26 mayo 2008

ed2k://tus_datos_personales


Últimamente se han hecho eco todos los blogs de seguridad y periódicos del escandalo ocurrido a raíz de la publicación por parte de una clínica en Bilbao de las historias médicas de sus pacientes en una red de intercambio de ficheros, en concreto la red edonkey, conocida por su cliente eMule.

Para evitar este tipo de problemas, una auditoría completa ha de contemplar cualquier protocolo de comunicación para asegurarse que una organización no está publicando accidentalmente datos de carácter confidencial. Es común ver conferencias y múltiples documentos sobre la búsqueda de información en buscadores y generalmente en web, entre ellos: google, archive.org, netcraft, whois.sc, así como en los propios sitios web de la compañía: información del dominio, meta datos de pdf, doc, xls, correos o comentarios en htmls o incluso EXIF de jpg. ¿Pero que hay del resto de servicios?

La experiencia nos ha demostrado que en las redes P2P tan comúnmente utilizadas, es muy sencillo encontrar información de gran valor para realizar ataques, desde documentación técnica, hasta archivos de correo (pst) de empleados.

Un claro ejemplo de esta problemática es la que sacude una doble vulnerabilidad; tanto a los clientes finales, como a muchos bancos. Con el más que habitual uso de la banca electrónica, algunos de estas aplicaciones dispone de una funcionalidad para exportar nuestros movimientos a un archivo y procesarlo posteriormente desde nuestra estación de trabajo, ya sea en formato XLS, CSV, PDF u otro cualquiera, el nombre que reciben estos archivos y que serán posteriormente almacenados en el equipo del usuario es estático, lo que significa que, conociendo este nombre, es posible realizar búsquedas en redes de intercambio de archivos para capturar la información de todos aquellos clientes de ese banco, que tengan incorrectamente configurado su cliente P2P.

A día de este escrito, si se busca por la cadena: "BDNT_MostrarPDF2.jsp", nombre utilizado por el BBVA se encuentran varios registros. Lo mismo ocurre con la cadena de texto: "ebk opr cuentas saldos", utilizada por Bankinter. El Banco Pastor con "Movimientos.xls", con más de 20 ficheros distintos, incluidos otros ficheros que refieren a Unicaja, Banesto, y otros bancos.

La lista podría ser mucho más larga, pero parece suficiente como ejemplo.

¿La solución? bastante sencilla, generar el archivo con un nombre no predecible, de esta forma los clientes incoscientemente estarán más seguros.


1 comments :

Fina y Segura dijo...

En INGDIRECT se hace con un nombre aleatorio. Otro esperimento muy divertido es buscar dni (te aparecen un monton de documentos escaneados) o nomina o contraseñas ...