| El lado oscuro de Internet también está en Facebook:click acá!

?Today, the path of least resistance to this goal is not the network gear, not crypto-mathematics, nor bribery; it is application software.?

Germanow et all

Usted recibe un email enviado desde atencionalcliente@subanco.com.co en el que le informan que la entidad está actualizando las bases de datos de sus clientes y que, por consiguiente, le solicitan hacer clic en un link que está dentro de ese mensaje y llenar un formulario disponible en una URL que corresponde efectivamente al dominio de su banco. Aparentemente todo se ve bien, porque, finalmente, el link sí lo dirige a una página legítima, así que ingresa en ella toda la información que le era solicitada. Lamentablemente usted pudo haber sido víctima de una de las varias formas de explotar una clase de vulnerabilidades propia de las aplicaciones web, conocida como cross site scripting (XSS).

Brendan Eich, entonces ingeniero de Netscape Communications Corp. y quien actualmente hace parte del staff de mozilla.org, desarrolló el scripting language orientado a objetos que primero fue conocido como Mocha, luego como LiveScript y que, finalmente, el 4 de diciembre de 1995 fue bautizado con el nombre de JavaScript; se utilizó por primera vez en el navegador Netscape 2.0B3 en ese mismo diciembre.

Si bien Netscape, en palabras del mismo Eich, ?estaba buscando alguien para trabajar en un lenguaje de scripting o en alguna clase de lenguaje que pudiera ser usado para automatizar partes de páginas web o para hacer páginas web más dinámicas?, debió enfrentar los riesgos de seguridad que se generaban al enviar código ejecutable al navegador.

Noopur Davis y Shawn Herman, de Carnegie Mellon Software Engineering Institute, mencionan en una presentación suya estos puntos, que bien vale la pena reproducir acá:

– Los ataques dirigidos contra errores de programación en las aplicaciones son causa del 90% de los incidentes de seguridad.
– Al software defectuoso se debe el 75% de todas las vulnerabilidades.
– Intel aplicó 2.4 millones de parches a sus redes.
– Un scan de 470 máquinas demostró que se necesitaban 8,000 parches.
– Una organización con 100,000 IPs podría recibir 2.3 millones de vulnerability probes por día.
– El Aberdeen Group estimó que el costo total de administración de vulnerabilidades en empresas americanas en 2002 fue de US$3.5 billones.

Y, después de este recorrido, sugre la inevitable pregunta: ¿cómo estamos en Colombia frente al desarrollo de aplicaciones web seguras? Justamente sobre esto conversé ayer un momento con ¿ngelo Rodríguez, consultor en seguridad, quien comentaba que en su experiencia profesional ha podido confirmar mis sospechas: la gran mayoría de empresas solamente se preocupan porque las aplicaciones funcionen; algunas pocas se preocupan por la seguridad en el flujo de los datos; y, lastimosamente, debemos ubicar en una función que tiende a cero a aquellas que de verdad se preocupan por desarrollar aplicaciones web realmente seguras.

¿Esto en qué se traduce? Menciono varios ejemplos de la vida real, que para muchos no serán sorpresivos:

– Mi querido amigo bytemare descubrió, hace más de dos años, vulnerabilidades en el sitio web de un ministerio del gobierno nacional que permiten a cualquier atacante disparar exitosos ataques XSS. A pesar de haber notificado de la existencia de estas vulnerabilidades a funcionarios de ese ministerio, no han sido corregidas (al menos hasta donde se); así que, mi estimado lector, si usted ingresa sus datos en algún sitio de un ministerio del gobierno nacional, puede estar muy amablemente entregándolos a un delincuente (esperemos que, si esto ocurre, sean solamente adolescentes con ganas de divertirse).

– Hace unas semanas (meses?) circularon en listas colombianas alertas acerca de phishings que dirigían a sus víctimas a páginas ubicadas dentro de dominios legítimos de bancos del país. Hasta donde entiendo los bancos sí tomaron medidas al respecto (aunque no se qué tan rápido lo hicieron).

– Aunque este punto no es ni mucho menos un XSS, lo menciono como para que usted se de cuenta de la gravedad de la situación: desde el 15 de febrero notifiqué a la BVC de la existencia de un defacement en su site, ubicado en http://www.bvc.com.co/g/ash.htm . El funcionario de la entidad, un mes después de haber recibido esta info, verbalmente me dijo algo como ?Sí, lo estamos investigando? un caso interesante, no??, sin que hasta hoy hayan siquiera removido el link.

Por Dios!!!!! El manejo de los valores de bolsa del país está en manos de técnicos que ni siquiera se molestan por quitar un simple link que es causa de enorme vergüenza para una entidad seria que se precia por tener altísimos niveles de seguridad!! Y, pregunto yo: si así es con algo tan elemental, ¿qué podemos esperar de asuntos realmente complejos? No quisiera yo tener que usar aplicaciones web de la BVC, honestamente.

Pero, en fin, ese es otro tema.

Al ver estos dos últimos casos me surgió una pregunta, que fue en realidad la causa para colgar este post: ¿qué responsabilidad le corresponde a un banco y/o a la BVC, cuando por vulnerabilidades en sus aplicaciones web la información de sus clientes es conocida por un tercero no autorizado gracias a un ataque XSS?

Para mí, si esto pasa, habrán simplemente violado la reserva bancaria; sin ser especialista en derecho financiero o bursátil, le meto sentido común: esta clase de entidades tiene una obligación legal, con un plus de obligatoriedad, si se me permite la expresión, que exige de ellas el cumplimiento del deber objetivo de proteger la información de sus clientes, evitando que sea conocida por terceros. Su deber es, simplemente, desarrollar las aplicaciones en forma segura y, si no lo cumplen, pues que sean sancionados; los ciudadanos no tenemos porque sufrir las consecuencias de la ignorancia o la negligencia de los administradores de las entidades bancarias o bursátiles.

Esta no es una teoría que me esté inventando yo: en España los jueces aceptan, tras a una labor de convencimiento y explicaciones técnicas adelantada por la Unidad de Delitos Informáticos de la Guardia Civil, entre otros, que cuando una empresa no ha asegurado adecuadamente sus redes, le cabe al personal correspondiente la bobadita de RESPONSABILIDAD PENAL. O, dicho en otros términos, si un banco no asegura sus redes y a través de ellas alguien comete un delito en contra mía, los funcionarios del banco que correspondan serán investigados penalmente, junto con los ?otros? delincuentes; además, deberá el banco entrar a responder civilmente por los perjuicios que me hayan sido causados.

Así que, otra vez, mis queridos sysadmins bancarios y bursátiles, ojo!!! Si no hacen bien su labor, habrá más de uno buscando convencer a los fiscales y jueces de que deben investigarlos penalmente y obligar a sus entidades a pagar unas buenas indemnizaciones.

Actualización: hoy, 30-Jun-06, 134 días después de que avisara a la Bolsa de Valores de Colombia (el 15-Feb pasado) sobre la existencia de un defacement en su site, encuentro que finalmente removieron el link. No se cuándo lo habrán quitado porque me aburrí de estar chequeando y ver que no hacían nada pero, finalmente, lo han hecho… aunque con toda certeza lo hicieron dentro de los últimos 15 días, más o menos, así que igual dejaron pasar unos 115 desde que recibieron la noticia para actuar.

Cuántos días dejarán pasar para actualizar parches en los sistemas operativos? Creo que mejor me voy para NYSE…

blogladooscuro @ gmail.com

——–