AutorZerial

Bancos en Chile: La precaria seguridad de la banca en linea

Es comun que la mayoría los bancos tengan una sección en su sitio web dedicado a la seguridad donde todos llegan a la misma conclusion: los fraudes eletronicos se producen por culpa del usuario y nunca por culpa del banco, ya que usan certificado SSL en sus sitios web. Dando cientos de consejos para no caer en el juego de los correos electrónicos fraudulentos (phishing), diciendo que ellos jamas te llamaran para pedirte información y otras cosas por el estilo.
Por un lado los bancos nos dicen que jamás enviarán correos pidiendo datos personales ni mucho menos las claves de coordenadas, tambien nos “enseñan” a reconocer una URL falsa…

Y por otro lado el mismo banco es quien nos entrega las herramientas para poder suplantar su identidad, aunque usen cifrado SSL de un millon de bits, mediante las conocidas vulnerabilidades Cross-Site Scripting. Si bien en este mismo blog he publicado varias vulnerabilidades de este tipo que afectan a los bancos, lo que busco dar a conocer en este artículo es exponer la poca seguridad que nos entregan los bancos a nosotros sus clientes.

Seguir leyendo

Una mirada profunda de la seguridad en los sitios del ejército

Este corresponde al segundo documento relacionado al concurso de investigación en seguridad informática, el documento fue escrito por @D4NB4R y analiza sitios web que corresponden al ejército de chile y de colombia.

El documento comienza con un tipo de crítica a los eventos de tecnología que existen hoy en día

Esta es la investigación de casi 1 año con esfuerzos y mucha lectura, esta era la conferencia
planeada para mostrar en el Campus Party pero desafortunadamente no soy de la White hat
farandulera que van a exponer sus camisetas estampadas, sus portátiles o sus libros para quitarle el
dinerito a los niños que los alaban, así que será para una próxima oportunidad, pasado esto creo que
es hora de publicar el paper, de antemano pido excusas,primero por si encuentran errores de
ortografía o redundancia en párrafos espero entiendan que está escrito tal cual pensaba. También a
las personas que se sientan atacadas o vulneradas tanto de manera verbal como de manera
tecnológica soy consciente que el texto es un poco fuerte y que puede herir susceptibilidades, solo
busco mostrar una realidad y evitar un posible ataque de estos a gran escala.

Los objetivos seleccionados por D4NB4R son

El análisis lo hace sabiendo que no se trata de un pentest o ataque a una panadería o a un sitio de algun cantante,  se trata del ejército.

Seguir leyendo

Nivel de seguridad informática en los gobiernos

Con este título publico el primero de los resultados de las investigaciones enviadas para el concurso de investigación en seguridad informática organizado junto a ComunicaciónAr WebHosting.

El documento fue enviado por Ignacio y trata sencillamente de que los sitios o sistemas web del gobiernos son facilmente vulnerables a ataques tan simples y basicos como SQL Injection y Cross-Site Scripting, los cuales permiten realizar ataques desde un ‘deface’ local a nivel de cliente  hasta tomar control remoto del servidor.

Seguir leyendo

Resultados del Concurso de Investigación en Seguridad Informática

Con la idea de motivar y promover la investigación en temas de seguridad informática, hace un par de dias junto a ComunicaciónAr WebHosting lanzamos un concurso donde los participantes debían investigar y escribir un artículo  respecto a un tema especifico.  Los temas a escoger eran Comunicación segura bajo el protocolo TCP, Ataques SCADA a gran escala y Nivel de seguridad en los gobiernos.
De los participantes, uno se interesó en los niveles de seguridad en los gobiernos, otro mezcĺó un poco el gobierno con scada y el último habló netamente de sistemas SCADA.

Los documentos e investigaciones enviadas estan en proceso de “edición” para poder publicarlos en este blog y estarán disponible durante los proximos dias.

Concurso: Investigación en seguridad informática

Con el fin de promover la investigación a temas relacionados con la seguridad o inseguridad informática, en conjunto con ComunicaciónAr WebHosting hemos creado un concurso con interesantes premios para los ganadores. El concurso consiste en realizar una investigación sobre un tema especifico.

Los premios consisten en un plan hosting individual ilimitado o un plan reseller con disponibilidad de 25 cuentas para el primer lugar y un plan de hosting individual para el segundo y tercer lugar. El primer premio tiene una duración de 1 año y el segundo 6 meses.

Debes elegir entre los siguientes temas a investigar:

  1. Comunicación segura bajo el protocolo TCP
  2. Ataques SCADA a gran escala
  3. Nivel de seguridad informática en el gobierno (especificar un país)

Seguir leyendo

Banco Estado expone informacion sobre las transferencias realizadas

Me llegó un correo informandome de una vulneraiblidad critica que afecta al Banco Estado, especificamente a la plataforma movil del banco estado. Se trata de la divulgación de un log de transacciones ubicado en los servidores del Banco, accesible libremente por cualquier usuarios. El log no se encontraba protegido bajo ningun mecanismo de seguridad y la información que exponía es increible.

La información expuesta en este archivo corresponde a nombre de la persona que está realizando la transferencia, nombre del destinatario, email del destinatario, cuenta de origen y destino, montos asociados a la cuenta, información de la tarjeta de coordenadas y además, la password que utiliza el usuario para ingresar al portal. Todo esto debería estar cifrado, ya que utilizan SSL para las peticiones, pero en este log aparecía todo en plano. No tiene sentido que cifren el trafico para prevenir sniffeos y robos de datos en las redes si exponen todo el trafico en tiempo real en texto plano. Es como no usar SSL.

Seguir leyendo