Eres el Producto de mi imaginación

Juan Garrido

MVP Enterprise Security

http://windowstips.wordpress.com

@tr1ana

Agenda

• Identidades digitales

– ¿Que es?

– Seguridad

– Cuantas identidades tenemos

– ¿En qué me convierte?

– ¿Cómo se consigue esta información?

– Conclusiones

Identidad digital: ¿Que es?

• Cualquier elemento que sirva para:

– Identificar

– Autenticar

– Autorizar

Identidad digital: ¿Que es?

• Composición genérica:

– Numero de

identificación

– Protecciones de

seguridad

– Chips

– Códigos de verificación

– Hologramas

– Marcas de agua

Identidad digital: ¿Que es?

• Ejemplo con DNI y pasaporte español:

– Número de identificación en ambos

– Marcas de agua

– Hologramas

– Chip (DNI-E)

– Foto

Identidad digital: Seguridad

• Múltiples características de seguridad:

– Hacen muy difícil el clonado-copiado

– Cada país implementa sus medidas

– No existe standard único en UE

• Decenas de pasaportes con pocos elementos comunes

• Cientos de documentos con protecciones específicas

por país

Identidad digital: Warning!

• No existe standard único en UE:

– Pero mi DNI vale en toda la UE

– Pero mi pasaporte vale en todo el mundo

• ¿Cómo lo identifican?

– Hardware especializado

– A ojo (cuñao!)

Identidad digital: Warning!

• Elementos de fallo:

– Multitud de documentos por ciudadano

– Multitud de ciudadanos en una terminal

– Rapidez y fluidez en los servicios

– Escasa inversión de medios y formación

Identidad digital: ¿Cuántas identidades

tenemos? Identidades físicas

DNI Todo ciudadano

Pasaporte No obligado

Identidades digitales basadas en activos

• En función del nivel de ego, consumismo, disposición

eco ó ica, arido, ujer, hijos, etc…

Facebook, Whatsapp, Line, Twitter Correo (Gmail, Hotmail, Yahoo, etc..)

Ordenadores, impresoras Televisiones

Cámaras de fotos Iphone, Ipad, Galaxy

Coche, moto, bicicleta Etc, etc…

Identidad digital: Warning!

• Si combinamos ambos mundos:

– Es posible generar una identidad completa

• Basándote en los activos que utiliza (Y si ha registrado)

– Dependiendo del registro:

• Tendrás un nick

• Tendrás un nombre y apellidos

• Tendrás una dirección

• Tendrás un DNI

• Etc, etc..

Foros YO

Garantías

Servicios Web

Fabricante De motor

Nombre

Apellido

Cargo

mail

DNI

Teléfono

Marcianiquito

Bernal gutiérrez

008

Nombre

sApellido

Cargo

mail

DNI

Teléfono

Nombre

Apellido

tCargo

mail

DNI

Teléfono

Marciano

Bernal

28843214

Nombre

Apellido

tiCargo

mail

DNI

Teléfono

Marcianico

Bernal

ICoord

Nombre

Apellido

tCargo

mail

DNI

Teléfono

913452134

Marciano

Bernal

28843214

Coordinador

marianico@gmail.com

913452134

Marciano

Bernal

Coordinador

28843214

Mi propia identidad

Nombre

Apellido

tCargo

mail

DNI

Teléfono

marianico@gmail.com

Marciano

Bernal

28843214

Coordinador

913452134

Atributos de

identidad

Nombre

Apellido

DNI

Coche

Yomvi

Ordenador,

Conexión a internet,

Impresora, etc, etc..

Identidad digital: ¿Qué ocurre si no tengo cuidado?

Identidad digital: ¿Cuántas identidades

tenemos?

• Cada elemento puede

tener algo:

– Identificativo

• Identifica un producto

específico

– Autoritativo

• Autoriza al poseedor a….

Identidad digital: ¿Cuántas identidades

tenemos?

• Ejemplo coche:

– Número VIN (Vehicle

Identification Number)

– Visible en la mayoría de

coches (Número de

chasis)

– Algoritmo público

• http://vinformer.su/en/id

ent/vin/decode.php

Identidad digital: ¿Cuántas identidades

tenemos?

• Ejemplo coche:

– Retroalimenta la

Ingeniería social

– Es posible registrarlo con

sólo el número

– Primer paso para

solicitar tarjetas,

descue tos, etc…

Identidad digital: ¿Cuántas identidades

tenemos?

• Ejemplo canal +:

– Posibilidad de verlo por

Internet

– Información necesaria

DNI, nombre y tarjeta de

crédito

– Información de la tarjeta

decodificadora

Identidad digital: ¿Cuántas identidades

tenemos?

• Ejemplo canal +:

– Encontradas muchas

tarjetas en Internet

– La mayoría con el

número oculto

– Código de barras visible

• Decodificadores vía

móvil/app

• Decodificadores On-line

– http://bit.ly/1j9qt9A

Usuario conseguido!

Identidad digital: ¿En qué me

convierte?

• Básicamente nos convierte en un producto:

– Manipulable desde terceros:

• Problemas en la identificación

• El propio número es tu identificación

• ¿Es fácil conseguir esta información?

– Bing, Google

– Redes sociales

– Móviles (Cámara de fotos)

Identidad digital: ¿Cómo se consigue

esta información?

• Portales especializados:

– E-Informa (5 informes gratuitos)

– https://www.carfax.es (De pago)

• Ubicaciones físicas:

– DGT

• Twitter:

– https://twitter.com/needadebitcard (Tarjetas)

– https://twitter.com/WhyCrawl (Correos)

– https://twitter.com/Paula_Troll (Teléfonos)

Conclusiones

• Un mal uso en la gestión de identidades: – Por parte del proveedor

– Por parte del usuario

• Puede servir de base para ciertos ataques: – Suplantación

– APT

• Información pública al alcance de todos: – Número ilimitado de consultas

– En algunas ocasiones números secuenciales

– I for ació co siderada co o No i porta te

http://windowstips.wordpress.com

http://www.securitybydefault.com

Gracias! ;)