Spain/Projects/DNIe-3 - Revision history

José A. Guasch at 21:15, 13 July 2012

2012-07-13T21:15:46Z

José A. Guasch at 21:13, 13 July 2012

2012-07-13T21:13:39Z

José A. Guasch at 21:12, 13 July 2012

2012-07-13T21:12:54Z

José A. Guasch at 20:46, 13 July 2012

2012-07-13T20:46:25Z

José A. Guasch at 20:45, 13 July 2012

2012-07-13T20:45:03Z

José A. Guasch at 20:42, 13 July 2012

2012-07-13T20:42:15Z

Carlos at 08:32, 12 June 2012

2012-06-12T08:32:41Z

Raul Siles at 08:09, 20 February 2012

2012-02-20T08:09:00Z

José A. Guasch at 01:12, 19 February 2012

2012-02-19T01:12:20Z

José A. Guasch at 01:12, 19 February 2012

2012-02-19T01:12:07Z

@@ Line 17: / Line 17: @@
 == '''RESULTADOS DNIe-3''': Vulnerabilidades de seguridad en los componentes cliente de las aplicaciones web basadas en el DNIe  ==
-''Próximamente...''
+La seguridad de las aplicaciones web basadas en el DNIe fue analizada durante la conferencia [https://www.rootedcon.es Rooted CON 2012] que se celebró en Madrid del 1-3 de marzo de 2012, y en concreto en la ponencia [http://www.rootedcon.es/index.php/ponencias/ "Seguridad de aplicaciones web basadas en el DNIe"] impartida por Raúl Siles y José A. Guasch.
 === Listado de componentes cliente que hacen uso del DNIe  ===

@@ Line 87: / Line 87: @@
 * '''Instalación arbitraria''' - 0.23%
 * '''Vulnerabilidad desconocida''' - 1.17%
 Tras estas estadísticas, vamos a centrarnos en las vulnerabilidades del segundo puesto del ranking: las referentes a '''gestión de ficheros'''. Dentro de este grupo nos encontramos vulnerabilidades en componentes ActiveX las cuales al ser explotadas, permiten la lectura, sobrescritura, creación y eliminación de ficheros. Se eleva la criticidad si además el usuario no se percata de estos accesos no autorizados a su sistema de ficheros.
 Para el caso de la lectura, escritura y eliminación, como es obvio, es necesario conocer la ruta exacta del fichero en el equipo local del usuario en cuyo navegador se ejecuta el componente, pero como todos sabemos, existen multitud de ficheros en Windows de los que conocemos su ruta completa. Además, recordemos que estos componentes suelen requerir privilegios elevados para ser ejecutados, por lo que si no se establecen unos limites acotados, podremos acceder y modificar '''cualquier''' fichero del sistema:
 * ''%WINDIR%\System32\drivers\etc\hosts'' -> Fichero hosts de Windows
@@ Line 98: / Line 100: @@
 * ''%WINDIR%\repair\sam'' -> Almacena hashes de contraseñas de usuarios
 * ''%SYSTEMDRIVE%\boot.ini'' -> información del proceso de inicio de Windows
 Veamos algunos ejemplos de vulnerabilidades en componentes, que permitan aprovechar alguna funcionalidad para la gestión posterior de ficheros en un equipo víctima dónde se esté ejecutando:
@@ Line 110: / Line 113: @@
 * SonicWall [http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5815 '''CVE-2007-5815'''] - En el componente WebCacheCleaner de la VPN-SSL de SonicWall existía una función que permitía la '''eliminación de ficheros''' conociendo su ruta completa.
 === Vulnerabilidades específicas de componentes cliente que hacen uso del DNIe (''boletines de seguridad'') ===

@@ Line 58: / Line 58: @@
 === Vulnerabilidades comunes en componentes cliente ===
-''...Próximamente...''
+A lo largo de los años, se han visto diferentes vulnerabilidades que pueden afectar a componentes ActiveX. Los tipos de vulnerabilidades son los que podrían afectar a cualquier otro tipo de software:
 === Vulnerabilidades específicas de componentes cliente que hacen uso del DNIe (''boletines de seguridad'') ===

@@ Line 39: / Line 39: @@
 | '''CryptoSign''' || [http://www.realsec.com/ Realsec] || ActiveX
 |-
-| '''eSigna WebSite''' || [http://www.indenova.com/ inDenova] | Applet
+| '''eSigna WebSite''' || [http://www.indenova.com/ inDenova] || Applet
 |-
 | '''id@zki''' || [http://www.izenpe.com/ IZENPE] || ActiveX / Applet

@@ Line 27: / Line 27: @@
 * [https://zonatic.usatudni.es/es/aplicaciones/catalogo-de-aplicaciones.html Catálogo de aplicaciones que utilizan DNI-e en zonatic]
 * [http://cert.inteco.es/solutionSearcher/Catalogo_STIC/Catalogo/Busqueda_de_Soluciones/?postAction=solutionSearchList&idSolutionCategory=1&solutionType=P Soluciones de Autenticación y certificación digital en Inteco]
 {| class="wikitable" border="1"
 |+ Componentes cliente para la realización de operaciones con DNI-e y certificados digitales (A-Z)
-! Componente/Plataforma !! Fabricante
+! Componente/Plataforma !! Fabricante !! ActiveX / Applet
 |-
-| '''@firma''' || [http://www.mpt.es Ministerio de Política Territorial y Administración Pública]
+| '''@firma''' || [http://www.mpt.es Ministerio de Política Territorial y Administración Pública] || Applet
 |-
-| '''Componente de la AEAT''' || [http://www.agenciatributaria.es Agencia Estatal de Administración Tributaria (AEAT)]
+| '''Componente de la AEAT''' || [http://www.agenciatributaria.es Agencia Estatal de Administración Tributaria (AEAT)] || ActiveX
 |-
-| '''CryptoSign''' || [http://www.realsec.com/ Realsec]
+| '''CryptoSign''' || [http://www.realsec.com/ Realsec] || ActiveX
 |-
-| '''eSigna WebSite''' || [http://www.indenova.com/ inDenova]
+| '''eSigna WebSite''' || [http://www.indenova.com/ inDenova] | Applet
 |-
-| '''id@zki''' || [http://www.izenpe.com/ IZENPE]
+| '''id@zki''' || [http://www.izenpe.com/ IZENPE] || ActiveX / Applet
 |-
-| '''OpenSignX (TrustedX)''' || [http://www.safelayer.com/es Safelayer Secure Communications, S.A.]
+| '''OpenSignX (TrustedX)''' || [http://www.safelayer.com/es Safelayer Secure Communications, S.A.] || Applet
 |-
-| '''SIAVal (eAS/Trusted Signature Platform)''' || [http://www.sia.es/ Sistemas Informáticos Abiertos]
+| '''SIAVal (eAS/Trusted Signature Platform)''' || [http://www.sia.es/ Sistemas Informáticos Abiertos] || Applet
 |-
-| '''smartAPPLET''' || [http://www.bit4id.com/es/ bit4id Ibérica S.L.]
+| '''smartAPPLET''' || [http://www.bit4id.com/es/ bit4id Ibérica S.L.] || Applet
 |-
-| '''viafirma''' || [http://www.viafirma.com/ Viafirma S.L.]
+| '''viafirma''' || [http://www.viafirma.com/ Viafirma S.L.] || Applet
 |-
-| '''WebSigner (ASF-Firma)''' || [http://www.tb-solutions.com/ TB-Solutions Advanced Technologies, S.L.]
+| '''WebSigner (ASF-Firma)''' || [http://www.tb-solutions.com/ TB-Solutions Advanced Technologies, S.L.] || ActiveX / Applet
 |-
 |}

← Older revision		Revision as of 20:42, 13 July 2012
Line 55:		Line 55:


−	=== Vulnerabilidades comunes en componentes cliente ~~que hacen uso del DNIe~~ ===	+	=== Vulnerabilidades comunes en componentes cliente ===

	''...Próximamente...''		''...Próximamente...''

@@ Line 5: / Line 5: @@
 * '''Descripción''': El propósito del tercer subproyecto de OWASP DNIe, ''"Vulnerabilidades de seguridad en los componentes cliente de las aplicaciones web basadas en el DNIe"'' (DNIe-3), es proporcionar información y detalles técnicos de las vulnerabilidades más comunes en los componentes cliente (controles ActiveX y applets Java) de las aplicaciones web que utilizan el DNIe para la autenticación de usuarios, y para los procesos de creación y verificación de firmas.
-* '''Objetivo''': El objetivo principal es reflejar las vulnerabilidades más comunes en los componentes cliente de las aplicaciones web que hacen uso del DNIe. El análisis se centra en todo tipo de vulnerabilidades en los componentes cliente (controles ActiveX y applets Java) de las aplicaciones web en dos áreas diferenciadas: vulnerabilidades que afectan a la interacción del componente cliente con la propia aplicación web y su funcionamiento, y vulnerabilidades adicionales del componente cliente que reducen la seguridad del sistema del usuario dónde han sido instalados. Esta información permitirá a la comunidad española de seguridad y desarrollo de aplicaciones web conocer las vulnerabilidades y errores de seguridad presentes actualmente en componentes cliente disponibles en entornos reales, y así poder evitarlas mediante la aplicación de las recomendaciones y mejores prácticas asociadas (qué serán detalladas en una actividad futura).
+* '''Objetivo''': El objetivo principal es reflejar las vulnerabilidades más comunes en los componentes cliente de las aplicaciones web que hacen uso del DNIe. El análisis se centra en todo tipo de vulnerabilidades en los componentes cliente (controles ActiveX y applets Java) de las aplicaciones web en dos áreas diferenciadas: vulnerabilidades que afectan a la interacción del componente cliente con la propia aplicación web y su funcionamiento, y vulnerabilidades adicionales del componente cliente que reducen la seguridad del sistema del usuario donde han sido instalados. Esta información permitirá a la comunidad española de seguridad y desarrollo de aplicaciones web conocer las vulnerabilidades y errores de seguridad presentes actualmente en componentes cliente disponibles en entornos reales, y así poder evitarlas mediante la aplicación de las recomendaciones y mejores prácticas asociadas (qué serán detalladas en una actividad futura).
 ''NOTA'': Los resultados de estas vulnerabilidades han sido obtenidos tras la realización de diferentes actividades de investigación sobre los componentes cliente de aplicaciones web españolas que hacen uso del DNIe, tanto en el sector público (Administraciones Públicas o AAPP) como en el sector privado (financiero, seguros, infraestructuras, telecomunicaciones, etc).

@@ Line 32: / Line 32: @@
 ! Componente/Plataforma !! Fabricante !! Enlace
 |-
-| '''@firma''' || Ministerio de Política Territorial || [http://administracionelectronica.gob.es/es/ctt/afirma Plataforma de validación de firma electrónica @firma]
+| '''@firma''' || [http://www.mpt.es Ministerio de Política Territorial y Administración Pública]
 |-
-| '''Componente de la AEAT''' || Agencia Estatal de Administración Tributaria (AEAT) || [http://www.agenciatributaria.es Agencia Tributaria]
+| '''Componente de la AEAT''' || [http://www.agenciatributaria.es Agencia Estatal de Administración Tributaria (AEAT)]
 |-
-| '''CryptoSign''' || realsec || [http://www.realsec.com/ Realsec]
+| '''CryptoSign''' || [http://www.realsec.com/ Realsec]
 |-
-| '''eSigna WebSite''' || inDenova || [http://www.indenova.com/ inDenova]
+| '''eSigna WebSite''' || [http://www.indenova.com/ inDenova]
 |-
-| '''id@zki''' || IZENPE || [http://www.izenpe.com/ IZENPE]
+| '''id@zki''' || [http://www.izenpe.com/ IZENPE]
 |-
-| '''OpenSignX (TrustedX)''' || Safelayer Secure Communications, S.A. || [http://www.safelayer.com/es SafeLayer]
+| '''OpenSignX (TrustedX)''' || [http://www.safelayer.com/es Safelayer Secure Communications, S.A.]
 |-
-| '''SIAVal (eAS/Trusted Signature Platform)''' || Sistemas Informáticos Abiertos || [http://www.sia.es/ Sistemas Informáticos Abiertos]
+| '''SIAVal (eAS/Trusted Signature Platform)''' || [http://www.sia.es/ Sistemas Informáticos Abiertos]
 |-
-| '''smartAPPLET''' || bit4id Ibérica S.L. || [http://www.bit4id.com/es/ bit4id]
+| '''smartAPPLET''' || [http://www.bit4id.com/es/ bit4id Ibérica S.L.]
 |-
-| '''viafirma''' || Viafirma S.L. || [http://www.viafirma.com/ Viafirma]
+| '''viafirma''' || [http://www.viafirma.com/ Viafirma S.L.]
 |-
-| '''WebSigner (ASF-Firma)''' || TB-Solutions Advanced Technologies, S.L. || [http://www.tb-solutions.com/ TB-Solutions]
+| '''WebSigner (ASF-Firma)''' || [http://www.tb-solutions.com/ TB-Solutions Advanced Technologies, S.L.]
 |-
 |}