25 de enero de 2014

El código que cambia para engañar a los hackers

Para evitar los ataques de piratas cibernéticos, una start-up estadounidense desarrolló una tecnología que cambia constantemente el código de los sitios web para hacerlos impenetrables.

Shape Security indicó que su producto, ShapeShifter, funciona con los lenguajes HTML, JavaScript y CSS y su objetivo es transformar el código de un sitio en un "blanco en movimiento" para prevenir que los cibercriminales ejecuten ataques que involucren la secuencia de comandos.

La compañía de Silicon Valley cuenta con el respaldo de varias empresas de alto perfil como Google.

Pero un experto indicó que los atacantes cibernéticos podrían todavía tener la habilidad de superar el innovador mecanismo de defensa.

Sin embargo, Ron Austin, profesor de seguridad informática de la Universidad Birmingham City en Reino Unido, indicó que probablemente les tomará más tiempo.

Shape Security señaló que la "apariencia y la sensación" de los sitios que usan su tecnología se mantienen inalteradas para los visitantes legítimos.

La empresa añadió que varias compañías ya han probado su producto, incluyendo el banco Citigroup y el vendedor de boletería StubHub.

Código

La start-up describe su producto como un "botwall", una palabra compuesta por dos términos en inglés que hacen referencia a una pared (wall), es decir, una barrera contra herramientas de software automático conocidas como bots, los cuales reconocen y explotan las vulnerabilidades del código de un sitio en internet.

Los bots se pueden usar con intenciones maliciosas como DDoS, que es como se conoce un ataque distribuido de denegación de servicios.

Los DDos (por sus siglas en inglés: distributed denial-of-service) fuerzan al servidor de un sitio web a colapsar al inundarlo con tráfico o al secuestrar el sitio, lo cual permite al hacker que modifique su contenido, robe información privada y distribuya un virus.

ShapeShifter reescribe el código de una página web cada vez que es cargada. Eso significa que los bots, que imitan el comportamiento humano, no tienen un marco de referencia cuando buscan las vulnerabilidades para atacar.

La página se ve igual para los usuarios, pero un bot no puede encontrar la manera de penetrar en el sistema.

Muchos productos intentan prevenir ese tipo de violaciones a sus sistemas al identificar bots por sus firmas -nombre que usan cuando se registran a sí mismos- y las direcciones de internet y correo electrónico a donde envían la información que roban.

Los hackers han intentado contraatacar los mecanismos de detección a través del uso de una técnica llamada "polimorfismo de tiempo real", que hace que sus bots reescriban sus propios códigos cada vez que infectan una computadora nueva para dificultar su reconocimiento.

                                                                    Sin cambios aparentes

Shape Security indicó que su producto revierte esta ventaja.

"El sitio web luce y 'se siente' exactamente igual al que tienen acceso los usuarios legítimos, pero el código del sitio subyacente es diferente en cada página", escribió en su blog el fundador de la compañía, Sumit Agarwal.

"ShapeShifter tiene como misión frenar la actividad de visitantes no-humanos que ejecutan ataques automatizados a gran escala. Eso podría ayudar a romper con la lógica económica de esas infracciones, como la que Target (cadena de tiendas estadounidense con un popular sitio de ventas en internet) experimentó a finales de 2013, al eliminar la ruta de la rentabilidad".

"Sin textos automatizados, muchos de los ataques de hoy en día dejarían de ser económicamente viables".

"Herramienta adicional"

La empresa consiguió recaudar, antes del lanzamiento del producto, US$26 millones entre inversionistas.

Entre quienes apoyan a Shape Security están:

Un experto en seguridad del Instituto de Internet de la Universidad de Oxford indicó que la innovación es prometedora.

"Es una herramienta adicional interesante que dificulta la labor de atacantes que quieren irrumpir en sistemas y que no puede ser trivialmente eludida por los atacantes con un cambio de comportamiento", le dijo a la BBC el doctor Ian Brown.

Sin embargo, Ron Austin añadió que si se le da suficiente tiempo, un hacker persistente podría todavía conseguir su objetivo.

"La advertencia a este enfoque sería: buscar por las partes del código polimórfico dentro del software que no cambia", explicó.


"Eso le daría al hacker un punto de referencia dentro del sistema y posiblemente permitiría que se perpetrara un nuevo ataque. Esto es difícil y llevaría tiempo, pues el atacante tendría que monitorear el software".

No hay comentarios:

Publicar un comentario