Archivos Seguridad: Diciembre 2006

Hablemos de Seguridad

Por Eduardo Diaz el 21 de Diciembre 2006 3:20 AM | | Comentarios (2) | TrackBacks (0)

Aunque su artículo sobre la seguridad del sitio del SII es bueno, lo que no sabe Francotirador es que esto no es tan grave, como parece. De hecho, hay cosas peores, pero no en el SII.

Esto de la seguridad del sitio del SII ha causado cierto alboroto, todo porque Firefox 2.0 decidió no soportar más algoritmos con llaves débiles, y eso dejó a varios usuarios de Firefox sin poder usar el sitio.

El SII es bastante seguro, porque a pesar de contar con un certificado de 40 bits, al menos lo usan correctamente, no como otros sitios chilenos, que tienen certificados con claves más "fuertes", pero mal usados.

Efectivamente, cuando haces login en el el SII llegas a la página https://loa.sii.cl/AUT2000/InicioAutenticacion/IngresoRutClave.html, que se encuentra usando un protocolo seguro TLS, como lo indica el HTTPS al principio de la URL, y el candado que aparece en el browser.

En cambio, en mi banco, y en muchos otros bancos y sitios chilenos, el login es una página no encriptada (sin https). Esto es malo y ha sido criticado por la comunidad de seguridad informática.

El SII lo hace bien porque:

1.- El certificado digital asegura de que el login que se hará será sobre el servidor autorizado por el SII.
2.- Se tiene certeza de que la página de destino es segura (HTTPS).

En cambio en mi banco se cometen estos errores:

1.- Se mezcla contenido seguro con no seguro, es decir, links con https, y links https simples.
2.- Como no hay intercambio de certificados no tengo certeza de que la página de login sea segura, ni siquiera que ha sido generada por el banco!!.

Un atacante que esté en medio de la comunicación puede alterar la página de login y redireccionarla a una url https que el controle. Hay varias técnicas para hacer esto, y de hecho es más práctico y facil que tratar de capturar los paquetes encriptados, aun cuando vayan en 40 bits.

Si yo fuera un black hat hacker, mi blanco serían las páginas de login de los bancos, y no la del SII, simplemente porque es más fácil atacar a las primeras, que a esta última.

« Seguridad: Noviembre 2006 | Índice principal | Archivos | Seguridad: Enero 2007 »

Sobre este archivo

Esta página es un archivo de las entradas en la categoría Seguridad de Diciembre 2006.

Seguridad: Noviembre 2006 es el archivo anterior.

Seguridad: Enero 2007 es el siguiente archivo.

Encontrará los contenidos recientes en la página principal. Consulte los archivos para ver todos los contenidos.

Seguridad: Diciembre 2006: Archivos mensuales

Suscribirse a la fuente de sindicación Suscribirse a este blog (Feed Burner)

Technorati

Technorati search

» Blogs que enlazan aquí

Creative Commons License
Este weblog está licenciado bajo una Licencia Creative Commons.

BloGalaxia website stats
Google