El 25 por ciento de los sitios web de todo el mundo están expuestos a ataques, robos de datos y sabotaje anunciaron dos jóvenes expertos en seguridad informática –un argentino y un vietnamita– que participan de la cumbre de expertos en ciberdelitos Ekoparty que se realiza esta semana en Buenos Aires.
Juliano Rizzo y Thai Duong presentarán pasado mañana los detalles de su investigación, en la que exhiben las vulnerabilidades que tiene el sistema ASP.NET, de Microsoft, con el que están desarrollados el 25 por ciento de las páginas web, según el sitio BuiltWith. El error afecta a más porcentaje aún en el caso de las grandes empresas y los bancos, que usan mucho más los sistemas de Microsoft.
Los investigadores detectaron la falla en la forma en que ese sistema encripta los mensajes que le envían a los usuarios. «Cada vez que una persona se conecta con un servidor que usa ASP.NET, éste le deja en su navegador ciertos datos con la historia de esa sesión. Sería el equivalente a si uno va a un banco y le dan un ticket con la historia del trámite para que se pueda seguir más adelante . El ticket puede ser una serie de números que nadie entiende, sólo el cajero el día que uno vuelva –explica Rizzo a Clarín–. La comunicación entre el navegador y el sitio con ASP.NET es similar. El servidor deja un código que, supuestamente nadie entiende. Pero nosotros descubrimos que se puede vulnerar».
Los detalles de la investigación y cómo se puede atacar estos sitios serán revelados por los dos jóvenes pasado mañana, en el cierre de la conferencia Ekoparty. Sin embargo, Rizzo adelantó a Clarín que la técnica que ellos utilizaron consiste, básicamente, en enviarle «tickets» falsos al servidor uno tras otro y estudiar la respuesta que reciben. «En función de esta respuesta podemos construir un «ticket» verdadero y hacernos pasar por administrador, por ejemplo», explica Rizzo.
Fuente: Clarín