Barrapunto

Y es que esa es la gran falacia que toda esta industria nos quiere vender.

De que me sirve conectar con candadito por HTTPS a 1024 bits de clave asímetrica (y subiendo), VPNs y certificados de Verisign de sitio seguro si luego mis datos van a ir en una base de datos final almacenados en limpio y a la que le puedo meter un "SQL injecting" de manera sencilla mediante un formulairo mal filtrado.

De todos los sitios que he leido de donde se han sacado números de tarjeta y demás datos sensibles, ni uno hasta la fecha (hablo de ataques externos, no de personal interno) ha sido colocando un sniffer en un router o descifrando un algoritmo de cifrado simétrico o asimétrico conocido. Demasiados esfuerzos para sacar números de Visa a vender de 3000 en 3000 a medio dolar la unidad o hacer un spamming masivo con las direcciones de correo conseguidas.

La historia se repite todos los días:

- SQL injecting
- Cross site scripting
- Ataques a servidores web mal parcheados
- Claves triviales (o sin clave) en sistemas críticos por dejadez de usuarios/administradores.

Evidentemente la industria tiene que trasladar seguridad con tanto sello de "sitio seguro", certificados y algoritmos de cifrado que precisan de 10.000 años para reventarlos por fuerza bruta.

Pero la máxima cada día es más valida: "una cadena es tan debil como el más débil de sus eslabones".

No quiero saber cuan fuerte es el quinto quiero saber hasta que punto son fuertes los otros 20.

Siempre he pensado que las compañias que gestionan/producen las tarjetas (VISA por ejemplo) no se esfuerzan en hacerlo un medio seguro. Supongo que les cuesta más el "securizar" las tarjetas que asumir el fraude, sobre todo cuando el fraude se lo cargan a las tiendas. ¿Cómo pueden pensar que el sistema es seguro cuando la VISA utiliza la fecha de caducidad (impreso en el plástico) como dato a comprobar?

El año pasado, un amigo mío con conocimientos "caseros" de informática (lo más que sabe hacer son páginas web), consiguió unos cuantos números de tarjeta y las fechas de caducidad de estas de la página web de Terra.
Diré que son los únicos datos que Terra te pide en su página para recargar teléfonos móviles de Movistar.

Como ha dicho crysys, lo que ocurre no es que el https, certificados y todo eso fallen. Sino que luego se deja en unas bases de datos que no tienen esa protección.
Concretamente, el método que usó mi amigo, (y que yo personalmente verifiqué) fué así de estúpido:

1. Entrabas en la página que muestra tus datos de usuario del acceso a internet de Terra(o consigues de alguna manera a ver los datos de otro usuario).
2. Apuntabas la URL de esta página, en la que además se oservaba una cadena de texto con toda la pinta de una clave/hash/o-algo-asi.
3. Buscabas por ahí el login de algún usuario otro de Terra (Por ejemplo en las firmas de los usuarios de barrapunto)
4. Pides a la web que te muestre los datos de este usuario, metiendo una clave al azar.
5. Por supuesto, te dirá que la clave es falsa, pero en la URL aparecera de nuevo un hash.
6. ¿Adivinais que viene ahora?. Pues si, solo había que poner la URL de la página que mostraba tus datos sustituyendo el hash que había ahí por este nuevo que habias conseguido.
7. Ante tus ojos aparecía la pígina con todos los datos del usuarío: nombre, domicilio, forma de pagar el acceso a Internet de Terra (si tenía, pues podía ser simplemente una cuenta para correo web) con los datos necesarios, clave, pregunta/respuesta de perdida de clave...

Parece que aparte de en Terra el método le valió también para el correo web de Yahoo!, aunque, por supuesto, ya está arreglado en ambas.
------
Otnirebal
-Visita mi mibarrapunto imaginario

ni uno hasta la fecha [...] ha sido colocando un sniffer en un router o descifrando un algoritmo de cifrado simétrico o asimétrico conocido.

Eso es, precisamente, porque la mayoría de los datos van cifrados. Si no lo estuvieran, seguramente ya habríamos visto unos cuantos casos de sniffers en, por ejemplo, el proxy comprometido de un ISP (imagínate las cosas que pasan por los proxies transparentes de terra, eresmas, etc...).

"una cadena es tan debil como el más débil de sus eslabones".

Muy cierto, pero eso es motivo para reforzar el eslabón débil, no para decir que los fuertes no sirven para nada.

¿ si tu vas a un resturante, al dueño le basta con que tu le digas el numero de la tarjeta o te la pide y ademas el dni?

¿Y si es precisamente el dueño el que piensa cometer un fraude con tu tarjeta? ¿Paranoia? Puedo asegurarte que conocí a una persona que trabajaba en cierto establecimiento de lujo que anotaba los números de tarjetas y DNIs para luego hacer uso fraudulento de los mismos a través de Internet.

Desengañémonos: las tarjetas de crédito son una mierda por su propia naturaleza, no se puede usar de manera segura un medio que es por naturaleza inseguro.

Particularmente creo que la alternativa (y el futuro) está en los sistemas de pago mediante telefónos móviles, de tal manera que es el propio usuario el que lleva la tarjeta, el que lleva el terminal para efectuar el pago y el que lo realiza directamente.

Y tampoco hace falta tanta complicación, me se de una empresa perteneciente a uno de los grandes grupos españoles de la era de las .Com que vendía productos en su web y aceptaba (como no) pagos con tarjeta.

El caso es que tenían todo tipo de certificados strong-encryption y para nada...

Del servidor, los datos de la tarjeta del usuario que se habían recibido en forma segura se almacenaban de forma insegura Y SOBRE TODO, se envíaban por email plano al "contable" para que este picase a mano en un TPV físico estos datos.

Cuando puse el grito en el cielo cambiaron... pero si antes se llega a dar cuenta un iluminado de estos....

Una solución interesante es el uso de TPV virtuales como el de 4B u otros muchos del panorama español.

La tienda nunca llega a tener los datos de la tarjeta, todo está en un sistema automatizado y presuntamente seguro (al menos los bacnso responden por fraudes, etc). Visto lo visto, me dan más confianza las tiendas donde se usa este método, si les entran poca información crítica van a poder conseguir de mí... ¿me mandarán buzoneos? Peor es lo otro.

"Mese" olvidaba.

Si tu llamas a un chino para hacer un pedido, que te pide el del chino, tu nombre y tu telefono ¿para que sera?.

Para lo mismo que si llamas a Telepizza: verificar que se trata de un pedido real, de lo contrario podría llamar yo y pedir 20 arroces tres delicias en tu nombre.

LaCaixa y otros tantos bancos ofrecen tarjetas de crédito recargables, de forma que antes de comprar nada recargas la tarjeta con el dinero exacto y después compras lo que quieres.

En estas tarjetas no hay crédito de forma que no pueden coger de donde no hay.

La de LaCaixa (es la que yo conozco) es una tarjeta temporal, de forma que si quieres la usas una vez y luego la desechas ;)

Aquí teneis más info de la CiberTarjeta de LaCaixa

El BBVA tiene otra prácticamente igual

El Santander Central Hispano también

Y supongo que la mayoría de los bancos también tendran tarjetas similares.

Están bastante infrautilizadas por la gente, no se si por desconocimiento o alguna cosa diferente, pero yo las veo muy muy útiles y dan una muy buena seguridad para las compras por Internet.

En Cualquier parte puedes conseguir estas famosas tarjetas. la mayor parte se encuentra en Canales de IRC, donde se reunen miles de personas destinadas a Sacar, Intercambiar, tanto tarjetas de credito, como logins de authorize.net, cuentas shell's y demas. Aca en Mi ciudad, hay mas de 37 casos de fraude con tarjeta de credito, se ha vuelto una moda. En parte es falta de Seguridad en Visa, como en el servidor de shopping.. como decian, de que sirve Un Algoritmo de Encriptacion, certificados SSL, y todo eso, si facilmente con un SQL Injection puedan acceder a nuestra base de datos.. Antes, se podian conseguir estas listas muy facil, por medio de un BUG de un Conocido "Shopping Cart" (Cart32), el cual podias cambiar la clave de admin facilmente y acceder a todos los logs de las ordenes. tanto las empresas, como Visa y Mastercard, deberian hacer algo para prevenir todo es fraude.

Segun tengo entendido en breve en todos los tpv virtuales tendras que introducir una password
a parte del número de tarjeta y la fecha de caducidad.
No se cuando empezará esta hisotria, pero creo que es algo que ha impuesto VISA (o alguno de estos).

hisotria => historia
Buff, no se puede entrar a trabajar tan pronto.

Un amigo mío encontró un fallo con el que podías sacar los datos personales de cualquier alumno de su universidad. Avisó al correo que aparecía en la página y no le hicieron ni caso. Avisó al centro de cálculo y no le hicieron ni caso.

Y no avisó más porque esos cabrones seguro que encima le intentaban enmarronar por encontrar el fallo.

¿Y si es precisamente el dueño el que piensa cometer un fraude con tu tarjeta? ¿Paranoia? Puedo asegurarte que conocí a una persona que trabajaba en cierto establecimiento de lujo que anotaba los números de tarjetas y DNIs para luego hacer uso fraudulento de los mismos a través de Internet.

Al menos en París en algunos restaurantes hay terminales inalámbricos para pasar la tarjeta. Mucha memoria tiene que tener el camarero para apuntarse el número de la tarjeta al vuelo o si directamente la pasas tú ocultando el número. Claro, que siempre pueden tener un escaner en la cocina ;-)

Yo lo que suelo hacer para comprar por Internet es usar una Visa especial para estos caso que me orfecieron en mi caja. La cargas con la pasta que hace falta para pagar y como además no tiene crédito pues aunque te pillen el número no van a sacar nada.
Pero eso si, ¡hay que ver lo CUTRE que es el sistema de tarjetas de crédito! (lo de las visas es grave pero lo de los PIN de 4 cifras también es de juzgado).