Como se irá viendo (espero) en el discurrir de este blog, me gustan las posibilidades y el campo existente en lo que se viene llamando las TIs. Pero como todo en la vida donde existe algo bueno automáticamente existe algo que nos incomoda en el disfrute de eso que tanto nos gusta.
Ya he hablado anteriormente de privacidad o he lanzado el guante para hablar de ello y de hasta que punto nos atacan las grandes empresas. Pero todo eso parecen dibujos animados cuando de verdad se ponen a trabajar "los malos".
Recientemente he asistido a un curso/seminario de seguridad en las redes en las que se han mostrado herramientas y técnicas de ataques reales a las redes. Redes que usamos todos los días para todo tipo de actividades. Hasta aquí todo más o menos normal por lo menos hasta que mis conocimientos daban de sí. Pero lo que realmente me INCOMODA es la creatividad de "los malos", de que manera se pueden entrometer en nuestros ordenadores y lo que pueden hacer. Voy a poner un ejemplo, el cual a mi me puso los pelos de punta, y trataré de explicarlo lo mas sencillo posible.
Alguien por una de las múltiples maneras existentes e-mail, p2p, programa descargado, etc nos introduce un troyano en el ordenador. Ni que decir tiene que en los screencasts a los que os voy a remitir el troyano lo ejecuta el usuario debido a que es un experimento, pero esto no es un requisito imprescindible. El troyano detecta en que página navegamos y cuando estamos en una que le interesa, en este caso la de un banco, se activa ejecutando, por un lado un keylogger que registra todas las pulsaciones de teclado que el usuario realice pero además realiza una grabación de un vídeo alrededor del puntero del ratón (Yo lo llamaría un RatónCast) y marca en el vídeo todas las pulsaciones de ratón con una X roja. También hay una versión que realiza una sucesión de capturas de imágenes en los momentos adecuados. Luego se envía todo a un destinatario que dispone de esa manera de nuestro nombre, clave y clave de teclado virtual.
A ver quien para esto. El banco no puede detectar nada, la página es segura (https), los certificados están en regla, el usuario se valida normalmente, el usuario no se entera de nada.
Os pongo los screencasts que se encuentran en la página de Hispasec dedicada a seguridad
Versión con vídeo
Versión con Fotos
De los documentos elaborados por Hispasec, [DocumentoTécnico1] [DocumentoTécnico2] se extrae que los programadores no has sido demasiado cuidadosos bien por inexperiencia o por dejadez pero... ¿cuantas de estas lindezas o de sus hermanos mejorados están surcando los discos duros?
Y después de ver esto, que conclusión extraigo... hoy en día la red es un lugar sumamente inseguro en el que se realizan numerosas transacciones en unas condiciones de dudosa seguridad, cualquier banco por el hecho de ser cliente suyo te endosa unas claves de acceso a tu cuenta alegremente, pero los medios de seguridad dejan MUCHO que desear, no es que no haya ningún sistema inviolable sino que los que se están empleando son "azúcar de caña" para los que se quieran molestar mínimamente en franquearlos.
Llamé a mi banco y les expuse el problema además de mi deseo de hablar con el departamento de seguridad. O bien no tienen departamento de seguridad o bien no quieren ponerse en contacto conmigo ya que después de 2 semanas, continuo esperando...
Salu2.Fernando
martes, 12 de diciembre de 2006
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario