Vulnerabilidades en el Banco de Chile

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.872
Esta noticia se viene arrastrando desde hace días y hoy leí este artículo que publicaron ayer

https://www.eldinamo.cl/nacional/20...s-en-transacciones-online-del-banco-de-chile/

Uno tiende a fijarse en las cosas que le parecen más sensibles según su experiencia y oficio. En mi caso me llamó la atención lo siguiente

Incluso, un arquitecto de seguridad de un banco, que pidió reserva de su identidad, asegura que estas vulnerabilidades expuestas por Riveros y Sapiain siempre se han sabido, pero que no se trabaja en ellas, ya que mantener los sitios activos demanda todo el esfuerzo de los equipos de desarrollo de los bancos, no siendo prioridad la resolución de estas fallas.

De lo que entiendo es que destinan todos sus recursos TI en mantener los sistemas operativos y no les quedan recursos para corregir vulnerabilidades.


La misma fuente asegura que todos los bancos deben hacer reportes de seguridad anuales a la Superintendencia de Bancos (SBIF) en los que se deben incluir las contingencias detectadas cada mes, para lo que se contrata a empresas externas que los realicen. Sin embargo, comentan desde esta industria, estos reportes no siempre se presentan argumentando, entre otras razones, el desgaste que implica responder a las innumerables contingencias que se presentan a diario.

Lo miso que el punto anterior, no tienen recursos o les da paja.


¿Alguien trabaja en un banco como para contar su experiencia de como se manejan adentro en lo que respecta a TI? De repente entiendo (pero no justifico) que prefieran pagar sobreprima por los seguros de fraude en vez de invertir en corregir las vulnerabilidades. Puede que les salga más barato.


Una prima trabajó un tiempo en el Banco Estado como ejecutiva. Me contaba que tienen múltiples sistemas isla/satélite que no están interconectados entre si y por esa misma razón uno como cliente se exaspera cuando tu información del sistema de depósitos a plazo (por ejemplo) no está en línea con inversión en dólares o cosas como esa.
 

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
Yo ví el video de la presentación del Ingeniero que pilló las fallas y quedé en shock.
 

Dark Zeppelin

Fundador :yao
Se incorporó
21 Mayo 2006
Mensajes
9.604
Preocupante. En resumen, la app Mi Pass vale callampa, de vuelta al viejo digipass.
Y mas preocupante la falla del login :circulos
Saludos

Enviado desde mi SM-G935F mediante Tapatalk
 

Carlos E. Flores

Zombie
Miembro del Equipo
MOD
Se incorporó
17 Marzo 2005
Mensajes
28.526
Lo que me llama la atención es que los hackers no hayan dejado la cagada y media aun en el sistema completo.
 

clusten

ADMIN
Miembro del Equipo
ADMIN
Se incorporó
1 Julio 2007
Mensajes
6.239
Lo que me llama la atención es que los hackers no hayan dejado la cagada y media aun en el sistema completo.
Es por que los que lo detectaron no son hackers, son personas como nosotros (A Sapiain lo recuerdo de los foros de la U, un tipo abierto a conversar temas de tecnología. Como dato curioso, recalcaba sus iniciales RISC xD)
 

nibal2

pajarón nuevo
MOD
Se incorporó
15 Junio 2007
Mensajes
2.898
Vi la noticia anoche, pero recién vi el video... ¿Que onda los de desarrollo? ¿Contratan puros alumnos en práctica?
 

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.872
Vi la noticia anoche, pero recién vi el video... ¿Que onda los de desarrollo? ¿Contratan puros alumnos en práctica?

Igual feo el cagazo pero no culpo tanto a los desarrolladores, si a los gerentes. Los patos/bugs/cagazos siempre pueden aparecer (el que esté libre de pecado que tire la primera piedra), pero no pueden ser tan pencas como para no querer arreglarlo, especialmente si es una vulnerabilidad tan fea y fácilmente explotable.
 

nibal2

pajarón nuevo
MOD
Se incorporó
15 Junio 2007
Mensajes
2.898
Igual feo el cagazo pero no culpo tanto a los desarrolladores, si a los gerentes. Los patos/bugs/cagazos siempre pueden aparecer (el que esté libre de pecado que tire la primera piedra), pero no pueden ser tan pencas como para no querer arreglarlo, especialmente si es una vulnerabilidad tan fea y fácilmente explotable.

Es una pifia bastante fea, en mi opinión hay varias validaciones que no están aplicadas en el modelo de datos y a nivel de programación.

También es penca el departamento entero, imagino que no hay QA decente, no hay priorización adecuada de carga de trabajo o el que está a cargo no está ni ahí con la seguridad y se preocupa solo que se vea bonito.

Para una empresa de TI es feo, pero para TI de un banco, que su pega es la seguridad de tu dinero, da terror.

Y yo también he tenido mis caídas feas a nivel de seguridad, se que los errores son pan de cada día, pero no entiendo como es la lógica que implementaron y como se les pasó la validación de procesos que permitían acciones bancarias importantísimas.
 

Carlos E. Flores

Zombie
Miembro del Equipo
MOD
Se incorporó
17 Marzo 2005
Mensajes
28.526
Es por que los que lo detectaron no son hackers, son personas como nosotros (A Sapiain lo recuerdo de los foros de la U, un tipo abierto a conversar temas de tecnología. Como dato curioso, recalcaba sus iniciales RISC xD)

Hablo en general de todas las vulnerabilidades que saltan de vez en cuando.
 

Harima

Pegao al tarro
Se incorporó
15 Mayo 2008
Mensajes
3.958
Hablo en general de todas las vulnerabilidades que saltan de vez en cuando.
La culpa es del Gerente TI o CIO o como se llame el responsable del departamento, existen políticas que si el el tipo no controla quedan estas cagadas. no se deben de olvidar que el programador es un simio que si no se le pone limites va a cambiar código fuente directo de la aplicación y se va a pasear todo el protocolo.
 

Dark Zeppelin

Fundador :yao
Se incorporó
21 Mayo 2006
Mensajes
9.604
DcRQE8FW0AAFcFt.jpg


Me acorde de los cajeros redbank con windows xp
Yo los conocí con DOS, Win 3.0 y 3.1, Win 95 y Win 98.
Igual feo el cagazo pero no culpo tanto a los desarrolladores, si a los gerentes. Los patos/bugs/cagazos siempre pueden aparecer (el que esté libre de pecado que tire la primera piedra), pero no pueden ser tan pencas como para no querer arreglarlo, especialmente si es una vulnerabilidad tan fea y fácilmente explotable.

La culpa es del Gerente TI o CIO o como se llame el responsable del departamento, existen políticas que si el el tipo no controla quedan estas cagadas. no se deben de olvidar que el programador es un simio que si no se le pone limites va a cambiar código fuente directo de la aplicación y se va a pasear todo el protocolo.

Exacto, por algo son los responsables.

Por mientras el dueño del Banco espera en Zagred por su nueva inversión para mejorar la raza nietecito​

upload_2018-5-4_19-19-38.png
 

Archivo adjunto

  • upload_2018-5-4_19-18-42.png
    upload_2018-5-4_19-18-42.png
    249,6 KB · Visitas: 225

clusten

ADMIN
Miembro del Equipo
ADMIN
Se incorporó
1 Julio 2007
Mensajes
6.239
DcRQE8FW0AAFcFt.jpg



Yo los conocí con DOS, Win 3.0 y 3.1, Win 95 y Win 98.




Exacto, por algo son los responsables.

Por mientras el dueño del Banco espera en Zagred por su nueva inversión para mejorar la raza nietecito​

Ver adjunto 2515
Esté en Zagreb, la luna o en la casa matriz del banco de Chile no hace mucha diferencia. Es Luksic, no Satoru Iwata como para tener las capacidades de solucionar el problema :zippy
 

Dark Zeppelin

Fundador :yao
Se incorporó
21 Mayo 2006
Mensajes
9.604
Esté en Zagreb, la luna o en la casa matriz del banco de Chile no hace mucha diferencia. Es Luksic, no Satoru Iwata como para tener las capacidades de solucionar el problema :zippy
A lo que voy es que si al dueño del Banco (controlador ) le importa una raja, le va a importar a los demas gerentes.
Los bancos entraron al negocio de los seguros, y no les conviene invertir en mas seguridad informática (no genera retorno, como el retorno de vender seguros al pobre weon de a pie, que se saca la mierda para ganarse el pan y pagar huevadas, que muchas veces con cueva disfruta o uso 2 veces, y vive casi paranoico, gracias a la tv y medios. Piensen en como disfrutan su casa o auto o vacaciones ).

Perdona lo grafico, pero a eso apunto mi post. O sea el CTO no es evaluado bajo el prisma de sus colegas. La RSE no es mas que relaciones publicas, marketing encubierto y publicidad.
Creo que eso lo sabes, en empresas todo es retornos, asegurar flujos a presente y futuro. Eso obviando a ejecutivos que tienen claro su tiempo de caducidad, y funden el negocio o usan otras tretas para sacar la mejor parte del pastel, y el flujo que aseguran a futuro esta asociado a su caducidad. Como el gobierno de la nueva fechoría y el déficit fiscal que dejaron. Ahora es priblema del nuevo gobierno. Y los contribuyentes, reales, que se jodan.

Enviado desde mi SM-G935F mediante Tapatalk
 

clusten

ADMIN
Miembro del Equipo
ADMIN
Se incorporó
1 Julio 2007
Mensajes
6.239
A lo que voy es que si al dueño del Banco (controlador ) le importa una raja, le va a importar a los demas gerentes.
Los bancos entraron al negocio de los seguros, y no les conviene invertir en mas seguridad informática (no genera retorno, como el retorno de vender seguros al pobre weon de a pie, que se saca la mierda para ganarse el pan y pagar huevadas, que muchas veces con cueva disfruta o uso 2 veces, y vive casi paranoico, gracias a la tv y medios. Piensen en como disfrutan su casa o auto o vacaciones ).

Perdona lo grafico, pero a eso apunto mi post. O sea el CTO no es evaluado bajo el prisma de sus colegas. La RSE no es mas que relaciones publicas, marketing encubierto y publicidad.
Creo que eso lo sabes, en empresas todo es retornos, asegurar flujos a presente y futuro. Eso obviando a ejecutivos que tienen claro su tiempo de caducidad, y funden el negocio o usan otras tretas para sacar la mejor parte del pastel, y el flujo que aseguran a futuro esta asociado a su caducidad. Como el gobierno de la nueva fechoría y el déficit fiscal que dejaron. Ahora es priblema del nuevo gobierno. Y los contribuyentes, reales, que se jodan.

Enviado desde mi SM-G935F mediante Tapatalk
De acuerdo con tu post, pero ojo: el anterior no apuntaba a eso, apuntaba a que el dueño del banco no estaba ni ahí, lo cual no tiene nada que ver, no es su pega estar preocupado del "área chica" del banco, más allá de ganancias o perdidas para sus empresas (por algo está de vicepresidente del directorio y no de presidente).

Recordemos que Luksic es el presidente de Quiñenco y por tanto, está con la cabeza ahí. Cuando entramos en el área chica, el presidente del directorio del banco de Chile es Pablo Granifo Lavín (según la web del banco). El Gerente General es: Eduardo Ebensperger Orrego. Esos dos son los que están preocupados del tema y los que tienen que salir a defender el tema.

Si esos cargos fuesen de papel, tendría a Davor, Dax, Maximiliano o Fernanda haciendo "la practica" para después mandar todo, como lo hace muy bien Chadwick.
 

Cosme

Gold Member
Se incorporó
27 Febrero 2005
Mensajes
8.281
¿No se podría presumir que el mismo banco inyectó las vulnerabilidades en su diseño para auto-robarse y cobrar los seguros asociados a las cuentas?
 

galansinchance

enajenao
Se incorporó
3 Enero 2006
Mensajes
7.425
Internamente los bancos tienen demasiados procesos y prioridades, muchos de ellos engorrosos, con burocráticos procedimientos y encima con herramientas obsoletas, migrar el paradigma les ha costado un montón, actualmente los he visto trabajando mucho con desarrollos hechos por empresas de outsourcing.

Pueda que haya mucho de esto producto de sacar las cosas en tiempos ridículos y sin trabajar muy profundamente en QA.
 

ricm

Se incorporó
28 Agosto 2005
Mensajes
7.590
Luksic no aportaría nada al tema, solo entorpeceria.
 
Subir