www.DatoSeguro.gob.ec NO es seguro

Tema: 

Hace unos meses, a través de mi cuenta de Twitter, alerté que la iniciativa www.DatoSeguro.gob.ec no era segura: El sistema de verificación de identidad que exige al usuario cuando se registra a colocar la identificación dactiloscópica de su cédula de identidad NO es suficiente. Si yo tuviera una copia de la cédula de identidad de cualquier persona, podría registrarme a nombre de esa persona.

Incluso, si esa persona es el Presidente de la República.

El tema perdió importancia por unos meses, hasta este fin de semana (sab24 y dom25 de noviembre), en que leí la historia de Matt Honan, escritor de la revista WIRED, que sufrió de robo de identidad (Kill the Password: Why a String of Characters Can’t Protect Us Anymore - http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/). Con ese artículo rondando en mi cabeza, borré todas mis tarjetas de crédito de los sitios de internet y cambié mis contraseñas por unas mucho más seguras, siguiendo los consejos que se mencionan ahí.\r\n\r\nY el tema de www.DatoSeguro.gob.ec me volvió a la mente.

Hacerse pasar por cualquier persona en www.DatoSeguro.gob.ec es muy fácil. No se necesita más que una cuenta de correo electrónico y un poco de tiempo.

Debo aquí declarar que lo que hice fue hecho para mostrar una falla GRAVE, gravísima de seguridad en un sistema que declara ser seguro, desde su propio nombre. No se hizo para delinquir o para divulgar información que pueda ser utilizada con malas intenciones, ni para vender la información, chantajear o cualquier otra clase de acto ilegal o inmoral.

Con estos antecedentes, explico lo sucedido:

Preocupado por el artículo de M. Honan, volví a pensar en www.DatoSeguro.gob.ec. Yo sabía, tenía la total certeza, de que el sistema no era seguro. ¿Cómo llamar la atención para que el sistema sea mejorado, para que esa brecha de seguridad tan obvia sea cerrada? Lo único que se me ocurrió fue lo que hice: Crear el usuario y contraseña del Sr. Presidente Rafael Correa.

Buscando en internet encontré los datos que necesitaba para crear la cuenta: La fecha de nacimiento y el número de cédula. La fecha de nacimiento la saqué de un sitio de celebridades (http://www.nndb.com/people/744/000162258/) y el número de cédula en el texto completo de la demanda del Sr. Presidente contra El Universo (http://rafaelcorreacontraeluniverso.eluniverso.com/demanda-contra-diario-eluniverso/).

El único dato que me faltaba era el \"Indice dactilar\". Por curiosidad, alguna vez me fijé en los índices dactilares de las cédulas de identidad: todos son muy parecidos. Hay una V o una E o una A seguido de varios números: V23444 - E5444 y así... combinaciones muy sencillas, aparentemente. El sistema me preguntaba los números 3 y 4 del índice dactilar. Con la primera combinación de números acerté y mi cuenta fue creada. Luego de verificar el correo electrónico que envía el sistema, ahora tengo acceso a todos los datos "seguros" de Rafael Vicente Correa Delgado.

Absolutamente sencillo. Me tomó media hora, tal vez menos.

La información que se encuentra en el sitio es delicada: Antecedentes penales, viajes al exterior, registro de vehículos, registro de propiedades, títulos universitarios... Alguien con malas intenciones podría hacer muy mal uso de esta información.

Esta falla de seguridad es GRAVISIMA, no solo por la cantidad de información que contiene sino por la intención del sitio que debe mantener los DATOS SEGUROS de todos los Ecuatorianos. La ley del sitema nacional de registro de datos públicos puede ser consultada aquí: (http://www.dinardap.gob.ec/institucion/nuestra-institucion.html).

¿Cuál es la solución? Que www.DatoSeguro.gob.ec corte INMEDIATAMENTE el acceso a sus bases de datos de TODAS las cuentas registradas. La verificación de la identidad deberá hacerse en persona, con cédula de ciudadanía original y en ese momento se entregaría la contraseña. Como lo hace el IESS.

Y además, revisar TODOS los procesos que se estén implementando de acceso a datos públicos a través del internet: Registro de la propiedad, mercantil, civil, policía, migración, cancillería... TODOS.

Adjunto a este mensaje dos capturas de pantalla de la cuenta creada en www.DatoSeguro.gob.ec y del correo de confirmación. La contraseña de acceso al portal y al correo electrónico que creé para registrarme, estarán a disposición del Sr. Presidente cuando las requiera.

Saludos

Paul

Comentarios

Contacta a @MashiRafael. El

Imagen de iknaxio

Contacta a @MashiRafael. El Presidente y su Gobierno no son los santos de mi devoción, pero es necesario dar la voz de alerta para evitar que millones de ciudadanos nos veamos perjudicados por un sistema que no consedera las mínimas normas de seguridad para su acceso.

"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net

si sigues los posts al

Imagen de Epe

si sigues los posts al usuario de twitter de PaulCoyote notaremos que por esa vía sí lo informó y que ya datoseguro está haciendo una validación telefónica pidiendo otros datos (lo que dificulta el proceso para los posibles atacantes pero tampoco es que sea la bala plateada contra ataques)... pero ya es mejor, al menos ahora un humano decidirá para bien o para mal si se crea o no la cuenta.
Por lo demás veo más interés en otros temas menos en al menos darle las gracias a PaulCoyote por haber ayudado a que pudieran al menos estar alertas en esta falla. No es por falta de deseo sino que pienso que es por falta de conocimiento en lo que pudo haber sucedido si esto lo hubiera hecho con personas con malas intenciones (y si lo hicieron? auditar los accesos previos es imperioso). Más importante es oir otros temas más fáciles de digerir por la población seguramente.
Aquí nos vemos en algo curioso y es que en sentido general nuestros datos están en internet para que nos podamos sucribir a verles... pero no comprendemos todavía (como masa poblacional) lo que puede significar o no que todos nuestros datos estén en un sólo lugar (independientemente de que sea seguro o privado o lo que sea). Y no es el único caso, es lo mismo que con facebook, el exhibicionismo de facebook, a dónde voy, qué hago, y mil cosas más.
Recomiendo leer el url que paulcoyote dió sobre este americano que se vió en problemas cuando le robaron toda su info.
Si vamos a usar una tecnología, tenemos que dominarla.

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

esto es tanto o más peligroso

Imagen de Epe

esto es tanto o más peligroso que el tema de las firmas falsas al CNE...

Deberían asegurarse que no hubieron intrusiones anteriores, no con una simple declaración sino con una completa auditoría, me parece correcto, saludable, auditar el sistema para detectar posibles inscripciones (o entradas incluso) no autorizadas sería bueno.

Además lógicamente implementar otros sistemas de seguridad es imperioso (información al mail, al celular) pero no la única forma... hay que mejorarle y solicitarle a quien realizó el proceso de contratación de este sistema información sobre las seguridades implementadas, y a los que entregaron y recibieron el sistema den cuenta de por qué escogieron esta opción y con quién se asesoraron en temas de seguridad a la hora de la inscripción, etc. Hay varios temas. En fin, que hay que comenzar a pensar en los sistemas pensando en lo peor, no solamente en su utilidad.

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

El día de hoy yo trate de

Imagen de ElSanto

El día de hoy yo trate de registrarme, pero al parecer los senores se han pasado por aquí y han leído la noticia, ya que ahora tengo que llamar a los teléfonos que me llego en el email de confirmación para poder activar mi cuenta, lamentablemente no lo puedo realizar por ahora porque me va a costar un ojo de la cara llamar..... ya que yo estoy en el extranjero ;)
Confirmacion de la cuenta
Espero que esto sea algo nuevo, ahora la pregunta es como saber que la persona que llama es la persona que indica ser para la cual esta tratando de activar la cuenta

Diablos y yo que quería ver mis datos, para ver si alguien me ha robado la identidad

Saludos

[Linux Counter]

en efecto, el asunto es que

Imagen de Epe

en efecto, el asunto es que este nuevo tipo de registro también puede ser vulnerado pues el atacante puede aprenderse ciertas características del atacado... lógicamente ahora será X veces más difícil.. si antes le tomó media hora, ahora quizá tome 30m*X el lograrlo pero bueno. Y casi que me la juego que ni siquiera guardarán el teléfono desde donde se origina la llamada, es una medida "extra" al apuro luego de que se evidenció que la forma que hasta ahora habían usado no funcionaba.

En verdad deberían revisar, auditar, todo...y dejar públicamente en claro los daños que se pudieron (o no) haber ocasionado por haber tenido un sistema de autenticación trivial.

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Paul esta preso

Imagen de rafael

En este momento se encuentra declarando. Pueden seguir algo de lo que esta pasando en twitter:
https://twitter.com/search/realtime?q=%40paulcoyote&src=tyah

Saludos,

Rafael

Pobres hijueputas ...

Imagen de deathUser

Pobres hijueputas ...
Pero si se hubiera hecho cualquier huevada sin decir nada, todos tan tranquilos como huevones tranquilos con esa huevada de sistema abierto de patas ...

Ningún comedido sale bien parado ...

Todo el apoyo a PaulCoyote ...!!!

bye
;)

En el sitio de Diario El

Imagen de iknaxio

En el sitio de Diario El Universo:

[quote]El bloguero y tuitero @paulcoyote denunció en su cuenta la detención de la que fue objeto, tras alertar sobre la inseguridad del sistema Dato Seguro, de la Dirección Nacional de Registro de Datos Públicos (Dinardap).

Paúl Moreno Arteaga, conocido por el usuario @paulcoyote, fue detenido este viernes a las 09:00 en Riobamba, a pedido de la Dinardap.[/quote]

"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net

Diario El Comercio también

Imagen de iknaxio

Diario El Comercio también hace eco de la detención de Paul:

[quote]Acompañado de seis miembros del GOE se presentó a una audiencia formulación de cargos en el Juzgado Primero de Garantías Penales de Chimborazo. El juez Freddy Hidalgo dictó prisión preventiva por 30 días en la cárcel de Riobamba hasta que la Fiscalía de Chimborazo obtenga las pruebas necesarias.[/quote]

"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net

Páginas