INVESTIGADORES DEL MIT CREAN UNA HERRAMIENTA PARA IDENTIFICAR FALLAS DE SEGURIDAD

bug-finder

Investigadores del MIT han desarrollado un sistema rápido y eficaz para identificar fallas de seguridad en aplicaciones web escritas en Ruby on Rails, de acuerdo a los reportes publicados la semana pasada.

En pruebas los investigadores, profesor del MIT Daniel Jackson y el investigador con posdoctorado de la Universidad de California Joseph Near, ejecutaron su sistema en 50 aplicaciones populares y descubrieron 23 fallas de seguridad que no habían sido descubiertas anteriormente.

Lo mejor es que el tiempo más largo que le tomo al sistema analizar un programa fue de 64 segundos.

“Incluso si escribes un programa pequeño, este se sienta encima de un vasto edificio de bibliotecas, plugins y frameworks,” dijo Jackson, quien está próximo a presentar sus recomendaciones en la Conferencia Internacional de Ingeniería de Software en Mayo.

“Cuando se mira una aplicación web escrita en un lenguaje como Ruby on Rail, si se intenta hacer un análisis estatico convencional, normalmente te encuentras sumido en un enorme pantano. Y esto lo hace realmente inviable en la práctica,” continuo.

El análisis estático es un método para analizar fallas de seguridad en el código fuente de un programa.

INVESTIGACIÓN DISTINTIVA

Para evitar el pantano, Near invento una manera de tornar Ruby on Rails en una herramienta para hacer análisis estático de esta manera se ejecuta un programa por el framework produciendo una descripción fácil de seguir, línea por línea de como el programa maneja los datos.

Estos métodos están incorporados en un depurador llamado Space, el cual será descrito en un artículo académico en mayo.

Con Space, los procedimientos para acceder a los datos de un programa pueden ser evaluados basado en la manera en que las aplicaciones acceden de manera típica a los datos. Si de casualidad parece que un programa está accediendo de forma atípica a los datos, hay una posibilidad de que tenga fallas de seguridad.

Usando un análisis estatico para el control de las vulnerabilidades hace que esta investigación sea muy distintiva, aseguro Tim Jarret, director de estrategias de seguridad en Veracode.

FALSOS POSITIVOS

En vez de enfocarse en atacantes ejecutando su propio código sin una aplicación, Jackson y Near han enfocado su atención en los problemas de control de acceso. Ellos quieren estar seguros de que un usuario está autorizado a hacer algo en la aplicación antes de que algún código sea ejecutado.

Por ejemplo, en un foro en línea se quiere que un visitante inicie sesión antes de hacer alguna contribución en algún hilo. Si el visitante puede escribir sin iniciar sesión, esto es una falla en el código que puede ser marcada por los métodos de los investigadores.

El depurador de los investigadores para ser más preciso que el ojo humano en identificar fallas de seguridad al programar, anoto Jarrett.

Lo que no se sabe sobre el depurador es cuantos falsos positivos ha identificado. Un falso positivo es un código identificado como problemático pero que en realidad está bien.

“Esto es un problema en el mundo real porque si se reportan muchos falsos positivos lo que típicamente pasa es que el desarrollador del software que está recibiendo estos reportes los mirara y dirá que son basura, y hará caso omiso a las recomendaciones,” dijo Jarrett.

Vía: TechNewsWorld

No Comments Yet

Leave a Reply

Your email address will not be published.

 

SIGUENOS EN FACEBOOK