1094

Seguridad en Servicios Web

Edgardo Bernardis, Hernán Bernardis, Mario Berón, Germán Montejano

Departamento de Informática
Facultad Ciencias Físico Matemáticas y Naturales
Universidad Nacional de San Luis

Ejército de los Andes 950 – San Luis – Argentina

{ebernardis, hbernardis, mberon, gmonte}@unsl.edu.ar

Resumen información personal o de empresas. Todo

tipo de información es valiosa, ya sea desde
Con el auge de internet y las distintas simples datos personales hasta sistemas y bases
dinámicas de la sociedad actual, ha cambiado de datos empresariales.
en gran medida la forma de interactuar entre las Con el auge de internet, el intercambio de
personas y las empresas. Este cambio notable archivos se ha vuelto un punto esencial en la
se observa en la forma de intercambiar sociedad actual. Los consumidores
información entre los distintos actores. Este intercambian información no sólo entre ellos
intercambio se vuelve de particular interés sino también con los vendedores. Para el
siendo blanco de ataque por parte de todos intercambio de información se utilizan
aquellos actores que quieren obtener diferentes medios entre los que se pueden
información útil y valiosa a sus propios mencionar redes sociales, correo electrónico,
intereses o de terceros. Es aquí donde cobra sistemas punto a punto, pagos online, juegos.
particular relevancia implementar todo tipo de Todo esto se fundamenta en la confianza y el
medidas y acciones tendientes a evitar estos correcto funcionamiento del software y del
ataques, por tal motivo surge lo que se hardware subyacente a dicho proceso.
denomina Seguridad Informática. Por lo antes mencionado es que surge lo que
En este artículo se describe una línea de se conoce como Seguridad Informática (SI).
investigación cuyo principal objetivo es el Existen diversas definiciones de SI, algunas
desarrollo de métodos, técnicas y estrategias más extensas que otras, pero todas enfocadas
orientadas a incrementar el nivel de seguridad en los mismos aspectos comunes. A los fines
de Servicios Web. de este trabajo, se adhiere a la siguiente
definición de SI: Preservación de la
Palabras clave: Aplicaciones Web, confidencialidad, integridad y disponibilidad
Servicios Web, Seguridad Informática, de la información en el Ciberespacio. A su vez,
Seguridad de la Información. el Ciberespacio se define como el entorno
complejo que resulta de la interacción de las
Introducción personas, software y servicios en Internet por
medio de redes y dispositivos tecnológicos
Con los avances de la tecnología, sobre todo conectados a el, y que no existe en ninguna
en el ámbito de internet, se vuelve sumamente forma física [1].
importante y necesario la protección de todo La información es un conjunto organizado
tipo de información. En la actualidad, es de datos, que cambia su enfoque y su estado de
realmente alta la cantidad de delitos que se conocimiento dependiendo del ámbito en
llevan adelante en contra de
 1095

la que se la utilice. Por ejemplo, si la independientemente de que se comprometa o

información se conceptualiza bajo el punto de no la seguridad de un sistema de información.
vista de la ingeniería: Estudio de las Una amenaza se puede definir como:
características y estadísticas del lenguaje que Cualquier elemento o acción que es capaz de
permite su análisis desde un enfoque aprovechar una vulnerabilidad y comprometer
matemático, científico y técnico. la seguridad de un sistema de información [6].
Desde el punto de vista de una empresa: Las amenazas se pueden clasificar o dividir en
Conjunto de datos propios que se gestionan y dos tipos; las intencionales, en caso de que
mensajes que se intercambian personas y/o deliberadamente se intente producir un daño
máquinas dentro de una organización [2]. (por ejemplo el robo de información). Las no
La información se ve afectada por muchos intencionales, en donde se producen acciones
factores, motivo por el cual se vuelve u omisiones de acciones que si bien no buscan
importante su seguridad. De aquí que explotar una vulnerabilidad, ponen en riesgo
Seguridad de la Información es: una los activos de información y pueden producir
disciplina, cuyo principal objetivo es un daño (por ejemplo las amenazas
mantener el conocimiento, datos y sus relacionadas con fenómenos naturales).
significados libres de eventos indeseables, Dentro de las diferentes áreas y enfoques
tales como el robo, espionaje, daños, que se pueden llevar adelante, en lo que
amenazas y otros peligros. La Seguridad de la respecta a seguridad informática, existe uno
Información incluye todas las acciones particularmente interesante y de gran
tomadas con anticipación, para evitar eventos crecimiento como lo son las aplicaciones que
no deseados [3]. ejecutan en la web. Estas aplicaciones son de
El objetivo de la SI es obtener un nivel lo más utilizado en la web por parte de los
aceptable de seguridad, entendiéndose por usuarios, debido a su versatilidad, beneficios,
aceptable un nivel de protección suficiente fácil utilización, comodidad, etc. Existe una
para que la mayor parte de potenciales gran variedad y cantidad de las mismas;
intrusos, interesados en los equipos con desarrolladas en diferentes tecnologías y
información de una organización o persona, lenguajes de programación. Todas contienen
fracasen en cualquier intento de ataque contra información formal (código fuente) e informal
los mismos. Asimismo, se encarga de (identificadores, comentarios, documentación,
establecer los mecanismos para registrar etc.). Es a partir de estos tipos particulares de
cualquier evento fuera del comportamiento información que se puede detectar y medir el
normal y tomar las medidas necesarias para re- nivel de comprensibilidad de la misma y a
establecer las operaciones críticas a la través de esto, aumentar o disminuir su
normalidad [4]. seguridad.
El punto o centro de ataque a la seguridad La organización de este artículo se expone a
informática se da en una Vulnerabilidad: continuación. La sección 2 describe la línea de
debilidad de un activo o control que puede ser investigación y desarrollo abordada. La
explotado por una o más amenazas [5]. La sección 3 presenta los resultados obtenidos
presencia de una vulnerabilidad no puede hasta el momento, junto con todos aquellos
causar daño en sí misma, ya que es necesario esperados a corto plazo. Finalmente, la
que exista una amenaza que la aproveche. Una sección 4 describe las tareas realizadas por los
vulnerabilidad que no tiene una amenaza, recursos humanos en formación.
puede no requerir la aplicación de un control,
pero debe ser reconocida, supervisada por si
Líneas de Investigación y Desarrollo
tiene cambios y, en lo posible, eliminada. En las sub-secciones siguientes se describen de
Las amenazas surgen a partir de la manera concisa la línea de investigación
existencia de vulnerabilidades, es decir que presentada en este trabajo.
una amenaza sólo puede existir si existe una
vulnerabilidad que pueda ser aprovechada,
 1096

Técnicas para Medir el Nivel de Aproximaciones para Incrementar la

Comprensibilidad de las Aplicaciones Web Seguridad de las Aplicaciones Web

Una de las formas de analizar si un software Como se mencionó anteriormente, toda

es o no seguro, se puede llevar a cabo a través aplicación web está conformada por distintos
de la estimación de su nivel de tipos de información, tanto formal como
comprensibilidad. Entendiendo tal concepto informal. Al analizar detalladamente y estimar
como una medida que establece a priori la su nivel de comprensibilidad, permitirá
facilidad de entender la tarea que un sistema de detectar las partes más entendibles, lo que las
software lleva a cabo. Es de suponer que vuelven más vulnerables para su manipulación
mientras más fácil sea de comprender más fácil y/o robo de información. En este punto, es
será de vulnerar. Por lo antes mencionado, se posible definir estrategias que permitan
estudian métodos y estrategias que permitan subsanar las vulnerabilidades y proteger las
medir la comprensibilidad con alto nivel de partes del software que sean susceptibles de
precisión. ataques.
En este contexto, el grupo de investigación En este contexto, se toma como base
está centrado en la elaboración de estrategias aproximaciones basadas en el análisis del
que permitan medir a priori o a posteriori el código de las aplicaciones y las
nivel de comprensibilidad de Servicios Web transformaciones correspondientes que
(SW). Dicho enfoque se lleva a cabo debido al permitan incrementar el nivel de seguridad.
crecimiento, interoperabilidad y ventajas que Existen diversas formas para poder analizar
ofrecen los SW, lo que los vuelve un blanco y extraer información de un código fuente. En
atractivo por aquellos actores interesados en el caso de esta línea de investigación, se
robar o manipular la información valiosa que utilizan las técnicas de compilación
pueden contener. tradicionales [16] que usan la representación
de Árbol de Sintaxis Abstracta decorado para
Visualización de Vulnerabilidades y partes representar el código fuente. De manera
Comprensibles simplificada, como primer paso se utiliza un
Analizador Lexicográfico (Lexer), que toma el
No solo basta con detectar los puntos código fuente y lo divide en fragmentos o
vulnerables y comprensibles de un sistema de partes denominadas tokens [7]. Estas partes o
software sino que se deben visualizar de la tokens son la entrada del Analizador Sintáctico
manera adecuada. Esta tarea es necesaria ya (Parser), el cual tiene dos funcionalidades
que cuando se analizan sistemas de gran principales: Verificar si la especificación del
envergadura, la información extraída puede ser Programa no tiene errores sintácticos y realizar
muy grande y compleja de entender. Por acciones semánticas para llevar a cabo
consiguiente, si no se plantea apropiadamente actividades tales como: recolección de
la forma de visualizarla, es decir, presentada de información específica, control,
forma sintetizada y con extrema facilidad de transformación de código, etc. La salida del
análisis será sumamente complejo examinarla parser es un Árbol de Sintaxis Abstracta sobre
y por lo tanto, aplicar las estrategias tendientes el cual se pueden aplicar diferentes recorridos
a mejorar e incrementar el nivel de seguridad para recuperar, efectivamente, la información
de los puntos vulnerables será todo un desafío. compleja del sistema. Una vez obtenida la
En este contexto, los estudios se centran en la información requerida y de acuerdo al grado de
generación de visualizaciones innovadoras comprensibilidad de las mismas, se realizan las
que permitan disminuir la brecha existente modificaciones y/o transformaciones
entre la información extraída de las necesarias, según los métodos elegidos, para
aplicaciones y la estructura de conocimiento mejorar la seguridad de la aplicación al volver
del programador. menos comprensible dicha información.
 1097

particular de este trabajo se utiliza

Resultados Obtenidos/Esperados DOM (Document Object Model), que
facilita las distintas estrategias de
Hasta el momento se han llevado a cabo
inspección de información y
las siguientes tareas:
manipulación de la misma [13]. Así
mismo, la herramienta es parte de un
 Se desarrolló una métrica que posibilita proyecto de mayor envergadura, cuyas
medir a priori la comprensibilidad de operaciones sobre el código fuente son
aplicaciones. Esta métrica utiliza un más complejas y en las cuales utilizar
método multicriterio que permite que el DOM facilita el trabajo.
ingeniero de software pueda volcar su
 Se estuvo trabajando con métodos
experiencia en el dominio de la
simples de ofuscación y encriptación
aplicación. Experiencia que beneficiará
de código para mejorar el nivel de
en la precisión del cálculo del nivel de
seguridad de la información contenida
comprensibilidad.
en los identificadores [14, 15]. Las
 También, como parte del proceso de Técnicas de Comprensibilidad
validación, se desarrolló un prototipo permiten, a través de métricas, medir el
que implementa la métrica antes nivel o grado de entendimiento de un
mencionada y en la cual se llevaron a WSDL [8, 9, 10]. Mientras mayor sea
cabo pruebas para validar los el nivel de comprensibilidad o
resultados. Además, como parte de la entendimiento de la información,
herramienta, se agregaron diagramas mayor será su vulnerabilidad. Si las
de barras e iluminación de código métricas indican que el nivel de
fuente para visualizar el nivel de comprensibilidad de un WDSL es alto,
comprensibilidad del mismo. Todas se lo puede manipular y transformar
las pruebas se aplicaron sobre Servicios con métodos adecuados de ofuscación
Web especificados en WSDLs (Web y/o encriptación. Al aplicar dichos
Services Description Language), esto procesos la información se volverá
es debido a la simplicidad que proveen menos entendible, por consiguiente su
para la extracción de la información. Es nivel de comprensibilidad será mucho
importante notar que todas las ideas menor y por lo tanto más segura.
probadas para un WSDL [11] pueden
ser extendidas y utilizadas con relativa Entre los objetivos planteados a corto y largo
facilidad en aplicaciones que usan otros plazo relacionados a este trabajo se pueden
lenguajes de programación. mencionar:
 Se generaron, como parte de las tareas
mencionadas previamente, diferentes  Extender el nivel de seguridad no solo a la
publicaciones en congresos información contenida en los
nacionales, internacionales, capítulos identificadores, sino a todos los
de libros y revistas indexadas. componentes que forman una
 Se desarrolló un prototipo con especificación de un WDSL.
diferentes recorridos en el árbol de  Ampliar y aplicar el prototipo a
sintaxis abstracta que permite extraer la especificaciones escritas en BPEL debido a
información de los identificadores. que este lenguaje es muy utilizado para la
Dicho proceso se aplicó a WDSLs ejecución de procesos de negocios.
mediante la utilización de un parser. El Afortunadamente dicho lenguaje también
lenguaje utilizado por los WDSL es el utiliza el lenguaje XML, lo cual facilita su
XML [12] y para este lenguaje existen procesamiento.
varios parsers. En el caso
 1098

[7] Mario Berón, Germán Montejano, Daniel

 Estudiar, comprender y ampliar el número
Riesco, Pedro Rangel Henriques, Narayan
de métodos de encriptación y ofuscación de
código utilizados. Debnath. SIP: A Simple Tool for Inspecting and
 Crear un entorno que permita aplicar y Evaluating WSDL Specifications. 10th
utilizar métodos de terceros tendientes a International Conference on Information
mejorar la seguridad; ajenos a los Technology: New Generations. 2013.
implementados en la herramienta.
[8] Hernán Bernardis, Edgardo Bernardis, Mario
Berón, Daniel Riesco, Pedro Rangel Henriques,
Formación de Recursos Humanos Maria Joao Pereira. Cálculo de Métricas para
Medir el Grado de Entendimiento de una
Las tareas realizadas en el contexto de la Descripción WSDL. WICC. 2016.
presente línea de investigación están siendo
desarrolladas como parte de trabajos para optar [9] Mario M. Berón, Hernán Bernardis, Enrique
al grado de Magister en Ingeniería de Software. A. Miranda, Daniel E. Riesco, Maria João Pereira,
En el futuro se piensa generar diferentes tesis Pedro Rangel Henriques. "WSDLUD: a Metric to
de licenciatura, maestría y doctorado a partir de Measure the Understanding Degree of WSDL
los resultados obtenidos en la presente línea de Descriptions". Proceedings of the 2015
investigación. Todas las actividades están Symposium on Languages, Applications and
enmarcadas en el proyecto de investigación Technologies, SLATE'15. Madrid, España 2015.
“Ingeniería de Software: Conceptos, Prácticas
y Herramientas para el desarrollo de software [10] Bernardis, Hernán; Berón Mario; Bernardis,
de Calidad”. Edgardo; Riesco, Daniel; Henriques, Pedro.
“Extracción de información y cálculo de métricas
Bibliografía en WSDL 1.1 y 2.0”. II Congreso Nacional de
[1] ISO/IEC. Iso/iec 27032:2012 information Ingeniería Informática / Sistemas de información
technology - security techniques - guidelines for (CoNaIISI). Argentina. 2014.
cybersecurity. [11] WSDL Specification for W3C
[2] Jorge Ramió Aguirre. Libro Electrónico de https://www.w3.org/TR/wsdl.
Seguridad Informática y Criptografía. Universidad [12] Extensible Markup Language (XML) 1.0
Politécnica de Madrid, 2006. (Fifth Edition). https://www.w3.org/TR/REC-
[3] Jeremy Hilton Yulia Cherdantseva. xml/.
Understanding information assurance and security. [13] Parser DOM specification for W3C.
2013. https://www.w3.org/DOM.
[4] Alejandra Stolk. Técnicas de seguridad [14] Cappaert, J. Code obfuscation techniques for
informática con software libre, 2013. Parque software protection. Katholieke Universiteit
Tecnológico de Mérida. ESLARED. Leuven. 2012.
[5] ISO/IEC. Iso/iec 27000:2016 information [15] Stallings W. Cryptography and Network
technology - security techniques - information Security Principles and Practice. Fifth Edition.
security management systems - overview and
vocabulary, 2016. [16] A. V. Aho, R. Sethi, and J. D. Ullman.
"Compilers Principles, Techniques and Tools".
[6] http://www.seguridadinformatica.unlu.edu.ar/. Addison-Wesley, 1986.
UNLU. 2016.