España: Informático descubre vulnerabilidad en la web de la NASA

España: Informático descubre vulnerabilidad en la web de la NASA

Aún no ha sido resuelta por la agencia espacial

(cc) NASA

Poniendo cosas sin sentido en los formularios que aparecen en las webs. Ese es el método que emplea el informático experto en áreas de seguridad Alonso Vidales para detectar vulnerabilidades en las diferentes páginas. Un curioso método que le ha servido para encontrar una brecha en el sitio de la mismísima NASA:

El pasado mes de septiembre descubrí un ‘bug’ del que informé a la NASA, y que han ‘parcheado’ de forma bastante cutre en los comentarios, pero que persiste en la página. Si se mete un ‘tag stript’ en lugar del nombre y los apellidos en la página, en lugar de mostrar la cuenta de este nombre se mostrará el ‘tag script’ con lo que se permitirá inyectar código JavaScript desde cualquier otra página”, dice Vidales.

Ese fue el descubrimiento de Vidales, que identifica el error como un fallo causado por la posibilidad de introducir y ejecutar algún tipo de código (JavasScript, por ejemplo) a través de diferentes partes de la web, como los citados formularios. Una vulnerabilidad denominada XSS (de Cross Site Scripting).

Pero la agencia espacial estadounidense parece no aprender del error:

Para evitar que esta vulnerabilidad fuese crítica, en un primer momento dejaron de mostrar estos datos en los lugares en los que eran públicos -comentarios a fotografías, noticias y demás-; actualmente solicitan el nombre cada vez que comentas algo, verifican mediante JavaScript si no hay inyección (algo que considero estúpido), y luego el comentario pasa una verificación, que supongo será humana”.

Medidas que el experto español considera inefectivas y que demuestra cambiando el logo de la NASA por otra imagen albergada en el propio servidor de la agencia espacial. ¿Cómo actúan los norteamericanos cuando son advertidos de un fallo de este tipo, como el reportado por Alonso hace ya varios meses?

Cuando avisas de un fallo de seguridad lo normal es que te den la callada como respuesta, y excepcionalmente te dan las gracias; lo normal es que traten de arreglar la vulnerabilidad con un parche y ya”.

Esperemos que sean más cuidadosos con la seguridad de sus naves y astronautas.

Link: Un experto español alerta de errores en la web de la NASA (El Mundo)