Llevo unos dias intentando mejorar mis conocimientos acerca de vulnerabilidades XSS, intentando buscarlas en páginas famosillas e importantes, como pueden ser empresas mundiales de telecomunicaciones, aparatos electrónicos, electrodomésticos y videojuegos. No daré nombres (todavia) pero todo esto me ha hecho reflexionar bastante acerca de la seguridad informática a nivel Web.
Mi pregunta es: ¿cómo es posible a dia de hoy encontrarse tantísimos XSS en webs que no solo son famosas, sino que juegan con millones de datos sensibles y personales?. Haré un copypaste de lo que me respondió la GDT (Grupo de Delitos Telemáticos) acerca de esto:
Respecto a la ilegalidad de una deficiente configuración segura o uan negligencia en la configuración de seguridad de sus sistemas, sí es ilegal, pero no delictivo. Es decir, puede ser una infracción administrativa a la Ley de Protección de Datos, pero nunca un delito castigable con el Código Penal.
Me parece sino curioso esto último. Lo que me da a entender aquí es simplemente es que puedo montarme una empresa super conocida, que manejo cualquier tipo de datos, y apenas preocuparme por la seguridad de ellos.
Todo esto me ha insipirado a lo siguiente: voy a publicar en una “página” una recolección de webs con vulnerabilidades XSS sin especificar dónde se encuentra, es decir, solamente escribiendo el dominio para dar fé, aun sabiendo que no vaya a servir de nada, de la poca seguridad o poca importancia que le da a la seguridad que tiene esa empresa. Siempre voy a dejar un margen de 7 dias entre que lo reporto (obviamente, voy a reportar todas, y en dichos reportes lo especificaré mucho más), y además de esto, voy a poner un screenshot del mensaje enviado para que todo el mundo lo vea (tapando lo conveniente). Junto con esto, escribiré según mi punto de vista, la gravedad del asunto (depende de si hay en juego datos o no) y cada cierto tiempo, revisaré a ver si han arreglado el fallo.
Volviendo al tema de antes, se me plantea la pregunta de ¿qué solución deberiamos de tomar para acabar con esto? Te pones a pensarlo y claro, piensas en que se tendrían que preocupar y contratar a programadores, o gente que busque vulnerabilidades o haga simulaciones de ataque (¿auditorias de seguridad?) para detectar los fallos y solventarlos. Pero, ¿para qué? si no les van a castigar si pasa algo. Simplemente “Bueno, me da igual la seguridad, si pasa algo grave ya me avisará alguien importante, porque si se descubre algo, como no me pueden denunciar me da igual”.
Obviamente, cuando vemos una noticia cuyo titular es “Un grupo de hackers ha entrado en los sistemas del Gobierno/NASA” lo primero que nos viene a la cabeza, después de la sorpresa, es pensar en cómo y porqué ha pasado eso.
Obviamente, no vemos noticias del tipo “Se ha encontrado un fallo de seguridad que permite robar cuentas en X página de compra”, siendo X incluso una web famosa. Lo único parecido a esto serán titulares que digan “Un grupo de hackers ha robado las cuentas de X página”. A ver si me explico, la noticia realmente es el acto delictivo no el descubrimiento de lo que posteriormente puede dar lugar al acto delictivo. Pero si las empresas no ponen interés en esto, ¿porqué tienen que esperar a que pase? No lo entiendo, ya que así pierden en prestigio bastante.
Por otra parte, el pasado viernes 22 tuve el placer de hablar con Juan Salom, dirigente del Grupo de Delitos Telemáticos español, que me animó incluso a reportarselo a ellos mismos.
Un saludo, lipman
