211service.com
Un plan para detener los ataques al navegador
A medida que el contenido generado por el usuario se ha vuelto más popular en línea, los sitios web permiten cada vez más a los usuarios personalizar, por ejemplo, los comentarios de sus blogs o las publicaciones en sitios de redes sociales con código HTML. Sin embargo, esto también expone a los sitios web al riesgo de un tipo de ataque conocido como scripting entre sitios, que puede permitir a los atacantes robar información de los usuarios a través de un sitio confiable.
La semana que viene, en el Simposio de IEEE sobre seguridad y privacidad , en Oakland, CA, investigadores del Universidad de Illinois en Chicago presentará una nueva forma de defenderse de los scripts entre sitios. El enfoque permite que un sitio web controle cómo se transmite el contenido generado por el usuario a un navegador web, neutralizando potencialmente los ataques de secuencias de comandos entre sitios antes de que puedan llegar a la víctima prevista.
La secuencia de comandos entre sitios implica hacer que el navegador de un usuario ejecute una secuencia de comandos no autorizada inyectada en algún lugar de las páginas de un sitio web aparentemente confiable. La secuencia de comandos puede permitir que un atacante robe las credenciales de inicio de sesión de un usuario u otra información confidencial.
La secuencia de comandos entre sitios es la vulnerabilidad más frecuente en Internet, dice Jeremiah Grossman , fundador y director de tecnología de Seguridad de sombrero blanco , que no participó en la investigación. Es una especie de cucaracha en la industria. Grossman dice que los sitios web más nuevos están mejor equipados para defenderse de las secuencias de comandos entre sitios, pero todavía hay millones de sitios vulnerables en Internet. Necesitamos alternativas para arreglar el código, dice.
Los investigadores de la Universidad de Illinois desarrollaron una capa de software, llamada Blueprint, que los desarrolladores web pueden insertar entre las páginas generadas por el usuario y el navegador. Los investigadores diseñaron Blueprint para que funcionara con ocho navegadores principales, que representan más del 96 por ciento de la cuota de mercado actual, y probaron el sistema contra 94 tipos de ataques de secuencias de comandos entre sitios extraídos de un repositorio de Internet llamado XSS Cheat Sheet. Descubrieron que prevenía con éxito todos los ataques de la lista.
Blueprint se ubica en los servidores de un sitio web, lee HTML generado por el usuario y lo compara con una lista blanca de código confiable. Elimina cualquier script potencialmente dañino y decide cómo debe aparecer el contenido en un navegador. Luego reformatea la información y la transmite al navegador. Blueprint se asegura, por ejemplo, de evitar caracteres y símbolos que a veces se utilizan para enviar señales de secuencias de comandos no autorizadas al navegador de un usuario. El contenido inofensivo debería superar el proceso sin verse afectado, dicen los investigadores.
La raíz del problema, explica V. N. Venkatakrishnan , profesor asistente de ciencias de la computación que participó en el proyecto, es que los navegadores fueron diseñados originalmente para perdonar el código de página web mal escrito. Los navegadores intentan hacer la mejor representación posible de cualquier tipo de contenido mal formateado, dice.
A lo largo de los años, diferentes navegadores han desarrollado sus propias formas de interpretar contenido mal formateado. Los atacantes pueden aprovechar esto insertando HTML que se ejecutará como un script en el navegador correcto. Esto hace que el problema de filtrar contenido HTML para scripts sea muy, muy desafiante, dice Venkatakrishnan. Se están realizando esfuerzos para cambiar la forma en que funcionan los navegadores, pero los investigadores dicen que mientras tanto se necesita otra solución.
Lo que queremos hacer es eliminar la capacidad del analizador del navegador para tomar decisiones de identificación de secuencias de comandos sobre el contenido que no es de confianza proporcionado por la aplicación web, dice Venkatakrishnan.
Robert Hansen , Director ejecutivo y fundador de la empresa de seguridad de Internet SecTheory, que mantiene la hoja de referencia XSS, dice que, aunque Blueprint protege contra la mayoría de las principales amenazas de secuencias de comandos entre sitios, no cubre todas las amenazas posibles. Hay otras formas de renderizar cosas dentro de un navegador y, desafortunadamente, esto no cubre ninguna de ellas, dice.
Hansen agrega que el sistema de los investigadores protege el contenido envolviéndolo en un script que los motores de búsqueda no pueden leer. Ésta no es una panacea, dice, pero ese es el gran problema. Hansen dice que las secuencias de comandos entre sitios es un problema demasiado complejo como para detenerlo sin cambiar el funcionamiento del navegador.