OWASP, el “mecanismo” de defensa contra las amenazas web

OWASP, web mehatxuen aurkako defentsa "mekanismoa".

2025(e)ko martxoaren 12(a) Iñigo Ladrón Morales

Produktu eta zerbitzu informatiko guztiek software eta hardware alorrean akatsak, okerrak, problemak, bugs, segurtasun hutsuneak edo segurtasun zuloak, edo ahultasunak dituzte.

'Hauetako akatsak aprobetxatzea, ahultasunak ustiatzen dituzten lanak eginez, zerbitzuetan, sistemetan, aplikazioetan eta informatikako sareetan, eguneroko kontua da eta zibererasotzaile eta ziberdelitugileen helburu nagusia da, jakitun direlarik bide "erraza" dela zulo horietatik sartzeko, sarbidea lortzeko, pribilegioak eskuratzeko eta euren helburuak lortzeko.'

Ahultasun bat, beraz, ahulezia edo porrot bat da sistema batean, zibererasotzaile batek sistema horren segurtasuna konprometitzeko baliatu dezakeena, horrela integritatea, eskuragarritasuna edo konfidentzialtasuna kaltetuz. Ahultasun hauek teknologia-infrastruktura desberdinetan egon daitezke, sare-mailatik aplikazio-mailara arte. Arlo ahulenen artean web-aplikazioak, sistema eragileak, datu-baseak, sare-gailuak eta beste software mota batzuk daude.

Ahultasunak hainbat kategoriatan sailka daitezke, bakoitzak bere efektu eta ustiapen metodo multzo propioa duela:

Injekzio Ahultasunak. Ezagunenetako batzuk SQL injekzioa (SQL kode injekzioa) eta XSS (Cross-Site Scripting) dira, eta horiek erasotzaileei debekatutako kodea exekutatzen uzten diote erasotutako sisteman eta sistema informatiko baten barruan datu sentikorretara sartzen edo aldatzen.
Autentifikazio eta Sarbide Kontrolaren Ahuleziak. Hauek zibererasotzaileei aukera ematen diete autentifikazio eta identifikazio sistemak eta ereduak saihesteko, edo mugarik gabeko sarbideak eta pribilegioak lortzeko baimenik gabeko funtzio edo datuetara.
Saio Kudeaketa Ahuleziak. Zibererasotzaileek erabiltzaile legitimoen saioak bereganatzea eta bahitzea ahalbidetzen dute, erabiltzailearen izenean ekintzak egiteko, inork horretaz jabetu gabe.
Konfigurazio Seguragabeko Ahuleziak. Konfigurazio akats baten oinarrian daude, sistema bat oker parametrizatuta dagoenean gertatzen dira, datu edo funtzionalitate sentikor batzuk agerian uzten dituztelarik.
Datu Sentikorren Etxebizitza Ahultasunak. Informazio konfidentzialaren etxebizitza suposatzen dute, hala nola pasahitzak edo pertsonako datu sentikor eta konfidentzialak, baimenik ez duten pertsonen esku.
Informazio Ihesaren Ahultasunak. Hauek ahultasunak informazio sentikorra baimenik gabe zabaltzea ahalbidetzen dute.
Zero-baldintzako Zerbitzuen Ahultasunak (DoS / DDoS). Ahultasun mota hauek zerbitzuaren erorketa edo iturri-aseguruen saturazioa eragin dezakete, sistemaren eskuragarritasuna eta negoko jarraipena kaltetuz.

Hauetako mehatxuak borrokatzeko, gure sistema informatiko guztietan dauden ahultasunak sakon ulertzea eta horiek egoki kudeatzeko estrategia eraginkor bat izatea beharrezkoa da.

Hemen sartzen da OWASP (Open Web Application Security Project), softwarearen segurtasuna hobetzeko dedikatutako komunitate globala. Zehazki, irabazi asmorik gabeko komunitate mundial bat da, baliabideak, tresnak, gidak eta kode irekiko proiektuak eskaintzen dituena enpresek web aplikazioetan eta web zerbitzuetan ahultasunak ulertzen, identifikatzen eta arintzen laguntzeko, eta aplikazio eta zerbitzu seguruak eraikitzeko.

Ahultasun kudeaketa identifikatzea, klasifikatzea eta konpontzea dakar sistema informatiko batean segurtasun ahultasunak. Enpresek ahultasunak eskaneatzeko tresnak eta markoak erabiltzen dituzte, hala nola CVE (Ahultasun eta esposizio komunak) eta CVSS (Ahultasunaren puntuazio sistema komun), aurkitutako ahultasun bakoitzari lotutako arriskua katalogatzeko eta ebaluatzeko (ezaguna izan ala Zero Day agerpen inminentea izan).

Tanto pentesting (sarrera probak) nola sarrera proba, nahiz eta antzekoak diruditen, ez dira berdinak. Sistema informatiko baten segurtasuna ebaluatzeko erabiltzen diren teknika batzuk dira, baina elkarrekin desberdinak dira euren ikuspegi eta irismenean. Pentesting benetako erasoa simulatzen zentratu egiten da sistema (edo azpistema) zehatz batean. Aldiz, sarrera proba zabalagoa da, azpiegitura osoaren segurtasuna ebaluatzen baitu, sistema, azpistema, sare eta segurtasun politikak barne.

OWASP gidatzen ditu beharrezko irizpideak eta tresnak pentesting eta intrusio probak egiteko, sistema indibidual batean edo azpiegitura oso batean ahultasunak identifikatu eta murrizteko. Adibidez, OWASP ZAP (Zed Attack Proxy) tresnak zibersegurtasuneko profesionalek erabiltzen dituzte web aplikazioetan ahultasunak identifikatzeko penetrazio probetan.

Gainera OWASP-ez gain, beste erakunde batzuk daude, hala nola MITRE (MITRE ATT&CK, edo erasotako tekniken matrizea) eta ICS2 (ICS2, edo Informazio Sistema Segurtasun Ziurtagiri Kontsortzio Internazionala), zibersegurtasunari buruzkoak, baina OWASP-en interes eremu eta hurbilpen desberdinak dituzte.

MITRE irabazi asmorik gabeko erakunde bat da, teknologien eta estandarren ikerketa eta garapenean zentratzen dena zibersegurtasunari buruz.
ICS2 zibersegurtasun profesionalen ziurtapenean eta prestakuntzan zentratzen da.

Hala ere, horien artean, OWASP, MITRE eta ICS2 artean, arlo askotan gainjartzeak eta superposizioak daude, nahiz eta OWASP bereziki nabarmentzen den softwarearen zibersegurtasunari eta web aplikazioen zibersegurtasunari buruzko fokua duelako.

OWASP -k TOP 10 -ren ahultasunak denborarekin eboluzionatzen du. Hori da web aplikazioetan dauden 10 ahultasun kritikoen zerrenda. Hauek sailkatzen dira zibersegurtasun adituen esperientzian oinarrituta.

Gaur egun, existitzen den azken bertsioa OWASP Top 10 2021 da. Bere ahultasun TOP batzuk kode injezioa, autentifikazio okerra/defektuosa eta datu sentikorren esposizioa dira. Ahultasun horiek arrisku ohikoenak eta larrienak irudikatzen dituzte, enpresek beren web aplikazioen segurtasuna bermatzeko jorratu beharrekoak.

Baina, nola detektatzen, identifikatzen eta izendatzen dira ahultasunak? Prozesu sistematiko, arduratsua eta zorrotza da, 2021eko OWASP Top 10 buruzko informazioa biltzea eta bere eragin potentziala eta murrizketa neurriak aztertzea barne hartzen ditu.

Ahultasunak industriako zibersegurtasunaren estandarren arabera izendatzen dira, hala nola:

CVE (Arrisku eta esposizio komunak). Mundu mailan erabiltzen den arriskuen identifikazio eta izendapen sistema publiko bat da, arrisku bakoitzari identifikatzaile bakarrak ematen dizkiona, segurtasun tresnen interoperabilitatea eta erakundeen kolaborazioa errazten duena.
CVSS (Common Vulnerability Scoring System). Ahalegin bat da, ahultasun batek duen arriskua/ciberarriskua zenbaki bidez ebaluatzeko erabiltzen den puntuazio sistema, bere larritasuna, eskala, esplotatzeko erraztasuna eta ondorio potentziala kontuan hartuta.

Azken finean, OWASP funtsezko papera betetzen du software eta web aplikazioen zibersegurtasuna hobetzeko, itzulpenak eta tresnak eskaintzen dituelarik, erakundeei identifikatzen, murrizten eta konpontzen laguntzen dieten ahultasunak, horrela aktibo digitalak eta erabiltzaileen pribatutasuna babestuz.

Komunitate eta kode irekia oinarritutako ikuspegiarekin, OWASP etengabe eboluzionatzen ari diren zibermehatxuak aurka borrokan funtsezko aktore izaten jarraitzen du.

Jakina, Zerolynx-en ohikoak dira OWASP eta mundu osoan estandarizatutako modelo eta marko guztiak, gure Detekzio Zerbitzuak ematean, hala nola:

- El CMS Plataforma gaineko Hacking (Pentest Web).
- El Barne eta kanpoko Pentesting.
- La Web Segurtasun Auditoria.
- La Mobile Application Security Audit.
- Zero Zerbitzuen Ukapen Probak (DoS).

Zerolynx-en zerbitzu guztiak ezagutzeko gonbidatzen zaitugu.