado: los sitios web dependen de la publicidad para hacer dinero, necesitan que esos anuncios sean efectivos; pero ciertas estrategias de publicidad, como los pop-up y los pop-under, son tan molestos que la mayoría de los navegadores se sienten obligados a bloquearlos o deshabilitarlos para sus usuarios.

Para complicar aún más la amenaza para los anunciantes, se desarrollaron los plugins de navegador para bloqueo de anuncios. Esto supone una inmensa amenaza a los ingresos operativos del sitio web, de modo que los desarrolladores contratacaron haciendo más difícil a los navegadores identificar los anuncios como contenido externo, y en lugar de eso los hacen aparecer como si fueran contenido del propio sitio web.

Lo que nos lleva al problema que enfrentamos hoy.

La seguridad del navegador se basa de forma intrínseca en la fuente del material que es exhibido por el navegador: "La política de Mismo Origen" que le permite al sitio web y a la publicidad ser tratados de forma distinta.

La subversión de la tecnología de bloqueo de anuncios, al ocultar el origen del contenido publicitario, ha creado una oportunidad única para los criminales de Internet. Los hackers actuales utilizan cada vez más las plataformas de publicidad como una forma clandestina de atacar a los visitantes de sitios legítimos - usando intercambio malicioso de anuncios, descargas silenciosas, clickjacking, etc.

Debido a que los plugin de navegador y software de usuario no pueden distinguir el origen verdadero del contenido del anuncio, los controles de seguridad basados en el navegador son neutralizados y los consumidores no tienen forma de saber si un sitio web en particular es verdaderamente seguro. Estas son las tácticas más comunes usadas por los desarrolladores de sitios web, las que están causando el problema:
  • Host que anuncian sus propios dominios
  • Uso de funcionalidad de scripting (típicamente JavaScript) corriendo del lado cliente para hacer publicidad proxy dentro de su dominio.
  • Uso de redirecciones internas para ocultar el origen tanto del contenido como de la publicidad de modo que el origen no se puede distinguir.
  • Filtrado de nombres de archivos y carpetas para impedir el reconocimiento y aleatorización de los tamaños de los marcos para bloquear el filtrado por tamaño de marco.
  • Depender de un entorno de exhibición de terceros con capacidad de scripting que no sea manejado por el navegador (tal como Flash y ShockWave de Adobe y Silverlight de Microsoft)
Podemos esperar que el mismo escenario también se desarrolle en la tablets, teléfonos inteligentes y otros dispositivos móviles.

Como consecuencia de estos desarrollos, el entorno web moderno está tan falto de confiabilidad que un usuario precavido que quiera llevar a cabo transacciones confiables necesita como mínimo usar alguna forma de funcionalidad de aislamiento para las funciones de la web en combinación con otro dominio apropiado de controles (antimalware, controles de scripting, etc.)

La industria de la publicidad puede (y debe) mitigar la amenaza del malware publicitario limitando las capacidades de scripting de la publicidad para atender un contenido arbitrario, usando proxy para el contenido publicitario, y filtrando de malware el contenido de la publicidad.

Estos son siete puntos de seguridad esenciales en que los servidores web y de publicidad se deben comprometer:
  • El servidor web debe requerir que el servicio/plataforma de publicidad sea responsable por verificar que la publicidad que suministra no sea maliciosa.
  • Si un sitio web aloja una funcionalidad importante (definida como manejo de información o realiza una funcionalidad cuya divulgación o escucha podría dañar al dueño del sitio web y/o sus usuarios), el sitio web debe -como mínimo- poner esa funcionalidad en un dominio diferente al que usan para alojar publicidad de terceros.
  • Si un sitio web soporta transacciones de valor significativo o maneja información muy sensible (como información médica), soportar publicidad de terceros no es aconsejable. De hecho, en tales casos el usuario debe ser aconsejado de cerrar su navegador, y abrir el sitio en cuestión usando SSL/TLS(HTTPS), y después cerrarlo.
  • Las compañías deben restringir los vínculos y funcionalidad de scripting en las publicidades de modo que las únicas direcciones que puedan llamar estén determinadas explícitamente y puedan ser redirigidas o sobreescritas por la red donde funcionan.
  • También deben hacer proxy y auditar esas publicidades para proveer la mayor seguridad. Los servicios de publicidad hacer escaneos antimalware en el contenido publicitario cuando lo cargan y luego volver a hacerlo cada vez que cambie el contenido o los enlaces.
Deberían restringir las publicidades que vienen mediante subrogación de llamadas de contenido desde cualquier ubicación excepto las direcciones especificadas que el servicio de subrogación podrá hacer proxy. Adicionalmente, deberían requerir que los servicios de subrogación también hagan proxy y escaneo de las publicidades que suministran.

El contenido y los enlaces deberían ser auditados y registrado incluyendo la cadena de responsabilidad de modo que si una publicidad suministrada por un servicio de subrogación es comprometida, se pueda asignar apropiadamente la responsabilidad.

En tanto hay precauciones de seguridad que el usuario puede tomar, las sencillas tales como las actualizaciones de antivirus y la verificación de los servicios de enlaces son inefectivas contra estos ataques; las irritantes tales como el bloqueo de funcionalidad de scripting pueden romper la funcionalidad del sitio web; y la defensa efectiva de manejar y correr múltiples entornos aislados requiere de cambios en el uso de patrones que muchos usuarios hallarían exasperantes.

Negocios y anunciantes serán ambos dañados su los consumidores pierden la confianza en sus dispositivos y la compra en línea. Debido a la escalada del riesgo para los usuarios, y la dificultad de proveer la seguridad adecuada al nivel del navegador o del dispositivo, corresponde a los propietarios de los sitios web y a los anunciantes reforzar sus plataformas de Internet contra la actividad maliciosa. Son sus clientes, nosotros, los que estamos siendo dañados.

Traducción: Raúl Batista - Segu-Info
Autor: Chris Weber
Fuente: Infosec Island

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!