Controlado desde el
19/10/97 por NedStat
|
Usuarios de importantes entidades bancarias en peligro
|
|
VSantivirus No. 1365 Año 8, jueves 1 de abril de 2004
Usuarios de importantes entidades bancarias en peligro
http://www.vsantivirus.com/01-04-04.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Red Link es un proveedor de servicios informáticos para el mercado financiero, que opera en diferentes países. Posee una larga lista de entidades bancarias adheridas, así como importantes tarjetas de crédito y redes de pago en Argentina, Brasil y Uruguay, entre otros.
Xyborg (nick de Martin Aberastegue), webmaster de www.RZW.com.ar, publica hoy en su sitio, información sobre la existencia de graves errores de seguridad en los servicios ofrecidos por Red Link a ciertas entidades.
"Muchas veces estamos bajo una conexión supuestamente segura, por ejemplo: SSL 3.0, RC4 con cifrado de 128 bits (alta); RSA con intercambio de 1024 bits, y pensamos que nadie va a poder acceder a nuestros datos, etc.", afirma Xiborg. "Pero eso no es del todo cierto, ya que a veces los encargados de brindarnos estos servicios no se preocupan demasiado por el desarrollo de las aplicaciones que van a ser utilizadas por los clientes y menosprecian ciertas vulnerabilidades, que pueden llegar a ser muy peligrosas si se quiere".
A pesar de que en el propio sitio se afirma que la conexión al servicio de Home Banking de Red Link se establece en modalidad segura, y los datos enviados y recibidos son debidamente protegidos, existirían graves vulnerabilidades del tipo SQL Injection y Cross Site Scripting (XSS), "que aunque parezcan casi inofensivas, pueden ser fatales para los datos de una empresa", dice Xyborg.
SQL (Structured Query Language), es un lenguaje contextual que se usa para interactuar con bases de datos. Una vulnerabilidad "SQL Injection", permite inyectar código SQL para obtener información confidencial del sistema.
Una vulnerabilidad CROSS-SITE-SCRIPTING (XSS), permite algo similar, introduciendo un script en el campo de un formulario o código embebido en una página.
La combinación de ambos fallos, puede ser muy peligrosa para toda información confidencial manejada en cualquier transacción bancaria.
Las entidades que podrían estar afectadas por estos errores, según Xyborg, serían las siguientes:
Banco Columbia
Banco de Córdoba
Banco de Corrientes
Banco de Formosa
Banco de la Ciudad de Buenos Aires
Banco de la Nación Argentina
Banco de la Pampa
Banco de la Provincia de Buenos Aires
Banco de la Provincia del Neuquén
Banco de San Juan
Banco de Tierra del Fuego
Banco del Chubut
Banco del Tucumán
Banco Finansur
Banco Hipotecario
Banco Industrial
Banco Macro Bansud
Banco Mariva
Banco Municipal de la Plata
Banco Municipal de Rosario
Banco Privado
Banco Sáenz
Banco Santa Cruz
Banco Santiago del Estero
BNP Paribas
Credimas
Italcred
Masventas Cia. Financiera
Nuevo Banco de Entre Rios
Nuevo Banco de La Rioja
Nuevo Banco de Santa Fe
Nuevo Banco del Chaco
Sadela Cia. Financiera
Las vulnerabilidades se deberían a la no actualización de los componentes instalados, ya que muchos de esos fallos son conocidos desde hace bastante tiempo, y por lo tanto existen los parches y nuevas versiones que los corrigen.
También se ha descubierto este tipo de errores en otras entidades, como:
Banca Nazionale del Lavoro
Banco Macro Bansud
Y posiblemente otras.
Xyborg afirma que revelar estos fallos, "no tiene como intención perjudicar a ninguna de estas entidades, ni mucho menos a sus clientes, ya que son los datos de los mismos los que están en riesgo".
No se dan detalles de las vulnerabilidades, y toda información correspondiente a la localización de las mismas, "solo será revelada a las instituciones correspondientes".
Más información:
Falsa sensación de Seguridad
http://www.rzw.com.ar/article1467.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|