www.DatoSeguro.gob.ec NO es seguro

Tema: 

Hace unos meses, a través de mi cuenta de Twitter, alerté que la iniciativa www.DatoSeguro.gob.ec no era segura: El sistema de verificación de identidad que exige al usuario cuando se registra a colocar la identificación dactiloscópica de su cédula de identidad NO es suficiente. Si yo tuviera una copia de la cédula de identidad de cualquier persona, podría registrarme a nombre de esa persona.

Incluso, si esa persona es el Presidente de la República.

El tema perdió importancia por unos meses, hasta este fin de semana (sab24 y dom25 de noviembre), en que leí la historia de Matt Honan, escritor de la revista WIRED, que sufrió de robo de identidad (Kill the Password: Why a String of Characters Can’t Protect Us Anymore - http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/). Con ese artículo rondando en mi cabeza, borré todas mis tarjetas de crédito de los sitios de internet y cambié mis contraseñas por unas mucho más seguras, siguiendo los consejos que se mencionan ahí.\r\n\r\nY el tema de www.DatoSeguro.gob.ec me volvió a la mente.

Hacerse pasar por cualquier persona en www.DatoSeguro.gob.ec es muy fácil. No se necesita más que una cuenta de correo electrónico y un poco de tiempo.

Debo aquí declarar que lo que hice fue hecho para mostrar una falla GRAVE, gravísima de seguridad en un sistema que declara ser seguro, desde su propio nombre. No se hizo para delinquir o para divulgar información que pueda ser utilizada con malas intenciones, ni para vender la información, chantajear o cualquier otra clase de acto ilegal o inmoral.

Con estos antecedentes, explico lo sucedido:

Preocupado por el artículo de M. Honan, volví a pensar en www.DatoSeguro.gob.ec. Yo sabía, tenía la total certeza, de que el sistema no era seguro. ¿Cómo llamar la atención para que el sistema sea mejorado, para que esa brecha de seguridad tan obvia sea cerrada? Lo único que se me ocurrió fue lo que hice: Crear el usuario y contraseña del Sr. Presidente Rafael Correa.

Buscando en internet encontré los datos que necesitaba para crear la cuenta: La fecha de nacimiento y el número de cédula. La fecha de nacimiento la saqué de un sitio de celebridades (http://www.nndb.com/people/744/000162258/) y el número de cédula en el texto completo de la demanda del Sr. Presidente contra El Universo (http://rafaelcorreacontraeluniverso.eluniverso.com/demanda-contra-diario-eluniverso/).

El único dato que me faltaba era el \"Indice dactilar\". Por curiosidad, alguna vez me fijé en los índices dactilares de las cédulas de identidad: todos son muy parecidos. Hay una V o una E o una A seguido de varios números: V23444 - E5444 y así... combinaciones muy sencillas, aparentemente. El sistema me preguntaba los números 3 y 4 del índice dactilar. Con la primera combinación de números acerté y mi cuenta fue creada. Luego de verificar el correo electrónico que envía el sistema, ahora tengo acceso a todos los datos "seguros" de Rafael Vicente Correa Delgado.

Absolutamente sencillo. Me tomó media hora, tal vez menos.

La información que se encuentra en el sitio es delicada: Antecedentes penales, viajes al exterior, registro de vehículos, registro de propiedades, títulos universitarios... Alguien con malas intenciones podría hacer muy mal uso de esta información.

Esta falla de seguridad es GRAVISIMA, no solo por la cantidad de información que contiene sino por la intención del sitio que debe mantener los DATOS SEGUROS de todos los Ecuatorianos. La ley del sitema nacional de registro de datos públicos puede ser consultada aquí: (http://www.dinardap.gob.ec/institucion/nuestra-institucion.html).

¿Cuál es la solución? Que www.DatoSeguro.gob.ec corte INMEDIATAMENTE el acceso a sus bases de datos de TODAS las cuentas registradas. La verificación de la identidad deberá hacerse en persona, con cédula de ciudadanía original y en ese momento se entregaría la contraseña. Como lo hace el IESS.

Y además, revisar TODOS los procesos que se estén implementando de acceso a datos públicos a través del internet: Registro de la propiedad, mercantil, civil, policía, migración, cancillería... TODOS.

Adjunto a este mensaje dos capturas de pantalla de la cuenta creada en www.DatoSeguro.gob.ec y del correo de confirmación. La contraseña de acceso al portal y al correo electrónico que creé para registrarme, estarán a disposición del Sr. Presidente cuando las requiera.

Saludos

Paul

Comentarios

solidaridad

Total apoyo y solidaridad con PaulCoyote.

Indudablemente a incurrido en gastos por este malhadado y mediáticamente maltratado incidente y está en todo su derecho a demandar una compensación por parte del estado, creo que habrá más de una organización interesada en defender su causa.

La falta de seguridad se presumía partiendo de las conocidas debilidades de la plataforma empleada para un sistema tan crítico, principalmente por el paradigma que se aplica en desarrollos semejantes, o mejor dicho: la falta del mismo.

DatoSeguro no es seguro, Paúl lo probó sin incurrir en ninguna irrupción en servidores ni ejecución de código malicioso; la acusación de la cual es objeto solo puede venir de agenciosos burócratas que tratan de cubrir su profunda ineptitud y falta de conocimientos básicos de lo que es seguridad informática.

Deberían darle un reconocimiento y no enjuiciarlo por evidenciar la falla escandalosa en un sistema que se dice seguro, los acusados deberían ser los responsables de procurar que algo así no suceda.

Pero claro, para variar los medios en lugar de informar fundamentadamente, lo único que hacen es desfigurar el hecho, usando palabras que descontextualizan lo sucedido, evidentemente tratando de pescar a río revuelto; de paso fortaleciendo la posición de los incapaces.

Tiene que darse una auditoria de seguridad informática seria a todos los portales públicos, ofrezcan o no datos sensibles, este no es un tema menor.

Gracias Paúl por tu trabajo, quizás no fue el camino más adecuado, pero la razón está de tu parte.

Muy pocas personas asumen las consecuencias de sus actos, para mi un ejemplo a tomar en cuenta.

Saliste

Imagen de pepo

En horabueba PaulCoyote, me he enterado que has recuperado tu libertad.

------------------------------------------------
Linux User Registered #232544
Jabber : pepo@jabberes.org
Ekiga : pepo@ekiga.net
GnuPG-key : www.keyserver.net

Gravisimo!!

Solidaridad con el usuario que ya ha sido liberado.

Aquí es cuando viene Alejandro (el dueño de Roja Directa) y diría "..en mis tiemposh.. yo hackeabash a los bancosh".

ahora sí le prestan atención

Imagen de Epe

ahora sí le prestan atención al sitio, en el mes de marzo ya hablamos de la falla http://www.ecualug.org/?q=2012/03/08/blog/yahuar_kuntur/sitio_datosegurogobec_es_lanzado&page=1 al parecer nadie hace mucha labor de seguridad en datoseguro pues una de las labores de un oficial de seguridad informática es verificar qué se habla de tu sitio/empresa en la web.. y tomar medidas en caso de que se reporte algo.

Sólo se movió la maquinaria cuando paulcoyote publicó el detalle de cómo entró... aparentemente nada hecho con anterioridad funcionó, ni mails, ni posts ni nada.. ahora salen estudiantes de la epn en las noticias, a hablar de lo ya trillado:
http://www.ecuadorinmediato.com/index.php?module=Noticias&func=news_user_view&id=186814&umt=estudiantes_politecnica_nacional_hallan_vulnerabilidades_en_portal_dato_seguro

Un detalle.. han visto el tema de ciertos robos en el biess? Y la falla a la final por dónde está? Y el dinero robado de quién es? De los que aportamos!!

También esto ocurrió por temas de ingeniería social, capa 8.. en el humano! Entiendo que abrían cuentas en cooperativas con cédulas falsas. Los sistemas de validación de quién es y quien no es la persona correcta no son adecuados. Pedir una copia de una cédula no es correcto, porque a más de que se pueden falsear (de forma burda o refinada).. para los que no andamos falsear una cédula, tenemos que entregar una copia de nuestro documento con bastante información sobre nosotros (hay información en la cédula que me quizá no debería salir sino mantenerse privada en el registro civil).

Pueden leer mi post sobre esto, donde además le dedico un rato a la prensa.. no advirtieron nada hasta que no explotó todo.. y todavía estoy esperando que entrevisten a PaulCoyote (si cree que debe hablar más sobre el tema) o a uno, dos, tres expertos, sin relación con el sistema, para oir un poco lo que desde fuera se puede ver. A veces salen cosas interesantísimas que pueden ser tomadas en cuenta para mejorar.

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Mi bueno tu artículo, iba a

Imagen de rafael

Mi bueno tu artículo, iba a dejar un comentario pero toca registrarse. En todo caso mejor lo hago por acá.

Estoy totalmente de acuerdo con lo que pusiste en tu artículo :). Mi opinión la publiqué en mi blog y ahora mismo añado. Al final de mi artículo estoy añadiendo links relevantes sobre el tema para dejar un registro histórico y la gente se pueda enterar de varias fuentes lo que pasó. No he puesto links a artículos de prensa porque me parece que tienen poco entendimiento del tea (como lo comentas), pero tal vez por la misma razón tocará hacerlo.
Si por ahí ven algún artículo que no esta al final de mi post, porfa avisen para añadirle:

http://rafael.bonifaz.ec/blog/2012/12/liberenapaulcoyote/

Saludos Rafael.

PD. Esta de que instales Askimet para wordpress en tu blog y permitas comentarios sin registro. Este un servicio antispam realmente bueno para blogs yo lo tengo varios años en mi blog y se me pasan 3 spams por año.

Saludos,

Rafael

En realidad no es necesario

Imagen de rafael

En realidad no es necesario registrarse en ningún lado. Creo, que usa todos los blogs de Wordpress.com más los que tengan el plugin activado y según los que reportan un post como spam, el sistema antispam lo califica como spam. Es muy raro que se pase un spam. En mi caso podría decir que son unos 3 por año. (en todo caso ya es tema de otro hilo ;) )

Saludos,

Rafael

Saludos,

Rafael

Páginas