Etiquetassl

El problema de seguridad que afecta al Banco BCI y TBanc

Me atrevería a decir que en chile, estos dos bancos (que en realidad son lo mismo) son los únicos que no implementan un login con seguridad HTTP+SSL o más conocido como HTTPS.
Una implementación segura de este protocolo necesita que tanto el formulario de inicio de sesion como la URL de destino del formulario esten bajo HTTPS, de lo contrario perfectamente mediante un ataque MITM u otro tipo de ataque un atacante podría modificar los parámetros del formulario que está sin seguridad.

El pensamiento para implementar HTTPS de ambos bancos es: “Hagamos el login sin https, pero cuando el usuario presione ‘entrar’ se envie el formulario a un sitio con https“.

Seguir leyendo

Falabella y Ripley: ¿Sitios realmente seguros?

Falabella y Ripley son dos “grandes tiendas” que permiten que sus clientes puedan realizar compras online, ambas dicen ser “100% seguras” y están certificadas por VeriSign. El primer error: existe la seguridad al 100% ?

Ambos sitios son vulnerables a ataques Cross-Site Scripting, permitiendo que un atacante use el sitio web de cada tienda para falsificar contenido y robar información o realizar estafas, aprovechandose de la confianza que el usuario tiene en el sitio web.
Los sitios afectados son: https://www.falabella.cl y https://www.ripley.cl incluyendo los sitios “seguros” (https) de cada uno.

Lo más irónico es que los sitios estan “certificados” por una empresa de seguridad que según ellos:

Verisign, líder mundial en certificación de comercio electrónico.

Aunque no me sorprende, luego de haber encontrado hace un tiempo un XSS en el propio sitio web de VeriSign.

Otra cosa que tambien les debería dar verguenza a estas empresas es prometer 100% de seguridad al usuario, como dice en sus propios sitios web:

Todo esto es una mentira.

Seguir leyendo

Análisis de seguridad: Servipag vs Sencillito vs MisCuentas

Ya muchos leyeron mi post anterior sobre la seguridad del servicio que ofrece Servipag, la idea de este nuevo artículo es hacer un tipo de benchmark de seguridad entre los tres principales servicios de pagos de cuentas online: Servipag, Sencillito y MisCuentas.

Analizaré las validaciones que hacen estos servicios, que tan vulnerables a ataques de robo de información, suplantación de identidad o que tan seguros son sus procesos, con el objetivo de dejar al descubierto la falta de seguridad y de validaciones al momento de hacer peticiones entre sitios, validacion de tokens de seguridad, uso de captchas para evitar a los bots, etc.

El análisis consiste en:

  • Security Tokens: Revisar que los servicios que ofrecen cada sitio web cuenta con los tokens de seguridad en sus formularios, para evitar pecitiones POST o GET desde sitios externos.
  • Captcha: Es el mecanismo más usado para determinar si quien está enviando la petición es un humano y no un bot. Ayuda contra los ataques de fuerza bruta.
  • Passwords cifradas: Verificar que la password de los usuarios se almacene cifrada en la base de datos.
  • Uso de certificados SSL en sus transacciones.

Y los resultados son alarmantes…

  1. Servipag: Passwords sin cifrar, permite el tráfico sin http seguro, no usa tokens de seguridad en sus formularios, permite realizar peticiones desde sitios/formularios falsos, no usa captcha.
  2. Sencillito: Al no requerir registro de usuario se libera de todas las criticas, este servicio es el mas sencillo y el más seguro
  3. MisCuentas: Passwords cifrados, tiene un buen mecanismo de recuperacion de contraseña, las transacciones se realizan mediante HTTP seguro, no usa tokens de seguridad y tampoco utiliza captcha, permitiendo peticiones desde sitios/formularios falsos.

Para leer el detalle del análisis, continua leyendo el artículo.

Seguir leyendo

Uso de medios de comunicación seguros

Hace un par de dias apareció en las noticias que habían desarticulado a un grupo de personas que se dedicaban a traficar extasis desde Argentina, debido a esto apareció Patricio Rojas hablando en la televisión donde dijo, literalmente, lo siguiente:

no existe chat, no existe messenger, no existe mensaje de texto, ni llamada de telefono celular que no pueda ser intervenido

Seguir leyendo

Cross-Site Scripting en sitio VeriSign Chile (E-Sign)

E-Sign (cl) corresponde a los representantes y/o partners de VeriSign, una reconocida marca de seguridad informática a nivel mundial y como tal, ofrecen servicios de seguridad informatica, certificados de seguridad, auditorias, etc.
La empresa E-Sign ofrece el servicio de Anti Phishing y Consultoría de Seguridad, entre otros. Sin embargo, el sitio web de dicha empresa es vulnerable a Cross-Site Scripting y mediante esto, podemos hacer phishing usando la “credibilidad” de su certificado SSL.

La idea de un sitio con certificado SSL es que toda la información viaje cifrada, pero la gente de E-Sign al parecer no piensan eso. Al menos dos formularios del sitio envían la información sin cifrar, entonces ¿Para qué usan el certificado SSL?

Quizá no es tan crítico, ya que se trata del formulario de contacto y el buscador, pero ya que ellos obligan al usuario a confiar de ellos aun cuando los formularios no se envian de forma segura, nosotros aprovecharemos de generar otro tipo de trafico de manera insegura, por ejemplo insertando un formulario falso o un sitio externo mediante XSS.

Seguir leyendo