Cerrar Menú Blogs
Las opiniones de los blogueros son de su estricta responsabilidad y no representan la opinión de este portal.
Profile image

Ingresa o regístrate acá para seguir este blog.

Seguir este blog

 | El lado oscuro de Internet también está en Facebook:click acá!

?Today, the path of least resistance to this goal is not the network gear, not crypto-mathematics, nor bribery; it is application software.?

Germanow et all

Usted recibe un email enviado desde atencionalcliente@subanco.com.co en el que le informan que la entidad está actualizando las bases de datos de sus clientes y que, por consiguiente, le solicitan hacer clic en un link que está dentro de ese mensaje y llenar un formulario disponible en una URL que corresponde efectivamente al dominio de su banco. Aparentemente todo se ve bien, porque, finalmente, el link sí lo dirige a una página legítima, así que ingresa en ella toda la información que le era solicitada. Lamentablemente usted pudo haber sido víctima de una de las varias formas de explotar una clase de vulnerabilidades propia de las aplicaciones web, conocida como cross site scripting (XSS).

Brendan Eich, entonces ingeniero de Netscape Communications Corp. y quien actualmente hace parte del staff de mozilla.org, desarrolló el scripting language orientado a objetos que primero fue conocido como Mocha, luego como LiveScript y que, finalmente, el 4 de diciembre de 1995 fue bautizado con el nombre de JavaScript; se utilizó por primera vez en el navegador Netscape 2.0B3 en ese mismo diciembre.

Si bien Netscape, en palabras del mismo Eich, ?estaba buscando alguien para trabajar en un lenguaje de scripting o en alguna clase de lenguaje que pudiera ser usado para automatizar partes de páginas web o para hacer páginas web más dinámicas?, debió enfrentar los riesgos de seguridad que se generaban al enviar código ejecutable al navegador.

Noopur Davis y Shawn Herman, de Carnegie Mellon Software Engineering Institute, mencionan en una presentación suya estos puntos, que bien vale la pena reproducir acá:

– Los ataques dirigidos contra errores de programación en las aplicaciones son causa del 90% de los incidentes de seguridad.
– Al software defectuoso se debe el 75% de todas las vulnerabilidades.
– Intel aplicó 2.4 millones de parches a sus redes.
– Un scan de 470 máquinas demostró que se necesitaban 8,000 parches.
– Una organización con 100,000 IPs podría recibir 2.3 millones de vulnerability probes por día.
– El Aberdeen Group estimó que el costo total de administración de vulnerabilidades en empresas americanas en 2002 fue de US$3.5 billones.

Y, después de este recorrido, sugre la inevitable pregunta: ¿cómo estamos en Colombia frente al desarrollo de aplicaciones web seguras? Justamente sobre esto conversé ayer un momento con ¿ngelo Rodríguez, consultor en seguridad, quien comentaba que en su experiencia profesional ha podido confirmar mis sospechas: la gran mayoría de empresas solamente se preocupan porque las aplicaciones funcionen; algunas pocas se preocupan por la seguridad en el flujo de los datos; y, lastimosamente, debemos ubicar en una función que tiende a cero a aquellas que de verdad se preocupan por desarrollar aplicaciones web realmente seguras.

¿Esto en qué se traduce? Menciono varios ejemplos de la vida real, que para muchos no serán sorpresivos:

– Mi querido amigo bytemare descubrió, hace más de dos años, vulnerabilidades en el sitio web de un ministerio del gobierno nacional que permiten a cualquier atacante disparar exitosos ataques XSS. A pesar de haber notificado de la existencia de estas vulnerabilidades a funcionarios de ese ministerio, no han sido corregidas (al menos hasta donde se); así que, mi estimado lector, si usted ingresa sus datos en algún sitio de un ministerio del gobierno nacional, puede estar muy amablemente entregándolos a un delincuente (esperemos que, si esto ocurre, sean solamente adolescentes con ganas de divertirse).

– Hace unas semanas (meses?) circularon en listas colombianas alertas acerca de phishings que dirigían a sus víctimas a páginas ubicadas dentro de dominios legítimos de bancos del país. Hasta donde entiendo los bancos sí tomaron medidas al respecto (aunque no se qué tan rápido lo hicieron).

– Aunque este punto no es ni mucho menos un XSS, lo menciono como para que usted se de cuenta de la gravedad de la situación: desde el 15 de febrero notifiqué a la BVC de la existencia de un defacement en su site, ubicado en http://www.bvc.com.co/g/ash.htm . El funcionario de la entidad, un mes después de haber recibido esta info, verbalmente me dijo algo como ?Sí, lo estamos investigando? un caso interesante, no??, sin que hasta hoy hayan siquiera removido el link.

Por Dios!!!!! El manejo de los valores de bolsa del país está en manos de técnicos que ni siquiera se molestan por quitar un simple link que es causa de enorme vergüenza para una entidad seria que se precia por tener altísimos niveles de seguridad!! Y, pregunto yo: si así es con algo tan elemental, ¿qué podemos esperar de asuntos realmente complejos? No quisiera yo tener que usar aplicaciones web de la BVC, honestamente.

Pero, en fin, ese es otro tema.

Al ver estos dos últimos casos me surgió una pregunta, que fue en realidad la causa para colgar este post: ¿qué responsabilidad le corresponde a un banco y/o a la BVC, cuando por vulnerabilidades en sus aplicaciones web la información de sus clientes es conocida por un tercero no autorizado gracias a un ataque XSS?

Para mí, si esto pasa, habrán simplemente violado la reserva bancaria; sin ser especialista en derecho financiero o bursátil, le meto sentido común: esta clase de entidades tiene una obligación legal, con un plus de obligatoriedad, si se me permite la expresión, que exige de ellas el cumplimiento del deber objetivo de proteger la información de sus clientes, evitando que sea conocida por terceros. Su deber es, simplemente, desarrollar las aplicaciones en forma segura y, si no lo cumplen, pues que sean sancionados; los ciudadanos no tenemos porque sufrir las consecuencias de la ignorancia o la negligencia de los administradores de las entidades bancarias o bursátiles.

Esta no es una teoría que me esté inventando yo: en España los jueces aceptan, tras a una labor de convencimiento y explicaciones técnicas adelantada por la Unidad de Delitos Informáticos de la Guardia Civil, entre otros, que cuando una empresa no ha asegurado adecuadamente sus redes, le cabe al personal correspondiente la bobadita de RESPONSABILIDAD PENAL. O, dicho en otros términos, si un banco no asegura sus redes y a través de ellas alguien comete un delito en contra mía, los funcionarios del banco que correspondan serán investigados penalmente, junto con los ?otros? delincuentes; además, deberá el banco entrar a responder civilmente por los perjuicios que me hayan sido causados.

Así que, otra vez, mis queridos sysadmins bancarios y bursátiles, ojo!!! Si no hacen bien su labor, habrá más de uno buscando convencer a los fiscales y jueces de que deben investigarlos penalmente y obligar a sus entidades a pagar unas buenas indemnizaciones.

Actualización: hoy, 30-Jun-06, 134 días después de que avisara a la Bolsa de Valores de Colombia (el 15-Feb pasado) sobre la existencia de un defacement en su site, encuentro que finalmente removieron el link. No se cuándo lo habrán quitado porque me aburrí de estar chequeando y ver que no hacían nada pero, finalmente, lo han hecho… aunque con toda certeza lo hicieron dentro de los últimos 15 días, más o menos, así que igual dejaron pasar unos 115 desde que recibieron la noticia para actuar.

Cuántos días dejarán pasar para actualizar parches en los sistemas operativos? Creo que mejor me voy para NYSE…

blogladooscuro @ gmail.com

——–

(Visited 120 times, 1 visits today)

Etiquetas

PERFIL
Profile image

    Sigue a este bloguero en sus redes sociales:

  • twitter

Más posts de este Blog

  • Mundo

    LATAM CISO: Regional Cybersecurity Network

    [caption id="attachment_147" align="alignright" width="82"] @isitreallysafe[/caption] Under the auspices of Venable, LLP, a law and lobbying firm in Washington, D.C.,(...)

  • Mundo

    Rusia, ¿robando tráfico de Apple?

    [caption id="attachment_147" align="alignright" width="82"] @isitreallysafe[/caption] Según información publicada por BGPmon, Rostelecom, el más grande proveedor de conectividad ruso, estuvo(...)

  • Mundo

    LATAM CISO: Red de ciberseguridad a nivel regional

    [caption id="attachment_147" align="alignright" width="82"] @isitreallysafe[/caption] Bajo el auspicio de Venable, LLP, una firma de abogados y lobbying con sede(...)

  • Colombia

    Mi empresa fue hackeada: ¿reporto a la policía?

    [caption id="attachment_147" align="alignright" width="82"] @isitreallysafe[/caption] En el blog que publiqué hace unas semanas, titulado “De la cíberseguridad pasiva a(...)

Ver más

Lo más leído en Blogs

1

Ojo y aclaro, transición segura y responsable. Es decir, vamos bien,(...)

2

Empecemos por aquello de “el amor todo lo sufre, todo lo(...)

3

Dios nos habla por medio de nuestros sueños. Esta es una(...)

0 Comentarios
Ingresa aquí para que puedas comentar este post
Reglamento de comentarios

ETCE no se responsabiliza por el uso y tratamiento que los usuarios le den a la información publicada en este espacio de recomendaciones, pero aclara que busca ser la sombrilla de un espacio donde el equilibrio y la tolerancia sean el eje. En ese camino, disponemos de total libertad para eliminar los contenidos que:

  1. Promuevan mensajes tipo spam.
  2. El odio ante una persona o comunidad por su condición social, racial, sexual, religiosa o de situación de discapacidad.
  3. Muestren o impulsen comportamientos o lenguajes sexualmente explícitos, violentos o dañinos.
  4. Vulneren o atenten contra los derechos de los menores de edad.

Además, tenga en cuenta que:

  • - El usuario registrado solo podrá hacer un voto y veto por comentario.
Aceptar
¿Encontraste un error?

Para EL TIEMPO las observaciones sobre su contenido son importantes. Permítenos conocerlas para, si es el caso, tomar los correctivos necesarios, o darle trámite ante las instancias pertinentes dentro de EL TIEMPO Casa Editorial.


Debes escribir el comentario
¡Gracias! Tu comentario ha sido guardado
Tu calificación ha sido registrada
Tu participación ya fue registrada
Haz tu reporte
Cerrar
Debes escribir tu reporte
Tu reporte ha sido enviado con éxito
Debes ser usuario registrado para poder reportar este comentario. Cerrar