Hellsparty Planet
Planeta Seguro
Subscribete por
RSS
.
O por
Home
About
Contacto
ed2k://tus_datos_personales
May 26th, 2008
Últimamente se han hecho eco todos los blogs de seguridad y
periódicos
del escandalo ocurrido a raíz de la publicación por parte de una clínica en Bilbao de las historias médicas de sus pacientes en una red de intercambio de ficheros, en concreto la red edonkey, conocida por su cliente eMule.
Para evitar este tipo de problemas, una auditoría completa ha de contemplar cualquier protocolo de comunicación para asegurarse que una organización no está publicando accidentalmente datos de carácter confidencial. Es común ver conferencias y múltiples documentos sobre la búsqueda de información en buscadores y generalmente en web, entre ellos: google, archive.org, netcraft, whois.sc, así como en los propios sitios web de la compañía: información del dominio, meta datos de pdf, doc, xls, correos o comentarios en htmls o incluso EXIF de jpg. ¿Pero que hay del resto de servicios?
La experiencia nos ha demostrado que en las redes P2P tan comúnmente utilizadas, es muy sencillo encontrar información de gran valor para realizar ataques, desde documentación técnica, hasta archivos de correo (pst) de empleados.
Un claro ejemplo de esta problemática es la que sacude una doble vulnerabilidad; tanto a los clientes finales, como a muchos bancos. Con el más que habitual uso de la banca electrónica, algunos de estas aplicaciones dispone de una funcionalidad para exportar nuestros movimientos a un archivo y procesarlo posteriormente desde nuestra estación de trabajo, ya sea en formato XLS, CSV, PDF u otro cualquiera, el nombre que reciben estos archivos y que serán posteriormente almacenados en el equipo del usuario es estático, lo que significa que, conociendo este nombre, es posible realizar búsquedas en redes de intercambio de archivos para capturar la información de todos aquellos clientes de ese banco, que tengan incorrectamente configurado su cliente P2P.
A día de este escrito, si se busca por la cadena: "BDNT_MostrarPDF2.jsp", nombre utilizado por el
BBVA
se encuentran varios registros. Lo mismo ocurre con la cadena de texto: "ebk opr cuentas saldos", utilizada por
Bankinter
. El
Banco Pastor
con "Movimientos.xls", con más de 20 ficheros distintos, incluidos otros ficheros que refieren a
Unicaja
,
Banesto
, y otros bancos.
La lista podría ser mucho más larga, pero parece suficiente como ejemplo.
¿La solución? bastante sencilla, generar el archivo con un nombre no predecible, de esta forma los clientes incoscientemente estarán más seguros.
Fuente:
Security By Default
Search this blog:
Ultimas entradas:
About
Otra mas de hacking en UPnP
Liberan informacion del Hack al Senado
BackTrack 3 Finalmente liberado
The Top 75 Open Source Security Apps
Exponiendo fast-track
Diseccion del codigo fuente de una aplicacion para vulnerabilidades
Distro Review: BackTrack 3 Beta
Orkut XSS Worm
Firefox Addon's para navegacion segura
htmlentities() esta mal diseñado
Asegurando Apache
OSSEC HIDS v1.4 Disponible !!!
Modulos cargados dinamicamente
ExploitMe: Plug-in Test Web App
Google's Black Box Lemon
Certificacion OWASP Website Security
Bug en Google Adsense Revelado
DNS Pinning Explained
Programando una PHPShell
Historial:
December 2008
November 2008
October 2008
September 2008
August 2008
July 2008
June 2008
May 2008
April 2008
March 2008
February 2008
January 2008
December 2007
November 2007
October 2007
September 2007
July 2007
June 2007
May 2007
March 2007
January 2007
June 2006
April 2006
February 2006
January 2006
November 2005
September 2005
August 2005
July 2005
June 2005
May 2005
February 2005
October 2004
Contribuidores:
Pwned’s blog - Desarrollo de Tecnologia
Guru de la informática
Lestat-Blog De Seguridad Informatica
Blogantivirus
Security By Default
Rompecadenas
Seguridad Informática
ITA.NET: Seguridad
Noticias de Seguridad Informática
Error500 - Antivirus
GNUCITIZEN
Microsiervos | Seguridad
48Bits Blog
