Fallos en Adobe Flash y diseño Web, claves del primer Black Hat 2010

Durante la conferencia de seguridad que ha empezado este fin de semana en Washington, los especialistas en seguridad planean mostrar la fragilidad en la construcción de hardware y software.

Michel Bailey, investigador de seguridad de Foregorund Security, por ejemplo, quiere realizar ataques en vivo y en directo contra páginas web para mostrar que pueden ser comprometidos por fallos en el diseño debido a Adobe Flash. “Lo que voy a hacer es que Flash sea tan vulnerable como cualquier punto de la red”, afirmaba el investigador sin querer nombrar los sites específicos que se van a atacar, aunque afirmando que serán sitios de redes sociales, compañías tecnológicas y medios de comunicación.

También se espera que se muestren vulnerabilidades en otras áreas. Una de las actividades será la de demostrar cómo un error a la hora de aplicar controles de criptografía conocidos a ViewState en tres marcos de programación de aplicaciones (Microsoft ASP.Net, Sun Mojarra y Apache MyFaces) puede permitir que un atacante lea los datos almacenados en un servidor. ViewState se describe como una técnica que permite a los marcos de trabajo de aplicaciones web crear elementos visuales persistentes para mantener una apariencia constante en múltiples páginas webs.

El remedio parece ser utilizar controles criptográficos basados en claves de cifrado que estén incluidos en los tres marcos de trabajo. Los desarrolladores evitan utilizarlos, según los expertos en seguridad, por razones de rendimiento o simplemente por ignorar las mejores prácticas de seguridad.

En los cuatro días que dura el Black Hat, del 31 de enero al 3 de febrero se esperan otras presentaciones, incluida una relacionada con nuevas técnicas para hackerar hardware, sistemas de vigilancia, el navegador Internet Explorer, Oracle 11g y hasta el iPhone.