Entradas populares

  • ¿Dos fabricantes para doble barrera perimetral o solo uno?
    Llevo un par de semanas con este debate: ¿Un doble barrera de firewalls con tecnología de firewalls diferente en las dos coronas, es más s...
  • QoS en Paloalto for dummies
    Hola de nuevo, gracias a todos por los comentarios y/o correos. Os dejo un resumen para configurar calidad de servicio en un Paloalto.  Como...
  • CISCO IOS 15.0
    Hace tiempo me preguntaba porque CISCO salto de la versión de IOS 12.4T, hacia la versión 15 directamente. Y estos días he encontrado la res...

lunes, 23 de marzo de 2015

Susto o muerte: Hacking ético o Intrusión

Habeis realizado alguna notificación a terceros de una vulnerabilidad de su web, su
aplicación o servidor ? En mi caso, lo he hecho en dos ocasiones. La primer vez fue tras visitar la web de un grupo de música. Lo primero que me llamo la atención fue la tienda online. Esta tienda permitía comprar productos del grupo ya que la música es gratuita.
Al ver el formulario, ya vi que la seguridad no era su fuerte. Permitía sin casi conocimientos de hacking:
  • Fijar tu el precio de los productos mediante manipulación de parámetros (Proxificando).
  • Revisar las compras de terceros.
  • Ver los pedidos anteriores
  • Manipular todo el código de la web para inyectar 
Bien, vista la gravedad de los problemas identificados pensé como notificarlo. Evidentemente no había ninguna opción para notificar un problema de seguridad. De forma que decidí enviar un correo que me respondieron sorprendidos pero agradecidos.
La segunda vez que he notificado vulnerabilidades graves, mi sorpresa ha sido identificarlo en una organización grande con reputados expertos. Evidentemente estos expertos no han participado en el ciclo de desarrollo seguro, ni han realizado ninguna auditoría de seguridad de caja gris.
El asunto es bastante grave porque la información que gestiona tiene precio en el mercado, existe una canal B donde venderla y la impunidad para hacerlo es absoluta. Por otra parte, las diferentes brechas permiten acceder a información critica por una parte pero sobretodo a información especialmente protegida por la agencia española de protección de datos. Aspectos como personas que han sufrido violencia de género, bajos ingresos, minusvalias... Etc.
La respuesta a la notificación, que moralmente debía hacer, pero que sabia que iba a causar malestar en la organización, fue políticamente correcta inicialmente. No proporcione los posibles vectores de ataque y el resultado hasta que estuve seguro que proporcionaba la información a personal interno y no a una tercera empresa que gestionaba el contacto center.
La respuesta a este segundo mensaje tardo en llegar. Además de la respuesta institucional, incluía un aviso para navegantes. En concreto me recordaba la política de uso y que existían sanciones para los infractores. Supongo que era una forma de solicitar que no comprobase ningún vector adicional. En uno de esos paragrafos hacia mención de que tenían identificados los vectores menos importantes y minimizaban los graves con un argumentaría propio de tertulianos de un canal de entretenimiento.
http://www.fbi.gov/news/stories/2014/june/gameover-zeus-botnet-disrupted
Resumen: Es cuestión de tiempo que tengan un incidente grave de seguridad al tener muchos atacantes con motivación económica que pueden acceder a sus plataformas y en segundo lugar, por la gravedad de las brechas y la facilidad de explotarlas (5 minutos).


No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)