¿Seguridad en Banco Santander?

 Is it OK to hold credit card numbers in cookies? Santander?

Extraído de:  http://seclists.org/fulldisclosure/2012/Oct/101

From: auto62098873 () hushmail com
Date: Sun, 14 Oct 2012 16:15:05 +0100

Santander are a joke when it comes to security. Fed up of two years of battling with them to fix issues any other bank

would have fixed in seconds, things like XSS on login pages etc. Time to hit full disclosure with some of these issues

in the hope they'll change their game and start to take their customers security seriously:

*Advisory Information*

 Title: Sensitive Data In Cookies

 Date published: 2012-03-31 08:16:26 PM

 upSploit Ref: UPS-2012-0004

 *Advisory Summary*

 Santander's online banking stores a sensitive, including full credit card numbers, in its cookies putting this

information at risk.

*Vendor*

 Santander (UK)

*Affected Software*

 Online Banking

 https://retail.santander.co.uk

(confirmed for personal online banking)

*Description of Issue*

 Santander online banking unnecessarily stores sensitive information within cookies. Depending on which areas of online

banking the user visits this information may include the following:

* Full name

* PAN (Credit card number)

* Bank account number and sort code

* Alias

* UserID

Of particular concern is the full PAN, which PCI DSS states should be rendered unreadable anywhere it is stored.

Within Santander's "Security & Privacy" section they state that: "Santander's site-tracking cookies don’t contain name

or address information". The use of cookies is therefore not in line with this policy.

It should be noted that the HTTPOnly flag is not used on any cookies exposing them to increased greater risk of

exposure (for example through XSS) - such as the XSS which was present on the login page for ~1 year before being

inadvertently fixed!!.

Additionally, whilst the cookies expire at the end of a session, they are not overwritten on logout. This mean any user

who does not close their browser, even if they log out correctly, will still have these cookies present until they

close their browser. Thus increasing the window for exposure.

 *PoC*

 The cookies holding the most sensitive information include:

* rinfo

* NewUniversalCookie

On browsing to the "Credit Cards" section and selecting a credit card a cookie such as the following is set (credit

card number obscured):

rinfo=/EBAN_Cards_ENS/BtoChannelDriver.ssobto?dse_operationName=viewRecentTransactions&cardSelected=5***************

The sensitive information in the NewUniversalCookie is base64 encoded, when decoded it is of the format shown below

(sensitive data has been stripped):

<?xml version=\"1.0\"

encoding=\"ISO-8859-1\"?><cookie><definitionName>NewUserPasswordCookie</definitionName><name>*****</name><alias>*****</alias><userID>*****</userID></cook"

*Credits*

 ee4f99e7e240e4ebef195678a635c0a9

*References*

 Santander's Data Protection Statement:

http://tinyurl.com/santander-dpa

Santanders Cookie Policy stating "cookies do not contain personal information, and cannot be used to identify you"

http://tinyurl.com/santanderCookies

PCI DSS v2.0:

https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf

               

_______________________________________________

Full-Disclosure - We believe in it.

Charter: http://lists.grok.org.uk/full-disclosure-charter.html

Hosted and sponsored by Secunia - http://secunia.com/

 

---

---

El robo de los 5.977€ en los medios de comunicación

Enlazo las noticias aparecidas hace unos días en la prensa, en la radio y en la televisión, para que puedan comprobar cómo estoy enfocando lo sucedido, especialmente destacando las pocas garantías que ofrece Banco Santander en su banca online, en cuanto a medidas de seguridad, y la actitud y trato que dispensa a la clientela ante problemas tran graves como este, como lo demuestra la devolución de una carta certificada remitida al Defensor del Banco Santander.

Waita Televisió (publicado el 21 de septiembre)

Ara Ponent (publicado el 21 de septiembre)
Diario SEGRE (publicado en portada y en página 3, el 29 de agosto).
Lleida Televisió (emitido por la noche con redifusión al día siguiente por la mañana).
Televisió de Catalunya (minuto 11:36) (emitido el 29 de agosto, mediodía y noche).
RAC 1 (emitido el 27 de julio).

Me consta que invitan a participar  a Banco Santander y no lo hacen. Expliquen cuáles son las medidas de seguridad establecidas para impedir el robo de datos y destaquen cuáles son sus principios en el trato y la actitud de Banco Santander con su clientela, y qué uso hacen del seguro que cubre este tipo de robos.
 

¡Ah!

Aprovecho para comentar que durante este periodo en que hemos estados ocupados con este tema, he recibido hasta CUATRO LLAMADAS DE BANCO SANTANDER (del departamento de promociones para vender targetas, del departamento de calidad para hacer encuestas...) y NINGUNA, NINGUNA, RELACIONADA CON ESTE ASUNTO. Exijo que sea la última vez que Banco Santander se dirige a mí para cuestiones que no tengan nada que ver con el robo de casi 6.000€ a través de la banca online. Dicho de otro modo: LLÁMENME ÚNICAMENTE PARA DECIRME CUÁNDO ME VAN A DEVOLVER EL DINERO ROBADO. Recibir llamadas no deseadas, y más aún, en estas circunstancias, se puede considerar acoso.

Argumentos contra la primera resolución de Banco Santander: no devolver los 6.000€ robados a través de la Supernet

La respuesta del Banco Santander, con fecha del 8 de junio, y resultado del procedimiento y del protocolo que la entidad pone en marcha (y no como respuesta a un burofax que envié), es que no ha habido fallos en los sistemas informáticos del Banco y afirma erróneamente que yo he incumplido mis obligaciones de custodiar las claves de acceso.

En desacuerdo con la resolución presentada por el Banco Santander, argumento que:

a) Tal y como consta en la declaración que acompañaba la denuncia interpuesta ante los Mossos de Escuadra y presentada al Banco Santander, yo no he facilitado mis claves de acceso a ningún tercero (no he respondido ningún correo en donde se pidan los datos de acceso).

b) Tal y como consta en la denuncia interpuesta ante los Mossos de Escuadra, el día 1 de mayo de 2012, entré en la página principal del Banco Santander y me salió un mensaje cuya imagen correspondía a la corporativa del Banco Santander, en el que se solicitaba mi número de teléfono para disponer de la Banca online del Santander en el móvil. Este mensaje no pedía datos de acceso a la Banca online, sólo pedía el sistema operativo del móvil y el número de teléfono.

c) Que no he hecho caso omiso de los avisos del Banco Santander referidos a la seguridad y que he  cumplido con mis obligaciones en relación con la custodia de mis datos de acceso, por lo tanto no he infringido la cláusula número cinco del contrato multicanal suscrito.

d) Que el Banco Santander, la semana del 6 de junio de 2012 colocó una réplica exacta de este mensaje para alertar a la clientela de que no respondieran al mensaje antes de entrar en la Banca online, lo que demuestra tener la información detallada del tipo de mecanismo para robar dinero online y del cual no había alertado antes a la clientela.

e) Que, unos días más tarde, el Banco Santander retiró este mensaje.

f) Que he sido víctima del robo de mis datos y el Banco Santander no ha podido impedirlo. Por consiguiente, por razones éticas y como responsable subsidiaria, la entidad debería reponer el dinero sustraído.

g) Que tengo una cuenta en otra entidad y no ha sido víctima de ningún robo similar a este. Por consiguiente, interpreto que las medidas y herramientas de seguridad de esta otra entidad son más efectivas que las medidas de Supernet, que empezando por el teclado virtual de carácter móvil, confieren poca confianza. Además, otras entidades bancarias devuelven el dinero robado a las víctimas de delitos iguales o similares.

h) Que las alertas del Banco Santander, por lo que se refiere a las herramientas de seguridad, han resultado del todo insuficientes, si no, no habría más casos como el mío. Y los hay. Los conozco y la gerente de mi oficina los ha reconocido, sin determinar cuántos.

i) Que la incapacidad de impedir el robo mediante la Banca online del Banco Santander, la pésima atención por parte de la entidad y de la oficina y los agravios, daños y perjuicios, consecuencia de esta situación, han tenido un impacto sobre mi salud y sobre lo laboral, familiar y personal.

Ni la culpa ni la solución la tiene la clientela.

Para quien piense que las víctimas de la ciberdelincuencia son las responsables de lo que les sucede, os copio este artículo. Me alegra pensar que alguien sensato alimente el discurso de "LAS VÍCTIMAS NO SON NUNCA CULPABLES". Se tiene que focalizar correctamente y darle a cada cual las responsabilidades que tiene. La clientela dejamos nuestro dinero, ¡gratis! a una entidad bancaria. La entidad hace con nuestro dinero lo que le da la gana y encima no nos garantiza la seguridad de nuestros ahorros y tenemos que hacernos responsables en caso de robo. (Dejamos a parte, el tema de valores y preferentes). ¡Venga ya!

Seguridad en banca online: algunas medidas anti-phishing

Extraído de: http://blog.jmacoe.com/miscelanea/seguridad/seguridad-banca-online-medidas-anti-phishing/

Los ataques de phishing son cada vez más sofisticados y, mientras, el usuario final, que no tiene ningún interés en aprender nada de seguridad informática, se ve cada vez más indefenso. En este artículo, vamos a hablar de algunas de las medidas tomadas por los bancos para evitar ataques por phishing.
Estoy seguro de que, después de escribir este artículo, alguien posteará un comentario diciendo que la solución pasa por “educar” al usuario. Seamos realistas. Yo no quiero saber cómo funciona una lavadora. No me interesa. Si se sale el agua llamo al técnico y punto. Que nadie me diga que tengo que saber que la lavadora tiene tal y cual mecanismo de seguridad… No quiero saberlo. Pues lo mismo aplica a la banca online. Y no, el candadito no sirve para mucho…

Acceso con NIF/DNI u otros datos personales (como el Banco Santander)

Aquí podemos ver la web de ing-direct

Podéis ver que está pidiendo unos datos personales no demasiado difíciles de conseguir (NIF y fecha de nacimiento). Alternativamente, aunque a día de hoy muy poca gente lo usa, puede usarse el dni-electrónico.

Algunas entidades permiten el acceso en modo de lectura a los datos de los clientes con esta sola información personal.

Teclados virtuales (El Banco Santander tiene uno bailarín, nada cómodo)

Para evitar los ataques con los keyloggers básicos, se comenzaron a usar teclados virtuales, donde los usuarios deben hacer “click” sobre las letras, en lugar de usar su propio teclado. El problema es que TODOS los troyanos bancarios actuales van guardando pantallazos cada vez que haces click, con lo que la medida resulta de bien poca utilidad.

Por eso mismo, este tipo de acceso con usuario y password, bien sea un password como tal o un dato personal tipo NIF, sólo da acceso en modo lectura a las cuentas. No podemos hacer ninguna transacción. Con ánimo de dar una segunda validación al usuario se introdujeron las tarjetas de coordenadas.

¿OS ACORDÁIS DEL TECLADO VIRTUAL DEL BANCO DE SANTANDER? Aquí os dejo un vídeo. Veréis que no confiere demasiada seguridad: 

Tarjetas de coordenadas (El Banco Santander NO TIENE)

Una tarjeta de coordenadas no es más que una tabla alfanumérica que se le entrega en mano al usuario en la oficina (bueno, supuestamente en mano y supuestamente sólo en la oficina). El titular de la cuenta es el único poseedor de la tarjeta.

Cuando el titular va a efectuar una transacción se le pide que indique el valor de una de las celdas, por ejemplo la A7. Para evitar intentos por fuerza bruta la cuenta se bloquea al tercer error.

Las tarjetas de coordenadas tienen dos problemas:

• con un poco de paciencia, y si el usuario va haciendo transacciones, al final tendremos suficientes valores como para poder saltarnos el mecanismo.
• un troyano puede simplemente pedir todas las coordenadas. El siguiente pantallazo, sacado de hispasec, lo ilustra

De nuevo, el usuario se ve indefenso, incluso contando con su tarjeta de coordenadas.

Avisos por SMS (Banco Santander NO TIENE. La otra entidad con la que trabajo, sí, y es gratuita)

Algunas entidades, sino todas, ofrecen la posibilidad de enviar un aviso por SMS cada vez que se produce una transferencia de más de, digamos, 600 euros (una cantidad suficientemente alta como para ser serio). Esto tiene dos problemas:

• los bancos cobran el servicio, por lo que los usuarios, hartos de comisiones, lo rechazan.
• los phishers lo saben y hacen transferencias de cantidades menores, en torno a los 300 euros, por las cuales no suele haber alertas.

Tokens

Un ejemplo de token sería el dni-electrónico. Pero, a día de hoy, casi nadie dispone de un lector de dni-electrónico en su casa, así que podemos irnos olvidando. Si bien es cierto que en el futuro esto no será así. Muchos bancos, véase ing-direct en el pantallazo de arriba, permiten loggear con el dni.

Otros tokens criptográficos serían mucho más caros y por lo tanto no son una medida práctica.

Clave única por un canal alternativo

Estamos como al principio. Un troyano tiene acceso a todo lo que enviemos al PC del usuario y, en plazo medio, a la tarjeta de coordenadas completa, lo cual hace que sea útil tan sólo como medida paliativa.

Por lo tanto, debemos pensar en enviar una clave de uso único por un medio distinto al PC del usuario. La alternativa más normal sería un SMS. Este método, que ya está en uso en algunas entidades, tira por tierra cualquier intento de phishing convencional y es, desde luego, la tendencia actual.

Dado que el phiser no tiene acceso a los SMS del usuario, no hay forma de que consiga la siguiente clave, necesaria para validar la transacción.

CONCLUSIONES

En este artículo, hemos tocado alguna de las medidas anti-phishing que implementan hoy en día los bancos, desde la ya más que obsoleta usuario/password a la validación por clave única vía SMS, que está en alza.

Como hemos apuntado, confiar en la educación del usuario en temas informáticos no es la solución al problema. Debe proveerse al usuario de un sistema seguro para dar el visto bueno a sus transacciones, y debe hacerse asumiendo que su ordenador está infectado. La única alternativa razonable es el envío de una clave única por un canal alternativo, como pueda ser un SMS.

Si bien este sistema tiene algunos inconvenientes, por ejemplo pérdida de cobertura, desde luego ofrece una seguridad más que razonable y a un precio irrisorio comparado con cualquier otro tipo de “token” criptográfico que pueda usarse.

Por último, notar que ni siquiera hemos mencionado ataques vía XSS a bancos, que pudieran facilitar un ataque posterior de phishing. A día de hoy, y con el nivel de seguridad existente en las webs de los bancos, intentar esto es una pérdida de tiempo. Es más fácil atacar al cliente.

Medidas de seguridad de la banca online del Banco Santander

Las medidas de seguridad de la banca online del Santander son las siguientes, establecidas en tres niveles:

1) claves de acceso al banco: usuario y contrassenya: La contraseña puedes ponerla con el teclado del ordenador o bien con el teclado virtual. Están las dos opciones;
2) firma digital: aparece una tira de 6 casillas, para poner la clave de 6 dígitos alfanuméricos que siempre son los mismos,

2 de las cuales aparecen llenadas con un asterisco. Cuando vas a hacer transferencias, tienes que completar con las otras cuatro;
3) móvil: te llega un mensaje al móvil para confirmar la transferencia.

Al parecer insuficientes. De mi otra cuenta, de otra entidad, no me robaron nada, nadita. Y las medidas no tienen nada, nadita que ver... Entre otras cosas dispongo de una tarjeta de códigos que impide, en mayor medida, este tipo de delitos. Además, cada vez que se hace una transferencia desde mi cuenta, me llega un mensaje al móvil para avisarme. Estas dos medidas son inexistentes para el Banco Santander. 

 

Otras entidades tienen este procedimiento: 

Los clientes tenemos una tarjeta con un número identificativo y una matriz de 10x9 con códigos de 2 dígitos.

Para entrar en la banca electrónica tenemos que

hacer lo siguiente:

Entrar el número de la tarjeta con los códigos.
Entrar el código PIN de la tarjeta con un teclado virtual que cambia de posición los números cada vez que se entra. Sólo se puede utilizar este sistema, no permite utilizar el teclado del ordenador.
Si el número y el PIN sueño correctos, envía un mensaje al móvil del titular con unas coordenadas de la tarjeta.
Se tiene que entrar el código correspondiente a las coordenadas con un teclado virtual aleatorio, tampoco permite el teclado del ordenador.
Ya está dentro de la banca online.

Si se quiere hacer una transferencia se tiene que entrar el código de unas coordenadas dadas, pero este golpe con el teclado del ordenador.

¿Banco Santander tiene un protocolo que garantice la seguridad de los ahorros que tenemos la gente en nuestras cuentas y poder operar desde la banca online? Por mi experiencia, y en atención a otros procedimientos existentes, rotudamente NO. ¿Por qué? Porque las medidas de seguridad de la banca online del BAnco Santander no han podido impedir que me robaran los datos de acceso a mi cuenta y que, en consecuencia, me robaran 5.977€.

Sobre el concepto (IN)SEGURIDAD

El DRAE define seguridad de la siguiente manera:

seguridad.

(Del lat. securĭtas, -ātis).

1. f. Cualidad de seguro.

2. f. certeza (‖ conocimiento seguro y claro de algo).

3. f. Fianza u obligación de indemnidad a favor de alguien, regularmente en materia de intereses.

~ jurídica.

1. f. Cualidad del ordenamiento jurídico, que implica la certeza de sus normas y, consiguientemente, la previsibilidad de su aplicación. En España es un principio constitucional.

~ social.

1. f. Organización estatal que se ocupa de atender determinadas necesidades económicas y sanitarias de los ciudadanos.

de ~.

1. loc. adj. Dicho de un ramo de la Administración Pública: Cuyo fin es el de velar por la seguridad de los ciudadanos. Agente de seguridad.

2. loc. adj. Dicho de un mecanismo: Que asegura algún buen funcionamiento, precaviendo que este falle, se frustre o se violente. Muelle, cerradura de seguridad.

De lo que se deduce que inseguridad, es lo contrario. Y por si hay dudas de lo que se entiende por precaver, en este contexto de (in)seguridad bancaria, copio a continuación la definición: 

precaver.

(Del lat. praecavēre).

1. tr. Prevenir un riesgo, daño o peligro, para guardarse de él y evitarlo. U. t. c. prnl.

¡ATENCIÓN! "Guardarse de él y evitarlo".  ¡Ejem! 
En este sentido, la banca online de Banco Santander es insegura porque no ha podido impedir el robo de mis datos de acceso a la cuenta ni, en conscuencia, el robo de los casi 6.000€ que tenía ahorrados. 

De cómo empezó todo. Por 5.977€

El día 1 de mayo, entré en la página principal del Banco Santander online desde mi ordenador portátil para mirar si me habían ingresado la nómina y me salió un mensaje (de acuerdo con la imagen corporativa de la entidad) donde me explicaba que ya podía descargárseme una aplicación para GARANTIZAR la SEGURIDAD con la banca online. Tenía que seleccionar el sistema operativo y dar mi número de teléfono. Así lo hice. Me llegó un mensaje al móvil de la Supernet (tal como se llama la banca del Santander online) y cliqueo en el enlace. Dejo el móvil y continúo con el ordenador. Miro que he cobrado y desconecto la sesión.

¡El día 2 de mayo, en torno a las 17.00h de la tarde, me di cuenta de que un señor (con nombres y apellidos, cliente del Santander, vecino de León y con perfil en el Facebook, a quien no conozco) era el beneficiario de dos transferencias realizadas alrededor de la media mañana, desde mi cuenta que yo no había hecho! Una por un importe de 3.000€ y la otra de 2977 €. Acto seguido llamé a mi oficina. Le explico lo que me ha pasado con una deseperació exagerada y el trabajador de la oficina me responde que el sistema operativo no le funciona y que me ponga en contacto con el 902XXXXXX (número de atención al cliente). Peor que una operadora de telefonía móvil: 10 o 12 personas para decirme que no podían cancelar la operación y para hacerme un interrogatorio (para descartarme como sospechosa de un "autohurto") que concluyó con un "Señora, haga el favor de instalarse un buen antivirus en su ordenador".

Acto seguir, en torno a las 19.20h, pongo denuncia a los Mossos D'Esquadra. A las 21.30h de la noche me llama la gerente de mi oficina (BAnco Santander Universidades) para informarme de que ha habido movimientos sospechosos desde mi cuenta bancaria y que puedo ser víctima de un robo. Los Mossos me habían dicho que las entidades pueden bloquear los movimientos sospechosos antes de efectuarlos. En fin. No llegaron a tiempo. Enterarse, se enteraron. ¡Pero a buenas horas!

La semana del 6 de junio, el Santander publicó un mensaje que era una réplica exacta del que a mí me salió el día 1 de mayo. Informé a la gerente de mi oficina: "te has fijado en que han publicado un mensaje como lo que yo me encontré el día antes del hurto"?. Al cabo de un par de días ya no era. Me consta que hay más casos como el mío y esta réplica exacta del mensaje fraudulento da pistas sobre la cantidad de información detallada que debió tener el banco como para alertar a la clientela de no dar el móvil si salía este mensaje.

Casi un mes y medio después, ilusa de mí, esperando que el banco tuviera buena voluntad al devolvérmelos, envío un burofax a través del abogado. No hay respuesta.

La respuesta que recibí el pasado 8 de junio, a través de la gerente de mi oficina, es que el banco no se hace responsable porque sus sistemas de seguridad no han fallado, porque se han puesto las claves correctamente en la primera, y que he sido yo quien haya facilitado mis datos a un tercero.

Y aquí empieza la cruzada.