Hace unas semanas, Heartbleed, una falla de seguridad que afecta a los servidores basados en OpenSSL fue descubierta, causando conmoción en el ambiente tecnológico mundial (en este post se explica técnicamente en qué consiste). Dos semanas más tarde, un estudiante de sistemas descubrió que algunos home bankings argentinos continúan con este inconveniente, que podría dejar expuestos los datos de ingreso de los usuarios.
“El bug que encontré en el banco, más en el home banking empresarial, afecta a OpenSSL a las versiones 1.0.1 hasta la 1.0.1f“, aseguró a RedUSERS Sebastián Magof, un estudiante de Licenciatura en Sistemas de la Universidad de La Plata, quien descubrió esta vulnerabilidad en varias entidades bancarias argentinas e internacionales. Pero aclaró: “No puedo decir cuáles porque aún no reporté las fallas, así que estaría exponiéndolos a posibles ataques”. [UPDATE 30/04/2014: El banco en cuestión ya solucionó el error según reporta Segu-Info]
“La herramienta que utilicé para saber si la versión de OpenSSL era vulnerable fue www.filippo.io/Heartbleed/, recomendable para quienes deseen testear si un sitio con OpenSSL es vulnerable o no. Una vez que supe que era vulnerable, exploté la falla mediante el modulo openssl_heartbleed.rb de MetaSploit, una herramienta muy conocida y utilizada en el ambiente de la seguridad informática”, se explayó Magof, quien trabaja reportando fallas de manera independiente. Las imágenes citadas a continuación fueron aportadas por Magof para ilustrar la existencia de la vulnerabilidad:
RedUSERS utilizó Filippo.io para analizar los home banking de los principales bancos argentinos, donde al menos dos casos mostraron un alerta como la siguiente:
Con respecto a los posibles daños, el experto señaló que “un cibercriminal podría explotar la falla muy fácilmente, ya que está repleto de papers y tutoriales sobre cómo hacerlo“. Además, mostró su preocupación sobre algunas herramientas “que alguien en el tema podría usar para explotar la vulnerabilidad sin necesidad de muchos conocimientos”.
Finalmente, Magof recomendó a los usuarios cambiar las contraseñas que venían utilizando hasta el momento, mientras que aconsejó a los administradores de sistemas “actualizar a la versión de OpenSSL 1.0.1g, ya que en esta versión ya viene reparada la falla”.
Con esto estas pasando información para que un Hacker o aprendiz de hacker empiece a probar en nuestros propios bancos, no podes publicar un fallo de seguridad en entidades bancarias para que otros comienzan a probar en los mismos, al menos deberían publicar el fix si pretenden hacer eso.
La falla de las fotos según entiendo ya está reparada pero en ésta nota no lo resaltan, http://blog.segu-info.com.ar/2014/04/como-se-ve-un-banco-vulnerable.html
La siguiente es una opinión completamente personal:
Primero: Si los usuarios se ven perjudicados en algún momento no será por culpa de Magof o de RedUsers, sino de las áreas tecnológicas de esos bancos. Un fallo de tal magnitud en algo tan sensible como un banco debió ser solucionado el mismo 7 de abril, cuando salió a la luz la nueva versión de OpenSSL.
Segundo: El indicar que dos bancos argentinos son vulnerables al fallo ya da suficientes indicios como para que un hacker perezoso que no haya investigado ya el asunto aún, se ponga a averiguarlo ahora. Además, las capturas dan algunas pistas de uno de los bancos…
Esto ya no es opinión: cambiar la contraseña antes que el banco solucione el fallo, no tiene demasiada utilidad. Primero deberán esos bancos actualizar OpenSSL y después sí, que los usuarios cambien inmediatamente contraseña.
Marcio, el problema es mayor a exponernos a una sanción. El problema es que los usuarios de esos bancos podrían ser perjudicados. La idea del artículo también fue que los propios usuarios utilicen el verificador de Filippo.io y vean qué tan seguro es su home banking, así cambian sus contraseñas y evitan transacciones hasta que sea corregido el bug.
Gracias por el comentario, abrazo!
No se a qué clase de sanciones podrían llegar a exponerse ustedes como medio por decir los nombres de los bancos que están afectados por esta vulnerabilidad, pero creo a título personal que sería importante que los usuarios sepan cuales son para que tomen recaudos para proteger sus datos.