En concreto, se puede encontrar abundante documentación en la red (en muchos casos emitida por organismos oficiales o grupos de seguridad) donde se indican aspectos que, mas que ayudar, pueden suponer un problema por ser totalmente inexactos en algunos casos y falaces en otros.
En este post vamos a demostrar como dos de los tópicos mas escuchados sobre la prevención del fraude online son directamente falsos:
- Una pagina cargada bajo SSL cuyo certificado digital provenga de una entidad de confianza (que el navegador cargue sin emitir errores) y en la que aparezca el famoso 'candado' puede ser considerada segura
- La firma digital y en concreto, el DNI Electrónico, es la 'herramienta definitiva' contra el fraude
- Un certificado digital para un servidor SSL emitido por una CA reconocida, se puede obtener sin ningún esfuerzo o proceso de verificación y en muchos casos, gratis por una larga temporada
- Tanto el DNI electrónico como los certificados de la FNMT, son poderosas herramientas para identificarse y autorizar procesos online, pero esas herramientas, sin una educación previa, se vuelven contra el usuario, pudiendo servir para hacer fraude con validez legal (la firma digital está reconocida en España como análoga a la manuscrita por la ley)
Como la forma mas pedagógica de plantear un concepto es mediante un ejemplo, hemos creado 'la agencia pituitaria', hecha a imagen y semejanza de la original.
Nuestra agencia, es mas generosa que la original ya que ofrece al ciudadano la posibilidad de solicitar una 'ayuda especial' de 400 euros.
La hemos creado de la forma mas fidedigna posible, hemos conseguido un certificado SSL que aceptará cualquier navegador sin mostrar ningún tipo de advertencia, cortesía de Comodo, que ofrece para todo el mundo certificados digitales gratuitos durante 90 días, con solo rellenar un formulario y dar una dirección de correo electrónico. Incluso la URL de nuestra agencia https://phishing.security-projects.com contiene el termino 'phishing' para dejar mas claro el objetivo del certificado (aun así obtuvimos el certificado en 5 minutos).
Otro aspecto que hemos implementado, es la firma digital para la solicitud de los 400 euros, solicitando al usuario que la petición sea firmada o bien con el DNI Electrónico o con el certificado de la FNMT.
El objetivo final era crear una web de apariencia idéntica a la de un organismo oficial, dándole credibilidad con un certificado digital valido, y que implementara el concepto de 'fraude con firma digital' haciendo que el usuario firme digitalmente a ciegas el hash SHA-256 de un fichero cuyo contenido otorga el control de su patrimonio a SbD. Técnicamente, al firmar el resumen unívoco del fichero con un certificado reconocido, lo firmado adquiere validez legal;
Como no todo el mundo dispone de certificados digitales, o tal vez no se presten al experimento, hemos creado una presentación online con el funcionamiento detallado de la web. (Click para verla a pantalla completa)
http://issuu.com/yjesus/docs/fraudeonline
Saludos
Dr.White
Security By Default ... no olvide dar los creditos del trabajo de otras personas...
ResponderEliminar