Core Security Technologies, proveedor de CORE IMPACT -el producto más agudo para evaluar seguridad a nivel corporativo- presentó CORE GRASP, una nueva tecnología open-source diseñada para proteger aplicaciones web. Esta tecnología, presentada en Black Hat USA 2007 por investigadores de CoreLabs, el brazo dedicado a investigación de Core Security, permite detectar y bloquear ataques de inyección del lado de la aplicación. Aunque la tecnología podría aplicarse a cualquier entorno de aplicaciones web y a una gran cantidad de ataques a las mismas, la compañía está proveyendo una implementación open-source de CORE GRASP para prevenir ataques de inyección de comandos SQL (SQL-injection attacks) para aplicaciones desarrolladas en PHP.
“Las aplicaciones web son el eslabón débil en la infraestructura de seguridad informática de muchas organizaciones. Esto se debe al alto número de exploits e incidentes relacionados con SQL injection, cross-site scripting y otras vulnerabilidades relacionadas con las aplicaciones web. Las aplicaciones PHP son particularmente preocupantes debido al alto y acelerado crecimiento del número de bugs que se conocen, así como de la poca consideración que se le da a la seguridad durante el desarrollo y la instalación de las mismas”, dijo Iván Arce, CTO de Core Security. “Esperamos que la contribución que hacemos con la tecnología GRASP a la comunidad de seguridad de aplicaciones web ayude a mejorar el estado de la seguridad de PHP”.
Si bien existen varias herramientas de seguridad para aplicaciones web, éstas no previenen eficientemente la explotación de inyección de SQL u otras vulnerabilidades que son vectores de ataques comunes y altamente preligrosos. Los atacantes regularmente roban o modifican la información almacenada en las bases de datos (en el back end de la aplicación) para ganar acceso al back end mismo, explotando vulnerabilidades de inyección en aplicaciones web. Adicionalmente, una vez que las vulnerabilidades son detectadas, éstas son típicamente difíciles de arreglar en tiempo y forma pues este proceso usualmente involucra identificar y corregir bugs en el código fuente y re-instalar las aplicaciones arregladas (emparchadas) en los sistemas de producción.
El pasado 2 de Agosto de 2007, los investigadores de Core Security Ezequiel Gutesman y Ariel Waissbein -durante la conferencia Black Hat USA 2007 en Las Vegas, NV, USA- presentaron los resultados de un proyecto de investigación que ataca esta problemática e introdujeron a CORE GRASP. Esta tecnología de protección de aplicaciones web se basa en una técnica de análisis dinámico granular sobre el flujo de datos reminiscente del taint analysis de Perl. No requiere acceder o hacer cambios en el código fuente de las aplicaciones web a proteger, y puede instalarse para resguardar aplicaciones ya existentes después de un mínimo esfuerzo de configuración. Durante la presentación los investigadores describieron en detalle una implementación completa para proteger PHP y demostraron explícitamente como resguarda las aplicaciones contra inyección de SQL. Gutesman y Waissbein invitaron a la audiencia a unirse al desarrollo y colaborar en el proyecto.
