• Registrarse
  • Iniciar sesión


  • Resultados 1 al 4 de 4

    (URGENTE) Fraude online con firma digital y SSL

    Fraude online con firma digital y SSL [IMG]http://2.bp.*************/_Ot9DEZXsUg4/SiHYEGweWoI/AAAAAAAAAkQ/Ojrc1UmmB18/s200/phishing.jpg[/IMG] Disculpad si el anuncio suene mas a petición de desinfeccion pero el tema que se tratara aquí es bastante serio y afecta a muchísima gente, sobre todo ...

          
    1. #1
      Colaborador Avatar de Herrante
      Registrado
      jun 2008
      Ubicación
      España
      Mensajes
      5.289

      Atención (URGENTE) Fraude online con firma digital y SSL

      Fraude online con firma digital y SSL

      [IMG]http://2.bp.*************/_Ot9DEZXsUg4/SiHYEGweWoI/AAAAAAAAAkQ/Ojrc1UmmB18/s200/phishing.jpg[/IMG]

      Disculpad si el anuncio suene mas a petición de desinfeccion pero el tema que se tratara aquí es bastante serio y afecta a muchísima gente, sobre todo a aquellos que confían ciegamente en certificados digitales SSL y demás credenciales de la red, aquí una demostración:

      A la hora de hablar de fraude online, una de las cosas mas peligrosas es adoctrinar al usuario con falsos axiomas que son explicados, generalmente, de forma dogmática.

      En concreto, se puede encontrar abundante documentación en la red (en muchos casos emitida por organismos oficiales o grupos de seguridad) donde se indican aspectos que, mas que ayudar, pueden suponer un problema por ser totalmente inexactos en algunos casos y falaces en otros.

      En este post vamos a demostrar como dos de los tópicos mas escuchados sobre la prevención del fraude online son directamente falsos:

      * Una pagina cargada bajo SSL cuyo certificado digital provenga de una entidad de confianza (que el navegador cargue sin emitir errores) y en la que aparezca el famoso 'candado' puede ser considerada segura
      * La firma digital y en concreto, el DNI Electrónico, es la 'herramienta definitiva' contra el fraude

      La realidad:

      * Un certificado digital para un servidor SSL emitido por una CA reconocida, se puede obtener sin ningún esfuerzo o proceso de verificación y en muchos casos, gratis por una larga temporada
      * Tanto el DNI electrónico como los certificados de la FNMT, son poderosas herramientas para identificarse y autorizar procesos online, pero esas herramientas, sin una educación previa, se vuelven contra el usuario, pudiendo servir para hacer fraude con validez legal (la firma digital está reconocida en España como análoga a la manuscrita por la ley)

      Como la forma mas pedagógica de plantear un concepto es mediante un ejemplo, hemos creado 'La Agencia Pituitaria', hecha a imagen y semejanza de la original.

      Nuestra agencia, es mas generosa que la original ya que ofrece al ciudadano la posibilidad de solicitar una 'ayuda especial' de 400 euros.

      La hemos creado de la forma mas fidedigna posible, hemos conseguido un certificado SSL que aceptará cualquier navegador sin mostrar ningún tipo de advertencia, cortesía de Comodo, que ofrece para todo el mundo certificados digitales gratuitos durante 90 días, con solo rellenar un formulario y dar una dirección de correo electrónico. Incluso la URL de nuestra agencia https://phishing.security-projects.com contiene el termino 'phishing' para dejar mas claro el objetivo del certificado (aun así obtuvimos el certificado en 5 minutos).

      Otro aspecto que hemos implementado, es la firma digital para la solicitud de los 400 euros, solicitando al usuario que la petición sea firmada o bien con el DNI Electrónico o con el certificado de la FNMT.

      El objetivo final era crear una web de apariencia idéntica a la de un organismo oficial, dándole credibilidad con un certificado digital valido, y que implementara el concepto de 'fraude con firma digital' haciendo que el usuario firme digitalmente a ciegas el hash SHA-256 de un fichero cuyo contenido otorga el control de su patrimonio a SbD. Técnicamente, al firmar el resumen unívoco del fichero con un certificado reconocido, lo firmado adquiere validez legal

      Como no todo el mundo dispone de certificados digitales, o tal vez no se presten al experimento, hemos creado una presentación online con el funcionamiento detallado de la web. (Click para verla a pantalla completa)


      Y el contenido del fichero que se firma durante la transacción es este

      Nota: La firma digital solo está implementada para Mozilla Firefox, la enorme biodiversidad de versiones y métodos criptográficos cambiantes en Internet Explorer hubieran multiplicado por 4 el trabajo así que decidimos no implementarla, no obstante, esto no supone que Internet Explorer ofrezca mayor protección, simplemente una dosis extra de trabajo.

      Fuente de la información: Security By Default: Fraude online con firma digital y SSL

      Enlace a noticia de Phissing bajo certificado digital, en este caso falsas soluciones de seguridad y transacciones fraudulentas.

      Suerte y no caigan en la trampa
      Última edición por Herrante fecha: 01/06/09 a las 11:56:43
      Un autentico héroe es aquel que ayuda a los demás sin esperar nada a cambio


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de moralesdaglo
      Registrado
      ene 2006
      Ubicación
      USA
      Mensajes
      305

      Re: (URGENTE) Fraude online con firma digital y SSL

      eso ya me hace pensar dos veces antes de comprar o pagar por internet

    3. #3
      Usuario Avatar de Frank6367
      Registrado
      ene 2007
      Ubicación
      Venezuela
      Mensajes
      82

      Triste Re: (URGENTE) Fraude online con firma digital y SSL

      Vaya!, eso da escalofríos. Así da pánico hacer cualquier operación online.

    4. #4
      Usuario Avatar de pepediz
      Registrado
      dic 2008
      Ubicación
      Ferrol
      Mensajes
      44

      Re: (URGENTE) Fraude online con firma digital y SSL

      Hay que tener cuidado, eso siempre, pero no solo por eso te va a salir mal las compras por Internet.

      Ya que también hay estafas en los cajeros, vas a comprar con la Visa a un comercio "x" y te clonan la tarjeta, por esa regla de tres, ni compras en ningún sitio ni haces nada.

      Con esto y con todo, porque en todo hay problemas y sinveguenzas.