Hablemos de Seguridad

Por ediaz el 21 de Diciembre 2006 3:20 AM | | Comentarios (2) | TrackBacks (0)

Aunque su artículo sobre la seguridad del sitio del SII es bueno, lo que no sabe Francotirador es que esto no es tan grave, como parece. De hecho, hay cosas peores, pero no en el SII.

Esto de la seguridad del sitio del SII ha causado cierto alboroto, todo porque Firefox 2.0 decidió no soportar más algoritmos con llaves débiles, y eso dejó a varios usuarios de Firefox sin poder usar el sitio.

El SII es bastante seguro, porque a pesar de contar con un certificado de 40 bits, al menos lo usan correctamente, no como otros sitios chilenos, que tienen certificados con claves más "fuertes", pero mal usados.

Efectivamente, cuando haces login en el el SII llegas a la página https://loa.sii.cl/AUT2000/InicioAutenticacion/IngresoRutClave.html, que se encuentra usando un protocolo seguro TLS, como lo indica el HTTPS al principio de la URL, y el candado que aparece en el browser.

En cambio, en mi banco, y en muchos otros bancos y sitios chilenos, el login es una página no encriptada (sin https). Esto es malo y ha sido criticado por la comunidad de seguridad informática.

El SII lo hace bien porque:

1.- El certificado digital asegura de que el login que se hará será sobre el servidor autorizado por el SII.
2.- Se tiene certeza de que la página de destino es segura (HTTPS).

En cambio en mi banco se cometen estos errores:

1.- Se mezcla contenido seguro con no seguro, es decir, links con https, y links https simples.
2.- Como no hay intercambio de certificados no tengo certeza de que la página de login sea segura, ni siquiera que ha sido generada por el banco!!.

Un atacante que esté en medio de la comunicación puede alterar la página de login y redireccionarla a una url https que el controle. Hay varias técnicas para hacer esto, y de hecho es más práctico y facil que tratar de capturar los paquetes encriptados, aun cuando vayan en 40 bits.

Si yo fuera un black hat hacker, mi blanco serían las páginas de login de los bancos, y no la del SII, simplemente porque es más fácil atacar a las primeras, que a esta última.

Categorías

Seguridad

0 TrackBacks

Abajo se encuentran listados enlaces a este artículo: Hablemos de Seguridad.

URL de TrackBack URL para esta entrada: http://www.lnds.net/cgi-bin/mt-tb.cgi/978

2 Comentarios

Francotirador dice:

Eduardo, concuerdo contigo en que existen otros sitios en Chile con falencias de seguridad, incluso más graves. De hecho tengo poco que discutir al respecto pues eres más entendido en la materia que yo.

Sin embargo - así como no la justifico que la Concertación siga sacando a bailar a Pinocho (aún muerto) cuando le hablan de corrupción - no me parece la lógica del empate minimizando el problema del SII porque los bancos tengan otros potencialmente peores.

Desde mi óptica de observador, creo que ambos temas son graves y ambos deben resolverse a la brevedad posible. Además, tanto el SII como los bancos tienen recursos disponibles para ello, por lo que no hay excusas válidas.

Como ves, siempre tenemos razones para discutir, jejeje ;)

¡Saludos!

21 de Diciembre 2006 3:21 PM
Francotirador dice:

Ah, a todo esto... ¿qué me dice usté de la polémica por los problemas en la seguridad de PHP? :)

21 de Diciembre 2006 3:24 PM

Escribir un comentario

Sobre esta entrada

Esta página contiene una sola entrada realizada por ediaz y publicada el 21 de Diciembre 2006 3:20 AM.

¿Estudiar Computación? es la entrada anterior en este blog.

Los lastres es la entrada siguiente en este blog.

Encontrará los contenidos recientes en la página principal. Consulte los archivos para ver todos los contenidos.

Suscribirse a la fuente de sindicación Suscribirse a este blog (Feed Burner)

Technorati

Technorati search

» Blogs que enlazan aquí

Creative Commons License
Este weblog está licenciado bajo una Licencia Creative Commons.

BloGalaxia website stats

Buscar