Miren este esta enfocado para ustedes Bancos, se que nadie es profeta en su casa, pero el conocimiento no se centrifuga terminando la espiral en el mismo punto, no le pertenece todo a un solo producto o proveedor, y menos a una solución. "Le pertenece a un proceso constante , técnico bien ejecutado y con los parámetros de evaluación correctos y con los profesionales correctamente cualificados"
Pretendo enfatizar en ustedes , que mueven "X" cantidad de transacciones online, transacciones internacionales, inversiones de miles de clientes, Ladrones y usurpadores del control económico mundial (algunos bancos).
Bueno siguiendo uno de los post Anteriores que igual también puede aplicar para bancos aunque están un poco mas regulados las empresas privadas.
Al grano, Bueno me parece que se están llevando por la estupidez publicitaria cada vez veo mas gerentes que por cambiar a un producto que les vendieron que era mejor están mas seguros , pues Sr's no es así especialmente me voy a enfocar en la Banca de Latam, Tienen problemas de phising , su seguridad web (mejor dicho la web que hacen outsourcing) no la verifican adquieren productos que ni siquiera saben si es lo que necesitan para el caso de Firewalls, NGF, UTMs, Balanceadores de carga , IDS, Etc..
- En Venezuela el 90% de la banca online en vulnerable. y me remito a las experiencias dictando una clase de seguridad e la información encontramos el banco con mas transacciones online de todo el país con SQL injection , entre muchas otras..
- En Colombia son tan recelosos y quieren mantener tanta discrepción y secretismo que la seguridad por ofuscación no funciona no son las políticas que deberían llevar y los outsourcing la mayoría de aplicaciones web son CMS que no tienen dinero para desarrollar con buenas políticas .
- En Perú, creo que ni lo voy a comentar, no perderé muchas lineas de este post explicando como realmente funciona.
- Ecuador, para que les ponen directrices sin parcialmente ni las siguen o las engañan para quedar bien con la superintendencia de banca.
Ademas que las políticas para ascender en un banco en el área de seguridad sean tener ISO, COBIT, ITIL,PMP y donde quedan SANS? EC_Council ?, Infosec.??? osea que al final quien decide es una persona que no sabe ni lo que adquiere.
Haber si con esto lo ven quiero que miren la foto y vean si alguna de esas certificaciones cubre todo el espectro tanto de procedimiento el ¿Como? y el ¿Que?
No pretendo que las que propongo son buenas pero una mezcla de todo , para esa gente que asegura el dinero del resto no estaría nada mal, que una persona que no sabe ni lo que es linux este en un área de seguridad de un banco y que en su vida a programado me parece un insulto a mi fé por la seguridad de las operaciones de ese banco.
He visto Bolsas de valores que intercambian mediante protocolos FIX 3.5 y claves Wifi en WEP( los Stocks de miles de clientes.) y luego se quejan de la ciber Guerra; si tu entidad que mueves mas de 1,000,000 USD al día tienes una clave web que con Aircrack cualquiera sentado en el café que esta en tu esquina puede acceder. (no pongo el nombre por que seria muy jugoso)
O Bancos con aplicaciones Web como estas
La primera Foto es para que habrán los ojos.
Ya abrieron los ojos.??
Al parecer nadie les explico que usar Drupal con FckEditor no es lo mas optimo.. y que el .htcaccess puede ejecutar archivos con las extensiones que queramos. y que parchean 30 veces y 30 veces lo siguen teniendo igual.
Oque Jboss y Oracle se pueden hacer mejores configuraciones
Al parecer pueden infravalorar la bolsa hacer estafas bursátiles y nunca han escuchado de OWASP TOP 10 al parecer
ATMs que solo falta que te pongan el puerto USB y no quiero pensar las nuevas adquisiciones del BCP del solidCORE o otros bancos que andan a pelo o con con Antivirus.
*no pongo mas fotos por que se volvería en una pasarela de parís con tantas fotos .
y tampoco pretendo que sea un bug party..
- Usar OpenCMS antiguo y mal configurado para un Banco?
- Delegar a un firewall de capa 3 la seguridad de la capa de aplicación?
- Dejar aplicaciones de transacciones bancarias entre bancos publicas a la intemperie.
- Aplicaciones de banca mobil con bugs..?
- Seguridad en los ATMs con windows XP?
- Usar aplicaciones donde la seguridad de los inputs se las dejas a los clientes?
Podríamos hacer las publicaciones esas de 30 días un día por falla y todavía faltarían días para cubrir todas las aberraciones que se encuentran en LATAM. pero ni ustedes entenderían que es ni cual es su fin, ni tampoco perdería yo tanto tiempo para que ustedes vallan corriendo a "big providers" a pedirle ayuda o despidan a la gente que no tiene la culpa, y al final terminaría con un espectro de lectores que solamente buscarían fallas en el blog que no es el objetivo..
He visto de todo y en muchos casos hemos recomendado pero como dijo un dicho "maduramos con los daños no con los años" ,Y creo que para ustedes también sera así..
Espero que alguna reflexión levante se que el día a día de los procesos operaciones y otros comen el tiempo a cualquiera pero tomen su tiempo en mejorar las políticas , para que tomen en cuenta las recomendaciones , por que si no al final terminaran madurando con los daños que les costaran de su bolsillo. :)
y para Terminar.. por que podríamos seguir :
Saludos
Bl4ck_D4wn
Muy articulo!! gracias
ResponderEliminar