[HACK] Tercero confiable imposible ?

Bernardo Estaca best at renacimiento.com
Wed Oct 31 11:00:48 CET 2001 

Hola bueno , primero me presento porque acabo de suscribirme a la lista,
mi nombre es Bernardo Estaca por eso lo de Best, espero que nadie
hubiera pensado mal :-), en mi empresa al principio utilizabamos para el
alias la primera del nombre y las 3 primeras del apellido, así que en mi
caso salió un alias algo pretencioso...

Bueno pues ahora lo importante que es intentar aportar algo de luz...
A mi no me parece del todo mala la solución, pero podría ser aún menos
mala si además de enviar el mail , se guardara el código hash generado
por el cgi en el momento de la compra en algún sistema de almacenamiento
de datos protegido con clave.
Es decir por ejemplo en una base de datos, para hacer esa operación de
escritura sobre esa tabla necesitaremos un usuario con permisos y que el
proceso se autentifique antes de escribir, para eso no nos queda más
remedio que tener almacenado el usuario password del usuario de forma
encriptada (para mayor seguridad) en la misma máquina (por rendimiento).
Así una vez queramos podremos comparar las operaciones realizadas (BD)
con los mails recibidos podremos hacerlo y ver si nos han engañado.

Problemas ... en algún sitio tenemos que poner en hardcode (Contantes)
un valor que me permita encriptar desencriptar el usuario password del
api que escribe en BD, y por tanto podría utilizarse dicho bloque de
código ensamblado para escribir en base de datos, pero si el usuario
solo tiene permisos de escritura y ellos no conocen el usuario
administrador de la base de datos no podrán borrar los registros ya
insertados, en el código del cgi se puede poner código que indique si se
ha realizado o no esa inserción en BD de tal forma que el proceso de
venta no continue si no se ha realizado.

Quizá haya que darle más vueltas pero espero que te sirva como un
comienzo.

un saludo
Bernardo Estaca Silva

-----Original Message-----
From: Antonio [mailto:antonio_sanz at flashmail.com]
Sent: martes, 30 de octubre de 2001 9:45
To: hackindex at elistas.net
Subject: [HACK] Tercero confiable imposible ?


Muy buenas a todos...

Tengo una situación extraña a la que le he dado unas cuantas vueltas, y 
quería comentar las posibles soluciones a ver qué os parecen:

Tenemos un cliente que va a vender un software a través de un tercero,
pero 
que quiere controlar todas las ventas que realicen de ese software a
través 
de una tercera parte confiable (nosotros). Por ello quieren que hagamos 
algo que asegure al cliente que el tercero no le está estafando,
teniendo 
en cuenta que tendrá que ser en la máquina "enemiga", y que no podemos 
actuar como tercero "real" (es decir, actuar como una especie de proxy 
redireccionando peticiones).

La solución "menos mala" (pq no se me ha ocurrido ninguna buena), es 
realizar una modificación en el CGI que realiza la operación de pago, de

forma que cuando se procese exitosamente una petición, se envie un
correo 
firmado con los datos de la petición (sin datos personales, solo
unidades, 
fecha y nombre del soft) a nuestra empresa.

Luego sacamos un hash de dicho CGI y les obligamos a que nos den acceso
al 
mismo para que podamos realizar la operación siempre que lo deseemos,
para 
verificar que no ha sido modificado ni en una coma.

Problemas que le veo al asunto:

- Los tipos podrían poner una regla en el cortafuegos que bloqueara el 
envío de dicho mail digamos, de 10 a 13 de la mañana. Si no hay mail, no

hay constancia de la compra. El resto del día funciona perfectamente, y
no 
se percibe descenso en las ventas.

- Se podría perfectamente poner ese CGI allí, y luego mediante alias 
emplear otro totalmente diferente, en un directorio distinto, que
tuviera 
otro código. A nosotros nos dan a comprobar el viejo, y tan contentos.

La verdad, siempre que la máquina esté en poder de los "no confiables",
se 
me ocurren pocas ideas aparte de la "inspección sorpresa", que tampoco
me 
parece muy eficaz que digamos.

Se aceptan sugerencias, críticas y ayudas varias. Se pagará en cervezas
y 
panchitos.

Yepas,

Antonio Sanz

_______________________________________________
Lista - http://mailman.argo.es/listinfo/hacking
FAQ - http://www.argo.es/~jcea/artic/hack-faq.htm
"una-al-dia" para estar siempre informado - http://www.hispasec.com/

More information about the hacking mailing list