Cuando uno piensa en el concepto de seguridad física, suele asociarlo a aquellas contramedidas de seguridad que nos permiten evitar accesos no autorizados en una infraestructura, como por ejemplo, la presencia de tornos de seguridad, la presencia de sofisticadas cerraduras electrónicas a prueba de las últimas técnicas de lockpicking (creo que Tarako no opinará lo mismo, verdad?), a la instalación de cámaras de videovigilancia,…

Extrapolando el concepto de seguridad de un sistema informático al de la seguridad física en el mundo real, podemos decir que una organización es tan segura como el eslabón mas débil de la cadena y, creedme, este eslabón es habitualmente, más débil de lo que os podéis imaginar.

Las nuevas tarjetas RFID o las de banda magnética (magstripe) , que serán objeto de este artículo, es una de esas soluciones mágicas que se ven implantadas por doquier puesto que su versatilidad nos permite utilizarlas para realizar tareas de control de acceso y de presencia, asociarlas con roles de usuarios con acceso a diferentes zonas (por ejemplo oficinas, CPD,..), cargar dinero en ellas para las máquinas de café, entrar en el metro, usarla como tarjeta de credito, entrar en la habitación de tu hotel,..

No voy a entrar en detalles técnicos sobre el funcionamiento de estas tarjetas, la información esta disponible para quien la quiera consultar en http://en.wikipedia.org/wiki/Magnetic_stripe, es la implementación de las tareas de control de acceso y/o validación la que es realizada habitualmente a través de un software de terceros, de forma transparente para las organizaciones, y es precisamente esta implementación lo que origina, en la gran mayoría de ocasiones, unos agujeros de seguridad muy grandes… veamos algunos ejemplos: (más…)

Pero no de los del penacho de plumas, sino de los que se te meten por el internel y te roban 8 millones de números de tarjetas de crédito. Esto es, la cadena de hoteles Best Western ha sido petada pero bien. Y entre uno de esos 8 millones, mucho me temo que esté yo. Y probáblemente alguno de vosotros también, asi que por si acaso…

El caso es que todavía hay muchas dudas respecto al verdadero impacto de la intrusión. Asi que no quedaba otra que llamar a Best Western para ver qué me podían aclarar.
Bueno, lo primero que me han querido dejar claro es que todas las transacciones se hacían de acuerdo al standar PCI, que todo estaba cifrado y era muy dificil de leer. Como hemos visto en anteriores ocasiones, la famosa de la cadena de supermercados, que sean PCI compliance no es a priori ninguna garantía y más cuando parece que el «indio gorrón» se metió hasta la cocina.

Tampoco me han podido aclarar si sólo han sido comprometidas las tarjetas que llegaron al sistema a traves de internet, incluidas páginas como booking.com o también cualquiera que «físicamente» llegara a la ruta de pagos del hotel.Lo que me han venido a decir es que monitorize todos los cargos a mi tarjeta y si descubro que estoy comprando 40 iPhones con destino a la gloriosa república de kizijistan, les llame corriendo. Como dato curioso, al final me han preguntado si era periodista…Aunque todo hay que decirlo, el hotel estaba bastante bien.

Yo no tengo ni puta idea de PCI, así de claro, asi que si algún amable lector puede comentar las posibilidades reales del impacto que haya podido tener esta intrusión en una empresa PCI compliance, pues mucho mejor.

Ya hay exploits públicos para «la vulnerabilidad» http://www.caughq.org/exploits/. Chan chan.

Pero no sólo para protegeros de la que se avecina necesitaréis los gorros, los Pandas With Gambas andan sueltos, muchos ya están en tercer grado y solo tienen que ir a dormir. Es cierto que echarán de menos al serpiente y al toallas, pero una nueva vida les espera.
Pandas With Gambas en El País
¡¡ Suerte !!

Actualizado: DrNo hace una importante observación en los comentarios.Así que toca rectificar algunas cosas.

Dan Kaminsky es un conocido researcher que va y descubre uno de las fallos más graves en la historia de Interneeer. Tampoco voy a hablar del impacto del fallo porque creo que está todo dicho. De los de apagar el ordenador y meterte debajo de la mesa. Bien, el tio va y hace lo que hay que hacer, contactar con el CERT para coordinar con todos las empresas afectadas un parche etc,etc… Y que más hace, pues prepara una charla en la conferencia más importante de seguridad informática actualmente, el BlackHat, donde revelará todos los detalles sobre la vulnerabilidad. Entre esta charla y la liberación de los parches por parte de las empresas afectadas existe un intervalo de tiempo suficiente para que se parchee todo los DNSs vulnerables.

Pero aquí empieza la juerga. Con las vagas descripciones sobre los parches liberados la gente empieza a especular sobre el verdadero impacto del fallo, la gente se engorila y empiezan a atacar directamente a Kaminsky acusándole de sobredimensionar la movida y demás.
Uno de los tantos que elige ese camino es Thomas Ptacek, el cherif de matasano que viene dedícándose a esto desde hace mil o más. No tiene que demostrar nada porque cualquiera que siga su trabajo sabe que es uno de los mejores. Kaminsky contacta con él para explicarle los detalles del fallo y Ptacek rectifica, dándole el impacto que realmente tenía.

Halvar Flake, que no es de los que fué contactados por Kaminsky para recibir en privado los detalles de la vulnerabilidad, pues especula en una entrada de su blog sobre por donde pueden andar los tiros. Nada que objetar, puede ser o no puede ser, pero son especulaciones fruto de la curiosidad de otro de los mejores investigadores actuales.
(más…)