VSantivirus No. 1138 Año 7, Martes 19 de agosto de 2003
De compras por Internet con el sombrero blanco
http://www.vsantivirus.com/dfm-shopping.htm
Por David F. Madrid
idoru@videosoft.net.uy
Una de las cosas que han hecho que las compras por Internet B2C (Business to consumer) no hayan crecido como se esperaba, es la falta de confianza de los usuarios en los sistemas de pago que utilizan. El tener que insertar los datos de cuenta bancaria en un sitio del que no tienen referencias en el mundo real no convenció a nadie. Afortunadamente, aparecieron otras alternativas que involucran a otras entidades fiables que validan y realizan la transacción.
Ahora bien, ¿de que sirve utilizar una entidad que valide la transacción, el utilizar cifrado y pasarelas, si el servidor en el que metemos nuestros datos está comprometido totalmente?
Hablo de ser consecuentes con lo que se vende. Hay tiendas que no tienen reparos en anunciarse como un sitio de compra seguro y luego tienen instaladas versiones de servidores que con un simple clic, podrían ser comprometidas junto con los datos financieros de todos los usuarios.
Analicé seis tiendas virtuales. No busqué las más famosas, sólo las que estaban asociadas a sitios que visito (la web de dos periódicos, las tres asociadas que se anuncian en la web de mi banco y las de unos grandes almacenes). El análisis se basó en las cabeceras web emitidas por los servidores. Sólo hay que fijarse en las versiones instaladas de Apache u OpenSSL.
I. Tienda de software alojada en servidores propios sobre Apache
Cabecera que emite el servidor:
Server: Apache/1.3.24 (Unix) PHP/4.0.6 X-Powered-By: PHP/4.0.6
II. Tienda virtual alojada en servidores propios sobre Apache
Cabecera:
Server: Apache/1.3.12 (Win32) ApacheJServ/1.1 mod_ssl/2.6.4 OpenSSL/0.9.5a mod_perl/1.22
III. Tienda virtual alojada en servidores propios sobre Apache
Cabecera:
Server: Apache/1.3.26 (Unix) mod_ssl/2.8.9 OpenSSL/0.9.6d
IV. Tienda virtual alojada en servidores propios sobre iPlanet
Cabecera:
Server: Netscape-Enterprise/4.1
V. Tienda virtual alojada en servidores ajenos sobre Apache
Cabecera:
Server: Apache/1.3.24 (Unix) mod_fastcgi/2.2.12 PHP/4.0.6 mod_ssl/2.8.8 OpenSSL/0.9.6c
VI. Tienda virtual alojada en servidores propios sobre iPlanet
Cabecera:
Server: Netscape-Enterprise/4.1
No estamos hablando de Cross Site Scripting o cierres del demonio. Las tiendas I, II y V son vulnerables al fallo de Apache Chunked Encoding:
http://www.cert.org/advisories/CA-2002-17.html
Las tiendas II, III y V son vulnerables en el Handshake de SSL:
http://www.cert.org/advisories/CA-2002-23.html
En ambos casos estamos hablando de fallos críticos para los que hay disponibles en Internet un exploit (caso de Apache) y un exploit/gusano (Slapper Worm SSL). Me llamó la atención que tan sólo dos de las tiendas (las montadas sobre iPlanet) no tuviesen ningún fallo evidente.
Conclusión
Aunque las cabeceras que emite el servidor se pueden cambiar, este no es el caso. Lo que me sorprende es la parsimonia con la que contestan algunos responsables de las webs ante estos avisos. Sólo parece que reaccionan cuando les recuerdan que no sólo tienen sus datos en ese servidor si no los de mucha gente.
Evidentemente, tiene que cambiar la mentalidad de mucha gente para que los negocios .com pasen de ser una burbuja sube y baja, a ser un pilar de la economía.
Nota:
Los nombres de los servidores no se han publicado por respeto al trabajo de los sufridos administradores, que me consta que a pesar de los fallos en la mayoría de los casos hacen lo que pueden y si no hacen más es por falta de tiempo.
Artículo publicado originalmente en
http://www.beeeeee.net/nautopia/shopping.htm
Glosario:
º Vulnerabilidad CROSS-SITE-SCRIPTING (XSS). Falla que permite a un atacante introducir en el campo de un formulario o código embebido en una página, un script (perl, php, javascript, asp) que tanto al almacenarse como al mostrarse en el navegador, puede provocar la ejecución de un código no deseado.
º SSL (Secure Socket Layer). Conjunto de protocolos que utilizan criptografía para cifrar los datos que se intercambian con un servidor seguro. Proporciona privacidad para datos y mensajes, y permite autenticar los datos enviados.
º SSL Handshake Protocol. Permite al servidor y cliente autentificarse y negociar los algoritmos de encriptación.
º SLAPPER Worm SSL. Gusano que explota sendas vulnerabilidades en los protocolos OpenSSL usados por servidores como Linux Apache (ver
http://www.vsantivirus.com/slapper.htm)
º EXPLOIT. Programa o método concreto que saca provecho de una falla o agujero de seguridad de una aplicación o sistema, generalmente para un uso malicioso de dicha vulnerabilidad.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|