Hace tiempo que tener un sitio en Internet dejó de ser un juego de amateurs en términos de seguridad, pero siempre hay uno que otro lugar en toda la web que hace caso omiso a la mínima protección contra gente malintencionada, algo así como no disponer de guardias en los bancos y policías en las calles. Pero jamás se pensaría que el mismo sitio de Servipag, un portal de pagos de cuentas (luz, agua, Internet, etcétera) importante en Chile no cumpliese con medidas críticas para proteger el servicio y sobre todo a sus clientes.
PUBLICIDAD
En el blog El rincón de Zerial dejan al descubierto “cómo reaccionan las empresas cuando se les reporta un problema de seguridad critico, cómo no son capaces de responder e intentan esconder el error”. Como ellos pudieron comprobar, el mismo sitio de Servipag presenta tres vulnerabilidades importantes desde hace meses:
- Directory Traversal: La capacidad de navegar por directorios padres, incluso llegar a la raíz del disco hacia otros directorios o archivos más importantes.
- Local File Include (LFI): Gracias a lo anterior, se pueden incluir archivos de origen desconocido al servidor web, permitiendo su ejecución y control parcial o absoluto.
- Cross Site Scripting: Inyección de código de ejecución local (como Javascript) en el sitio para que sea ejecutado por otros usuarios que visitan el sitio, permitiendo desde capturar información sensible hasta el control parcial del equipo.
¿Qué tan grave son estas vulnerabilidades? Varios usuarios decidieron hacer la prueba usando el mismo método, usando las URL, y uno de ellos se encontró con una desagradable sorpresa:
No sólo fue posible mirar el archivo “hosts” del servidor con Windows Server 2003 como lo hicieron en El Blog de Zerial, ¡también el propio archivo “boot.ini” que maneja el arranque del sistema!. En otras palabras, es cosa de tiempo para que algún habilidoso decida entrar Como Pedro por su casa para faenar información y botar el servidor para que no dejar rastro. En el peor de los casos se puede cambiar el funcionamiento del sitio de forma silenciosa para que capture contraseñas, cuentas bancarias y número de tarjetas de crédito, si es que no lo han hecho ya con anterioridad.
De forma responsable, el mismo sitio decidió reportar los problemas, y la respuesta tardó 2 días en llegar. Después de 7 días lo único que ha llegado de forma oficial desde Servipag es un correo con información de contacto, nada más, lo que denota la poca preocupación para mantener el funcionamiento correcto del sitio. Tales vulnerabilidades, a la hora de publicación, no han sido saneadas debidamente.
Lo más interesante de todo es que el propio sitio de Servipag admite contar con las herramientas “de más alto nivel en seguridad” para el funcionamiento en su sitio, lo que claramente es una falacia si tomamos en cuenta lo que sucede realmente: la posibilidad de adquirir información sin necesidad de irrumpir en el propio servidor, algo muy parecido a mirar el contenido de una casa desde la calle como fue el caso de España con Nintendo y 8media. También pone en duda qué tan efectivos y fehacientes son los certificados que disponen en el propio pie de página, si es que alguno de ellos se refiere a la seguridad del sitio – por lo menos el de VeriSign está en lo correcto porque el cifrado SSL sí funciona, pero no ayuda en nada al lado de las anteriores vulnerabilidades.
No se ha escuchado ninguna respuesta oficial de Servipag hasta el momento, mucho menos si incurrirán en alguna demanda como sucedió en el caso ChileCompras, o si los descubridores de estas vulnerabilidades le extenderán una boleta a la empresa de siete u ocho cifras por concepto de Auditoría Informática. Sea como sea, creo que lo más seguro es pasear por el centro de la ciudad pagando las cuentas de forma presencial durante los próximos meses, o años por si alguien quiere mantenerse precavido.
Link: Servipag.cl: El portal chileno de pagos online más inseguro (El Rincón de Zerial)