Muchas veces estamos bajo una conexion supuestamente segura, por ejemplo: SSL 3.0, RC4 con cifrado de 128 bits (alta); RSA con intercambio de 1024 bits, y pensamos que nadie va a poder acceder a nuestros datos, etc. …
Pero eso no es del todo cierto, ya que a veces los encargados de brindarnos estos servicios no se preocupan demasiado por el desarrollo de las aplicaciones que van a ser utilizadas por los clientes y menosprecian ciertas vulnerabilidades, que pueden llegar a ser muy peligrosas si se quiere.
Un ejemplo de esto son las ya muy conocidas SQL Injection y Cross Site Scripting (XSS), que aunque parezcan casi inofensivas, pueden ser fatales para los datos de una empresa.
Bueno para ir terminando esta nota, solo queria comentarles algo; recientemente descubrí ciertos errores en un servicio brindado por Red Link (Argentina) a ciertas entidades, la cual permitiria desde XSS hasta SQL Injection.
Para que se den una idea de lo que esta en juego, estas son las entidades que estarian afectadas:
Banco Columbia
Banco de Córdoba
Banco de Corrientes
Banco de Formosa
Banco de la Ciudad de Buenos Aires
Banco de la Nación Argentina
Banco de la Pampa
Banco de la Provincia de Buenos Aires
Banco de la Provincia del Neuquén
Banco de San Juan
Banco de Tierra del Fuego
Banco del Chubut
Banco del Tucumán
Banco Finansur
Banco Hipotecario
Banco Industrial
Banco Macro Bansud
Banco Mariva
Banco Municipal de la Plata
Banco Municipal de Rosario
Banco Privado
Banco Sáenz
Banco Santa Cruz
Banco Santiago del Estero
BNP Paribas
Credimas
Italcred
Masventas Cia. Financiera
Nuevo Banco de Entre Rios
Nuevo Banco de La Rioja
Nuevo Banco de Santa Fe
Nuevo Banco del Chaco
Sadela Cia. Financiera
Si miramos en la web de Red Link, en el apartado perteneciente a este servicio, hay una seccion donde se detalla la seguridad que posee dicho servicio:
“La conexión al servicio de Home Banking de Red Link se establece en modalidad segura. Los datos que se envían y se reciben desde nuestro servidor se encuentran encriptados y protegidos bajo altos estándares de seguridad.
Permanentemente se actualizan las herramientas de seguridad y se analizan los componentes instalados a fin de garantizar la inviolabilidad de la información.
La seguridad del sistema esta autenticada y verificada por VerySign.
“
Nada mas lejos de la realidad, ya que toda la seguridad del sitio es vulnerada por estas fallas, las que ponen en alto riesgo la informacion, y deja de ser “inviolable”.
Enlaces Recomendados:
Tecnicas de SQL Injection:
http://www.hernanracciatti.com.ar/document/Tecnicas%20de%20SQL%20Injection%20-%20Un%20Repaso.pdf
“The Cross Site Scripting FAQ”:
http://www.cgisecurity.com/articles/xss-faq.shtml
Tambien se han descubierto este tipo de fallas en otras entidades, como:
Banca Nazionale del Lavoro
Banco Macro Bansud
Entre otros…
Cabe aclarar que el objetivo de este articulo no es perjudicar a ninguna de estas entidades, ni mucho menos a sus clientes, que son los datos de los mismo los que estan en riesgo.
No se han proporcionado enlaces a ninguna de las webs vulnerables, ni se ha revelado el servicio que posee estas fallas, por razones mas que obvias.
Martin [XyborG] Aberastegue
Nota: La informacion correspondiente a la localizacion de las fallas solo sera revelada a quien corresponda.
PublicidadOtros articulos que te pueden interesar
- La banca será corresponsable en los fraudes por internet
- Desactivan una cuenta de GMail que recibió datos confidenciales por error
- Nuevo troyano bancario dirigido a entidades españolas y latinoamericanas
- Continúan los intentos de estafa contra bancos españoles
- Informe de Certisur realizado por D’Alessio IROL