Estado de la vulnerabilidad “Heartbleed” en el sistema bancario de Paraguay

Imagen

Antes de migrar el blog aprovecho esta la oportunidad actualizarlo con el tema “de moda” en cuanto a seguridad, seguramente en estos últimos días se toparon la noticia de la vulnerabilidad CVE-2014-0160 de la librería OpenSSL, mas conocida como Heartbleed.

Antes que nada hay que aclarar que Heartbleed NO ES un virus ni tampoco un gusano(como muchos sitios de noticias reportaron), es un Bug, un error de programación. Lo peligroso de esta vulnerabilidad pasa por tres factores: El hecho que es muy dificil detectar si un servidor fue victima de este ataque, La popularidad de OpenSSL y el tiempo que lleva presente.

Imagen

OpenSSL se utiliza para proveer conexiones seguras y encriptadas mediante los protocolos SSL/TLS (como cuando aparece el candado en la barra de direcciones y en vez de http aparece https), pero no solamente se utiliza en la web, sino hay muchas aplicaciones como el correo electrónico, mensajería instantánea y muchos dispositivos de red.

El fallo pasó sin detectado desde inicios del 2012 hasta unos dias atrás(07-04-2014), durante todo ese tiempo millones de servidores estuvieron vulnerables, siendo así posible el robo de datos, incluyendo usuarios, contraseñas e inclusive las claves de encriptación, las cuales permiten desencriptar todo el trafico inclusive, trafico anteriormente capturado.

Para más información pueden ver este articulo de Ejempla o el “sitio oficial” de la vulnerabilidad http://heartbleed.com

El fallo ya fue corregido y como primer paso para no ser victimas de esta situación es actualizar los servidores afectados, como ya comenté mas arriba la versión de OpenSSL que corrige el fallo se publicó el 7 de Abril del 2014.

Pero no basta con actualizar la librería ya que si la vulnerabilidad fue explotada en el pasado(no deja rastros) la clave de encriptación pudo haber sido robada, con esto el atacante tiene la posibilidad de usar las claves para que su sitio o servicio fraudulento pueda hacerse pasar por el legítimo. 

Por eso el siguiente paso es generar nuevas claves de encriptación, revocar los certificados SSL para luego solicitar nuevos certificados SSL.

Bueno, ahora vamos a la razón de este artículo

Realice un análisis sobre el estado de los sitios web de banca electrónica de Paraguay, asi como también de otros actores del sistema financiero como las procesadoras de pagos. Fue grata la sorpresa al encontrar que todos los sitios ya se encontraban parchados y no eran vulnerables al Heartbleed, pero quise indagar un poco más con respecto a la fecha de emisión de los certificados SSL.

Es muy poco probable que esta vulnerabilidad haya sido explotada en algún sitio de banca electronica del pais pero no deja de ser posible.

Metodología

Cree un script que comprueba cada los certificados de todos los bancos habilitados por el BCP(incluyendo al BCP) y las procesadoras de tarjetas de crédito. Utiliza las librerias M2Crypto y OpenSSL de python para obtener los datos. Lo subí a mi cuenta de github https://github.com/melizeche/heartbleedpy (script rápido y sucio, se aceptan mejoras). 

Resultados

De 6 sitios no se pudo precisar si usan OpenSSL para las conexiones seguras, si no lo utilizan no son ni estuvieron en vulnerables.

Imagen

Dejo una capturas de pantalla aquí pero es mas interesante ver en mi servidor donde se actualiza cada 10 minutos la información

Para ver los datos actualizados entrar a http://melizeche.com/heartbleedpy/ donde se explica bien como leer la tablaImagenConclusión

La noticia positiva es que ninguna entidad es vulnerable al Heartbleed pero por otro lado vemos que hay muchos certificados que aún no se renovaron, como explique mas arriba, el riesgo es bajo al ser poco probable que algún banco local haya sido victima en el pasado pero no deja de ser un factor a tener en cuenta

Hay que destacar la rápida respuesta de parte de los encargados de seguridad de los bancos al parchar la vulnerabilidad pero como se explico más arriba no es suficiente eso y sería interesante que las entidades emitan algún comunicado explicando las medidas que se tomaron.

Espero que con los días la tabla se vaya poniendo cada vez más verde.

Si algo no quedó claro o pensás que no es preciso o tenés algún aporte no dudes en comentarlo más abajo.

 

Anuncios

Phishing para robar tarjetas de crédito de Itaú

Ayer leí este tweet  en el que avisaban que estaban haciendo phishing 

 entonces le pedí que me reenviara el correo que le había llegado

Sigue leyendo

Medio Muerto pero con mas de 130.000 visitas!

Mientras estuve inactivo “bloguisticamente” hablando el boliche continuo! y bastante bien parece, llegamos a las 130.000 visitas y muchísimos comentarios. La gente entro a <El Otro Blog> desde todo el mundo inclusive desde lugares remotos como Alaska, Maldivas, Indonesia, Mongolia y la Polinesia Francesa. Se que esto no quiere decir que me leen muchos Francopolinesios sino que probablemente entraron a buscar la imagen de Tony Montana o alguna mas interesante pero la gran parte de los visitantes no fueron a esos post y ademas son hispanohablantes.

El promedio de visitantes únicos es de 200 por día, bajo un poco en el tiempo que estuve en letargo porque antes eran unos 285, pero volveremos a nuestro esplendor anterior! Volveremos y seremos remeras! (Ernesto “El Che” Guevara) xD

Bueno ahora un poco de estadistica

Lo que se busca

Mucha gente llego al blog por alguna buscador y aca estan las “palabras claves” de como llegaron (la Nº1 es PRICELESS)

Buscando Visitas
boludeces 1,285
product code n95 1,071
hp pavilion dv6000 887
firmware n95 779
tony montana 731
nokia n95 247
n95 product code 230
product code nokia n95 220
nemesis service suite 203
n95 firmware 201
product code n95-3 173
cambiar product code n95 170
actualizar firmware nokia n95 156
versión 21.0.016 del software para nokia 139
crisis financiera ninja 136
hp dv6000 128
crear imagen iso ubuntu 126
direcciones de mail 126
nokia n95 product code 125
como saber el modelo de mi notebook 114
cambiar idioma nokia n95 112
crisis financiera global 109
al pacino 99
bill gates anticristo 99
chanchos 93
crear imagen iso linux 92
elotroblog 90
code product n95 89
ultimo firmware n95 89
reinstalar firmware n95 89
firmware 30.0.015 88
nueva presentacion de los simpsons 82
blog n95 80
crear imagen iso en linux 79
nokia n95-1 77
nokia n95 firmware 76
nemesis n95 76

Como ven la gente quiere saber sobre su teléfono y boludeces y yo se las proveo! xD

El Top 20

La los posts mas vistos son:

Título Visitas
Como Cambiarle el firmware a un Nokia N9 32,479
Nuevo Firmware 21.0.016 para el Nokia N9 22,569
Product Codes para Nokia N95-1 N95-2 N95 22,087
Página principal 16,610
Nokia lanza nuevo Firmware 30.0.015 para 13,361
Como saber el modelo exacto de una Noteb 4,070
Como Hacer Funcionar Wifi con Ndiswrappe 3,186
Como Crear Imagenes ISO en Linux 2,878
Instalar Kubuntu Feisty Fawn en una HP P 1,781
Como Solucionar la Asociación de 1,406
Acceder al Bios Setup de una Acer Aspire 1,249
Entendiendo la Crisis Financiera Global 1,185
Heroe o Anti-heroe? 915
Adobe lanza Flash Player 10 beta para Li 867
Tenes Gmail? Tenes infinitas direcciones 733
Quien soy? 622
Microsoft Songsmith: Prueba indefectible 580
20 Cosas que no te van a Gustar de Windo 534
Crear Alias o “Accesos directos” en la c 414
Chanchos Sin Fronteras 370
Instalar Kubuntu Festy Fawn en una HP Pa 355

Pero de donde!?

Argentina (AR) 20,56%
Spain (ES) 20,26%
Mexico (MX) 14,54%
Colombia (CO) 6,75%
Chile (CL) 5,87%
United States (US) 5,87%
Venezuela (VE) 5,29%
Peru (PE) 4,70%
Paraguay (PY) 4,70%
Ecuador (EC) 2,79%
Uruguay (UY) 1,32%
Dominican Republic (DO) 1,03%
Guatemala (GT) 0,88%
El Salvador (SV) 0,73%
Panama (PA) 0,59%
Bolivia (BO) 0,44%
Ireland (IE) 0,44%
United Kingdom (GB) 0,44%
Costa Rica (CR) 0,44%
Sweden (SE) 0,44%
Brazil (BR) 0,29%
Germany (DE) 0,29%
Canada (CA) 0,15%
Ukraine (UA) 0,15%
Macedonia (MK) 0,15%
India (IN) 0,15%
Nicaragua (NI) 0,15%
Cuba (CU) 0,15%
France (FR) 0,15%
Romania (RO) 0,15%
Italy (IT) 0,15%

Como es de esperarse la mayoría son de países donde se habla el español pero hay alguno que otro bastante interesante.

Todo muy lindo pero a quien le interesa esto?

Y a mi, y esto no es una democracia! xD. Hablando en serio, aparte de ser un autoestímulo egocéntrico es importante para los anunciantes(anunciante, en singular en realidad) de <El Otro Blog> osea que si querés publicitar acá… escribime un mail y listo el pollo!.

Con el blog dormido un año llegamos a esto, que para muchos no es nada, pero ahora que estamos de vuelta(en plural por mis personalidades multiples)  la vamos a remar!

Navidad Prostituida, consumismo, retraso y demas yerbas…

Dedicatoria Navidad

Hace ya dos años(Diciembre 2006) que escribi en este blog sobre la navidad, asi como yo la veo en la actualidad, fue un divague del momento y eso salio. Lastimosamente esa entrada(Navidad Prostituida) sigue siendo tan vigente que me gustaría repostearlo (viene de postear de nuevo no de reposteria!) aca, ya se que paso la navidad y el año nuevo pero no tuve nada de tiempo para escribir en el blog, ni para miles de cosas como lo explique en el post anterior entonces lo posteo hoy.

Lo bueno es saber que mucha gente piensa igual sobre la navidad, esa fiebre de consumismo que parece una pandemia en diciembre, uno de ellos es Ramiro Meyer, un amigo mio que me regalo un libro:  “El amor, las Mujeres y la Muerte” de Arthur Schopenhauer(Todavia no lo pude leer pero en breve lo haré), la verdad es que me sorprendio su gesto, pero claro que estoy muy agradecido 😉 , pero lo que mas me gusto y fue una grata sorpresa fue la dedicatoria, tan simple, tan honesta, tan sarcástica, asi como se ve en la foto “FELIZ DIA DE LOS REGALOS”, cuando lo lei no pude parar de reirme, el sabia bien lo que yo pensaba de ese dia, me dio un regalo, no por navidad, sino por el dia de los Regalos! jajaja buenisimo!

Creo que es imposible que pudiera dar en el blanco con tanta sutileza, no voy a mentir, esta dedicatoria me alegro el dia. Una vez mas, gracias Ramiro!. Bueno les dejo con mi divague(lo copio y pego porque se bien que son haraganes y no quieren hacer click en el link del Post). Sigue leyendo

Chanchos Sin Fronteras

Para muchos europeos, Paraguay solo existe en canciones y películas de la clase B. La secuencia de apertura de los Niños de Brasil fue filmada en un ridículo escenario que pretendía ser Asunción en ocasión de una reunión de las SS. Hubiera sido más creíble para Indiana Jones en Busca del Arca Perdida. Sigue leyendo

Felicidades!! YO!

<excepcion>

Estaba dudando si postear esto o no porque personalmente no me gustan los blogs que parecen un diario de una quinceañera contando todos sus movimientos y sentimientos. Creo que eso podria ser la unica tematica del blog(NO EXAGERAR CON LAS COSAS PERSONALES) ya que esta bitacora carece de tematica fija.

Con esta introduccion me remito a explicar el titulo o al menos a hacerlo comprensible, hoy es mi cumpleaños, cosa que no me emociona mucho pero es bueno sentirse rodeado de gente a la que uno le importa.

Simplemente eso. aca cierro este post que hace fisura en este blog.

</excepcion>