Usuarios de importantes entidades bancarias en peligro

Usuarios de importantes entidades bancarias en peligro
	VSantivirus No. 1365 Año 8, jueves 1 de abril de 2004 Usuarios de importantes entidades bancarias en peligro http://www.vsantivirus.com/01-04-04.htm Por Jose Luis Lopez videosoft@videosoft.net.uy Red Link es un proveedor de servicios informáticos para el mercado financiero, que opera en diferentes países. Posee una larga lista de entidades bancarias adheridas, así como importantes tarjetas de crédito y redes de pago en Argentina, Brasil y Uruguay, entre otros. Xyborg (nick de Martin Aberastegue), webmaster de www.RZW.com.ar, publica hoy en su sitio, información sobre la existencia de graves errores de seguridad en los servicios ofrecidos por Red Link a ciertas entidades. "Muchas veces estamos bajo una conexión supuestamente segura, por ejemplo: SSL 3.0, RC4 con cifrado de 128 bits (alta); RSA con intercambio de 1024 bits, y pensamos que nadie va a poder acceder a nuestros datos, etc.", afirma Xiborg. "Pero eso no es del todo cierto, ya que a veces los encargados de brindarnos estos servicios no se preocupan demasiado por el desarrollo de las aplicaciones que van a ser utilizadas por los clientes y menosprecian ciertas vulnerabilidades, que pueden llegar a ser muy peligrosas si se quiere". A pesar de que en el propio sitio se afirma que la conexión al servicio de Home Banking de Red Link se establece en modalidad segura, y los datos enviados y recibidos son debidamente protegidos, existirían graves vulnerabilidades del tipo SQL Injection y Cross Site Scripting (XSS), "que aunque parezcan casi inofensivas, pueden ser fatales para los datos de una empresa", dice Xyborg. SQL (Structured Query Language), es un lenguaje contextual que se usa para interactuar con bases de datos. Una vulnerabilidad "SQL Injection", permite inyectar código SQL para obtener información confidencial del sistema. Una vulnerabilidad CROSS-SITE-SCRIPTING (XSS), permite algo similar, introduciendo un script en el campo de un formulario o código embebido en una página. La combinación de ambos fallos, puede ser muy peligrosa para toda información confidencial manejada en cualquier transacción bancaria. Las entidades que podrían estar afectadas por estos errores, según Xyborg, serían las siguientes: Banco Columbia Banco de Córdoba Banco de Corrientes Banco de Formosa Banco de la Ciudad de Buenos Aires Banco de la Nación Argentina Banco de la Pampa Banco de la Provincia de Buenos Aires Banco de la Provincia del Neuquén Banco de San Juan Banco de Tierra del Fuego Banco del Chubut Banco del Tucumán Banco Finansur Banco Hipotecario Banco Industrial Banco Macro Bansud Banco Mariva Banco Municipal de la Plata Banco Municipal de Rosario Banco Privado Banco Sáenz Banco Santa Cruz Banco Santiago del Estero BNP Paribas Credimas Italcred Masventas Cia. Financiera Nuevo Banco de Entre Rios Nuevo Banco de La Rioja Nuevo Banco de Santa Fe Nuevo Banco del Chaco Sadela Cia. Financiera Las vulnerabilidades se deberían a la no actualización de los componentes instalados, ya que muchos de esos fallos son conocidos desde hace bastante tiempo, y por lo tanto existen los parches y nuevas versiones que los corrigen. También se ha descubierto este tipo de errores en otras entidades, como: Banca Nazionale del Lavoro Banco Macro Bansud Y posiblemente otras. Xyborg afirma que revelar estos fallos, "no tiene como intención perjudicar a ninguna de estas entidades, ni mucho menos a sus clientes, ya que son los datos de los mismos los que están en riesgo". No se dan detalles de las vulnerabilidades, y toda información correspondiente a la localización de las mismas, "solo será revelada a las instituciones correspondientes". Más información: Falsa sensación de Seguridad http://www.rzw.com.ar/article1467.html (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com