Pentest Consultores acaba de publicar un informe donde se pone de manifiesto que el DNI ELectrónico, no ofrece la seguridad que muchos pregonan. Los mayores problemas radican en que las implementaciones suelen ser deficientes, dejando a las webs susceptibles de los mismos ataques que en los años 90. Además, cada vez que introduces tu DNIE en un lector, un virus puede hacerse con tus datos personales: Nombre y Apellidos, Nº de DNI y fecha de nacimiento. Y todo esto puede suceder incluso después de que hayas retirado el DNIE del lector...
Comentarios
Cada vez que sales a la calle, un atracador puede hacerse con toda tu cartera, incluyendo datos personales, nombre y apellidos, Nº de DNI, fecha de nacimiento, nombre del padre y de la madre, y domicilio
#2 Si pero en ese caso sabes que ha ocurrido(tarde o temprano te das cuenta que falta la cartera).
En este ¿ Lo podrías saber ? Curiosa conclusión la tuya.
Erronea, ya que esta información se puede obtener de cualquier certificado digital y no únicamente del Dni electrónico, es más, cualquier servicio que requiera de autenticación con certificado digital puede obtener tus datos sin necesidad de instalar ningún virus.
Sería un problema de seguridad si el virus pudiese acceder a la parte privada del certificado (algo extremadamente complicado), pero esto pasaría con cualquier certificado, tanto de la FNMT, como de Carcert, camerfirma.
#11 Pues no, reconozco que soy bastante ignorante en estos temas, sin embargo pienso que la falsa sensación de seguridad es muy peligrosa. Si el usuario sabe que aunque una página tenga https:// no debe bajar la guardia completamente (Phising, XSS, keyloggers, etc.), algo más prevenido estará y algo habrá ganado en seguridad.
¿Qué tiene de malo que la gente sea consciente de ciertos peligros y tome precauciones? Viéndolo fríamente no me parece amarillista ni erróneo este estudio, más bien me parece útil y pedagógico.
#8 Mira el PDF a partir de la pág. 49, por si quieres convencerte.
#10 lo veo, veo el https, solo por curiosidad, ¿Sabes realmente como funciona SSL?
Según la demo de esta consultora... pueden robarme la sesión SSL de ese banco con tan "ponerse en medio y escuchar las cabeceras".
Igual que la sesión de ese banco, pueden robarme cualquier sesion SSL mirando las cabeceras...
En ese caso da igual si uso dnie o uso una contraseña, lo que me roban es la sesión... duro golpe para SSL sin merecerlo...
Y que quede claro que no intento ser prepotente de ningún modo... pero esque me parece un disparate esto que exponen... igual se me escapa algo.
Es spam del bueno, pero parece interesante...
yo flipo.
La gente se cree que cuando le dan el DNIe le dan un pendrive con contraseña...
Señores! nunca se accede a las claves privadas!, es el procesador de 8 bits que incorpora la tarjeta el que firma!.
Y para el que le interese, esos datos (nombre, apellidos, unidad de expedicion, nacionalidad y DNI) se sacan del Certificate Directory File, en la parte pública de la tarjeta, mediante el envío de comandos APDU.
Y por cierto... se han colado con lo de la fecha de nacimiento.
Lo que si es cierto es que si tenemos el dnie metido en el lector, cualquier applet de internet puede acceder a nuestro nombre, apellidos, dni y nacionalidad, pero esto ya nos lo avisa la policía, de hecho es ella quien los facilita los APDU para listar este contenido:
http://www.dnielectronico.es/Preguntas_Frecuentes/req_tec/index.html
(seccion 5.-¿Puedo extraer del chip el número de DNI y los datos del titular?.).
Lo que plantean de hecho puede hacerse, pero no como exponen...
Podrían utilizar la vulnerabilidad SSL descubierta por Marlinspike. SSLTrip sirve para eso precisamente... Pero vamos, que me digan que basta un man-in-the-middle que reenvíe la url con el id de sesión...
Había visto el pdf pero no el video y por eso no había votado...
Ahora sí que voto AMARILLA.
No se que banco será, pero vamos, si han secuestrado la sesión HTTP como pone es porque el banco no utiliza SSL en la transmision!!...
Vamos, esque si yo veo que no aparece una "S" detrás de HTTP o que el cifrado es RC4 en lugar de AES ni toco el teclado... pero eso ya es de sentido común, no me jodas...
Y por otro lado.. no han accedido a ningún dato del DNIe sin el DNIe metido... solo han suplantado una sesión que no era SSL...
#6 No se que banco será, pero vamos, si han secuestrado la sesión HTTP como pone es porque el banco no utiliza SSL en la transmision!!
Creo que ahí te has colado, a ver si leemos, que en la columna de la derecha lo pone bien clarito: «un atacante aun puede obtener acceso a toda la información visualizada por el usuario (cuentas corrientes, etc) accediendo a la memoria utilizada por el navegador, e independientemente de si la conexión es SSL.»
Además, si es que es de lógica: ¿dónde has visto tú una página de banca on-line que no use SSL en la conexión?
#7 Un atacante que me haga un volcado de memoria del navegador mientras escribo este comentario puede leerlo, antes nisiquiera de que viaje por la red.
Los datos del DNIe a los que se accede haciendo un volcado de memoria son los mismos a los que se accede mediante comandos APDU, y que son "publicos"... para ese viaje no hacen falta alforjas.
Por otro lado, lo del SSL... en el video dice bien clarito "ahora vamos a simular un ataque se secuestro de sesión HTTP".