Llegamos a ustedes gracias a:



Reportajes y análisis

Defectos en los procesos

Pueden representar riesgos a la seguridad

[13/03/2009] Correr un sitio web seguro significa más que tan solo resguardarse contra el scripting entre sitios web, o contra los injection atacks al SQL. Los defectos de los procesos de negocios que subyacen a los sitios web también pueden representar serios riesgos a la seguridad, afirmó el CTO de una compañía de seguridad web el jueves.

Los defectos en los procesos, o lógica del negocio, para sitios web pueden ser muy rentables para los hackers, requieren de pocas habilidades para ser explotados y algunas veces técnicamente no es ilegal aprovecharse de ellos, afirmó Jeremiah Grossman, CTO de WhiteHat Security, en el Source Boston Security Showcase.Estos temas son comunes si sabes qué es lo que estás buscando, señaló.
Él ofreció muchos ejemplos de estos defectos, incluyendo aquellos encontrados en los diseños de los sitios web, sistemas de autenticación Captcha y privilegios de usuarios. A las personas que los aprovechan generalmente se les prohíbe utilizar un servicio, aunque algunas veces se les persigue.
En el 2007, una mujer fue acusada de estafar a QVC con 412 mil dólares al explotar un defecto en su lógica de negocio. Ella realizó órdenes por 1,800 artículos usando la red de compras desde casa, y luego canceló las órdenes en el sitio web. Ella recibió crédito por devolver la mercancía, pero los artículos le fueron enviados de todas formas y ella los vendió en eBay, señaló el Departamento de Justicia. QVC se dio cuenta del asunto cuando los usuarios de eBay contactaron con esta empresa al recibir artículos que aún se encontraban en sus paquetes originales. La mujer se declaró culpable de fraude electrónico.
Las opciones de reestablecimiento de contraseñas pueden permitir el acceso no autorizado a las cuentas, si ellas se basan en realizar preguntas obvias y los hackers tienen algo de información sobre sus víctimas. Grossman ofreció un ejemplo del ex proveedor de servicios móviles Sprint. Para reestablecer sus contraseñas, dijo, un hacker necesitaba saber solo el número celular de la persona y algo de información -como dónde vive o qué carro maneja-. Esto permitía a un hacker ordenar teléfonos nuevos en nombre de la víctima o instalarse nuevos servicios en su teléfono.
Otros tipos de estafas
Los cupones electrónicos también implican un riesgo para los comerciantes si los números de los cupones se encuentran secuencialmente cerca unos de otros. Un retailer pudo ver como algunos de sus productos de alto precio se vendían por unos cuantos dólares, luego de que un hacker escribiera un script para descubrir los números de los cupones que diferían en solo unos cuantos dígitos, afirmó Grossman.
El retailer descubrió el problema cuando los logs de su sistema descubrieron una abundancia de órdenes que se procesaban por las noches, que era el momento en el que el script del hacker operaba.
Los hackers pueden persuadir a otros navegantes de la Red a resolver pruebas de Captcha para ellos atrayéndolos a sitios web con la promesa de darles música gratuita o contenido adulto. Los Captchas son sistemas en los cuales las personas tienen que descifrar una sucesión de caracteres desordenados para inscribirse en servicios tales como los correos electrónicos. Los navegantes resuelven estos Captchas, que son enviados vía un servidor proxy al hacker, quien luego los usa para inscribirse en múltiples cuentas de correo electrónico para enviar spam o realizar otras actividades.
Mientras uno tenga suficientes usuarios viniendo a su sitio web, uno tiene el problema del Captcha resuelto, señala Grossman. Los chicos malos quieren vencer a estos Captchas para que puedan enviarnos spam.
Otro defecto es el otorgar a los usuarios acceso a todas las partes de un sitio web cuando tienen un login o contraseña para un servicio específico. Por ejemplo, los empleados de una firma de Estonia se inscribieron en el servicio de notas de prensa de Business Wire en el 2004. Pero las URL del sitio, en algunas ocasiones, contenían información acerca de noticias que aún no se hacían públicas. Utilizando un programa que busca URL, los empleados de la firma pudieron descubrir información financiera y de negocios confidencial. Luego de comprar y vender acciones en base a esta información, los empleados ganaron 7.8 millones de dólares, pero también fueron acusados de fraude por los reguladores estadounidenses.
Señaló que probablemente ha habido muchos casos similares que nunca salieron a la luz porque los perpetradores nunca fueron atrapados. La seguridad de la web se extiende más allá de garantizar la calidad y el adecuado diseño de las aplicaciones web, comprende la forma en que se establece cómo es que los servicios van a funcionar, afirmó.
Fred O'Connor, IDG News Service