jueves, 16 de septiembre de 2010

Uno de cada cuatro sitios web está expuesto a ciberataques

15/09/10
Lo anunciaron dos jóvenes expertos en seguridad informática, uno de ellos argentino. Son los sitios desarrollados con un sistema de Microsoft, entre ellos de home banking. Los programadores tienen herramientas para protegerlos.

El 25 por ciento de los sitios web de todo el mundo están expuestos a ataques, robos de datos y sabotaje anunciaron dos jóvenes expertos en seguridad informática –un argentino y un vietnamita-- que participan de la cumbre de expertos en ciberdelitos Ekoparty que se realiza esta semana en Buenos Aires.

Juliano Rizzo y Thai Duong presentarán pasado mañana los detalles de su investigación, en la que exhiben las vulnerabilidades que tiene el sistema ASP.NET, de Microsoft, con el que están desarrollados el 25 por ciento de las páginas web, según el sitio BuiltWith. El error afecta a más porcentaje aún en el caso de las grandes empresas y los bancos, que usan mucho más los sistemas de Microsoft..

Los investigadores detectaron la falla en la forma en que ese sistema encripta los mensajes que le envían a los usuarios. "Cada vez que una persona se conecta con un servidor que usa ASP.NET, éste le deja en su navegador ciertos datos con la historia de esa sesión. Sería el equivalente a si uno va a un banco y le dan un ticket con la historia del trámite para que se pueda seguir más adelante . El ticket puede ser una serie de números que nadie entiende, sólo el cajero el día que uno vuelva –explica Rizzo a Clarín--. La comunicación entre el navegador y el sitio con ASP.NET es similar. El servidor deja un código que, supuestamente nadie entiende. Pero nosotros descubrimos que se puede vulnerar".

Los detalles de la investigación y cómo se puede atacar estos sitios serán revelados por los dos jóvenes pasado mañana, en el cierre de la conferencia Ekoparty. Sin embargo, Rizzo adelantó a Clarín que la técnica que ellos utilizaron consiste, básicamente, en enviarle "tickets" falsos al servidor uno tras otro y estudiar la respuesta que reciben. "En función de esta respuesta podemos construir un "ticket" verdadero y hacernos pasar por administrador, por ejemplo", explica Rizzo.

Como todo problema tiene su solución, los programadores de estos sitios ya cuentas con herramientas para proteger a sus usuarios, antes de que Microsoft termine de solucionar la vulnerabilidad. "Hay posibilidades de bloquear el agujero a través de herramientas conocidas como Web Application Firewall. Los detalles que vamos a presentar les van a permitir protegerse aún más", dice Rizzo.

Juliano Rizzo y Thai Duong se conocieron el año pasado cuando participaban en una competencia online coreana. Debían resolver problemas matemáticos en equipos. "En cierto momento mi equipo estaba cabeza a cabeza con el de él y empezamos a chatear. El me preguntaba cosas y yo le decía que si te ayudo pierdo. Después nos seguimos mandando desafíos, y entre ellos estuvo el origen de esta investigación", cuenta Rizzo.
Esta es la sexta edición de Ekoparty, la conferencia anual que reúne a consultores, investigadores, programadores y entusiastas de la tecnología de todo el mundo. La cita esta vez es en la Ciudad Cultural Konex, durante esta semana, y ya están participando más de 600 personas.

La idea de Ekoparty surgió del circuito "underground" de IT. Con el tiempo, fue sumando a más y más especialistas de empresas y estudiantes de sistemas. Discuten cómo ingresar a sistemas ajenos y cómo defenderlos de posibles ataques.

Fuente: Clarin.com

No hay comentarios:

Publicar un comentario