Menéame: comentarios [746046]

#12 Análisis de seguridad del DNI Electrónico

--145720-- — Fri, 21 Aug 2009 18:21:59 +0000

#11 Pues no, reconozco que soy bastante ignorante en estos temas, sin embargo pienso que la falsa sensación de seguridad es muy peligrosa. Si el usuario sabe que aunque una página tenga https:// no debe bajar la guardia completamente (Phising, XSS, keyloggers, etc.), algo más prevenido estará y algo habrá ganado en seguridad.

¿Qué tiene de malo que la gente sea consciente de ciertos peligros y tome precauciones? Viéndolo fríamente no me parece amarillista ni erróneo este estudio, más bien me parece útil y pedagógico.

» autor: --145720--

#11 Análisis de seguridad del DNI Electrónico

--92089-- — Fri, 21 Aug 2009 18:03:21 +0000

#10 lo veo, veo el https, solo por curiosidad, ¿Sabes realmente como funciona SSL?
Según la demo de esta consultora... pueden robarme la sesión SSL de ese banco con tan "ponerse en medio y escuchar las cabeceras".
Igual que la sesión de ese banco, pueden robarme cualquier sesion SSL mirando las cabeceras...
En ese caso da igual si uso dnie o uso una contraseña, lo que me roban es la sesión... duro golpe para SSL sin merecerlo...

Y que quede claro que no intento ser prepotente de ningún modo... pero esque me parece un disparate esto que exponen... igual se me escapa algo.

» autor: --92089--

#10 Análisis de seguridad del DNI Electrónico

--145720-- — Fri, 21 Aug 2009 17:48:14 +0000

#8 Mira el PDF a partir de la pág. 49, por si quieres convencerte.

» autor: --145720--

#9 Análisis de seguridad del DNI Electrónico

--92089-- — Fri, 21 Aug 2009 17:45:16 +0000

Lo que plantean de hecho puede hacerse, pero no como exponen...
Podrían utilizar la vulnerabilidad SSL descubierta por Marlinspike. SSLTrip sirve para eso precisamente... Pero vamos, que me digan que basta un man-in-the-middle que reenvíe la url con el id de sesión...

» autor: --92089--

#8 Análisis de seguridad del DNI Electrónico

--92089-- — Fri, 21 Aug 2009 17:28:19 +0000

#7 Un atacante que me haga un volcado de memoria del navegador mientras escribo este comentario puede leerlo, antes nisiquiera de que viaje por la red.
Los datos del DNIe a los que se accede haciendo un volcado de memoria son los mismos a los que se accede mediante comandos APDU, y que son "publicos"... para ese viaje no hacen falta alforjas.

Por otro lado, lo del SSL... en el video dice bien clarito "ahora vamos a simular un ataque se secuestro de sesión HTTP".

» autor: --92089--

#7 Análisis de seguridad del DNI Electrónico

--145720-- — Fri, 21 Aug 2009 17:18:36 +0000

#6 No se que banco será, pero vamos, si han secuestrado la sesión HTTP como pone es porque el banco no utiliza SSL en la transmision!!

Creo que ahí te has colado, a ver si leemos, que en la columna de la derecha lo pone bien clarito: «un atacante aun puede obtener acceso a toda la información visualizada por el usuario (cuentas corrientes, etc) accediendo a la memoria utilizada por el navegador, e independientemente de si la conexión es SSL.»

Además, si es que es de lógica: ¿dónde has visto tú una página de banca on-line que no use SSL en la conexión?

» autor: --145720--

#6 Análisis de seguridad del DNI Electrónico

--92089-- — Fri, 21 Aug 2009 17:01:39 +0000

Había visto el pdf pero no el video y por eso no había votado...
Ahora sí que voto AMARILLA.
No se que banco será, pero vamos, si han secuestrado la sesión HTTP como pone es porque el banco no utiliza SSL en la transmision!!...

Vamos, esque si yo veo que no aparece una "S" detrás de HTTP o que el cifrado es RC4 en lugar de AES ni toco el teclado... pero eso ya es de sentido común, no me jodas...

Y por otro lado.. no han accedido a ningún dato del DNIe sin el DNIe metido... solo han suplantado una sesión que no era SSL...

» autor: --92089--

#5 Análisis de seguridad del DNI Electrónico

--92089-- — Fri, 21 Aug 2009 16:48:34 +0000

yo flipo.
La gente se cree que cuando le dan el DNIe le dan un pendrive con contraseña...

Señores! nunca se accede a las claves privadas!, es el procesador de 8 bits que incorpora la tarjeta el que firma!.
Y para el que le interese, esos datos (nombre, apellidos, unidad de expedicion, nacionalidad y DNI) se sacan del Certificate Directory File, en la parte pública de la tarjeta, mediante el envío de comandos APDU.
Y por cierto... se han colado con lo de la fecha de nacimiento.

Lo que si es cierto es que si tenemos el dnie metido en el lector, cualquier applet de internet puede acceder a nuestro nombre, apellidos, dni y nacionalidad, pero esto ya nos lo avisa la policía, de hecho es ella quien los facilita los APDU para listar este contenido:
www.dnielectronico.es/Preguntas_Frecuentes/req_tec/index.html
(seccion 5.-¿Puedo extraer del chip el número de DNI y los datos del titular?.).

» autor: --92089--

#4 Análisis de seguridad del DNI Electrónico

albandy — Fri, 21 Aug 2009 11:56:37 +0000

Erronea, ya que esta información se puede obtener de cualquier certificado digital y no únicamente del Dni electrónico, es más, cualquier servicio que requiera de autenticación con certificado digital puede obtener tus datos sin necesidad de instalar ningún virus.

Sería un problema de seguridad si el virus pudiese acceder a la parte privada del certificado (algo extremadamente complicado), pero esto pasaría con cualquier certificado, tanto de la FNMT, como de Carcert, camerfirma.

» autor: albandy

#3 Análisis de seguridad del DNI Electrónico

unreachablenet — Fri, 21 Aug 2009 11:52:17 +0000

#2 Si pero en ese caso sabes que ha ocurrido(tarde o temprano te das cuenta que falta la cartera).
En este ¿ Lo podrías saber ? Curiosa conclusión la tuya.

» autor: unreachablenet

#2 Análisis de seguridad del DNI Electrónico

Alexxx — Fri, 21 Aug 2009 11:30:57 +0000

Cada vez que sales a la calle, un atracador puede hacerse con toda tu cartera, incluyendo datos personales, nombre y apellidos, Nº de DNI, fecha de nacimiento, nombre del padre y de la madre, y domicilio

» autor: Alexxx

#1 Análisis de seguridad del DNI Electrónico

--145720-- — Fri, 21 Aug 2009 11:30:20 +0000

Es spam del bueno, pero parece interesante...

» autor: --145720--