Google ha lanzado un escáner de seguridad para ayudar a sus clientes de nube a protegerse contra ataques en sus aplicaciones web.
El Google Cloud Security Scanner, ahora disponible como beta gratuito para los usuarios de Google App Engine, se encuentra diseñado para superar varias limitaciones que usualmente se encuentran en los escáneres comerciales de seguridad de aplicaciones web, sostuvo Rob Mann, gerente de ingeniería de seguridad de Google, en una entrada de blog que anuncia el nuevo servicio.
Los escáneres comerciales pueden ser difíciles de configurar. Éstos pueden generar excesos de reportes de problemas, ocasionando demasiados falsos positivos. Están diseñados más para los profesionales de seguridad que para los desarrolladores.
El escáner de Google fue diseñado para ser fácil de usar, indicó Mann. El servicio se encuentra diseñado para encontrar los errores en el código que podrían ser explotados a través de XSS (cross side scripting) o ataques de contenido mixto, dos métodos de ataque comunes.
El escáner inspecciona una aplicación web en varios pasos. Primero, revisa rápidamente el código HTML de la aplicación, el cual hace el render de la interfaz frontal para usuarios. Luego cava más profundamente en el código JavaScript que corre la lógica de negocio para el sitio.
Los ataques XSS ocurren en sitios que permiten a los usuarios enviar su propio contenido, como los foros de discusión. Si el servidor web no revisa apropiadamente los materiales enviados, los atacantes pueden añadir código malicioso que se ejecuta cuando otros usuarios visitan el sitio.
Los ataques de contenido mixto aprovechan los sitios que mezclan las páginas HTTPS seguras con las páginas HTTP regulares no aseguradas. Tales sitios pueden engañar al usuario haciéndole creer que los datos se encuentran seguros, cuando de hecho no lo están.
El servicio de escaneo no cubre todos los tipos de vulnerabilidades, por lo que Mann recomendó a los clientes seguir realizando revisiones de seguridad manuales con profesionales. A medida que pase el tiempo, Google va a ampliar el servicio para cubrir una gama más amplia de vulnerabilidades.
En la actualidad Google no está cobrando por el escáner, aunque su uso podría generar pagos en los servicios de Google App Engine desplegados por la aplicación web que está siendo escaneada.
Amazon Web Services, competidora de Google Cloud Platform, no ofrece un servicio de escaneo de seguridad para sus clientes, aunque varias compañías externas ofrecen el servicio de escaneo en el mercado de Amazon.
Joab Jackson, IDG News Service