Agenda - innovarioja.tv · Foros YO Garantías Servicios Web Fabricante De motor Nombre Apellido...
Transcript of Agenda - innovarioja.tv · Foros YO Garantías Servicios Web Fabricante De motor Nombre Apellido...
Eres el Producto de mi imaginación
Juan Garrido
MVP Enterprise Security
http://windowstips.wordpress.com
@tr1ana
Agenda
• Identidades digitales
– ¿Que es?
– Seguridad
– Cuantas identidades tenemos
– ¿En qué me convierte?
– ¿Cómo se consigue esta información?
– Conclusiones
Identidad digital: ¿Que es?
• Cualquier elemento que sirva para:
– Identificar
– Autenticar
– Autorizar
Identidad digital: ¿Que es?
• Composición genérica:
– Numero de
identificación
– Protecciones de
seguridad
– Chips
– Códigos de verificación
– Hologramas
– Marcas de agua
Identidad digital: ¿Que es?
• Ejemplo con DNI y pasaporte español:
– Número de identificación en ambos
– Marcas de agua
– Hologramas
– Chip (DNI-E)
– Foto
Identidad digital: Seguridad
• Múltiples características de seguridad:
– Hacen muy difícil el clonado-copiado
– Cada país implementa sus medidas
– No existe standard único en UE
• Decenas de pasaportes con pocos elementos comunes
• Cientos de documentos con protecciones específicas
por país
Identidad digital: Warning!
• No existe standard único en UE:
– Pero mi DNI vale en toda la UE
– Pero mi pasaporte vale en todo el mundo
• ¿Cómo lo identifican?
– Hardware especializado
– A ojo (cuñao!)
Identidad digital: Warning!
• Elementos de fallo:
– Multitud de documentos por ciudadano
– Multitud de ciudadanos en una terminal
– Rapidez y fluidez en los servicios
– Escasa inversión de medios y formación
Identidad digital: ¿Cuántas identidades
tenemos? Identidades físicas
DNI Todo ciudadano
Pasaporte No obligado
Identidades digitales basadas en activos
• En función del nivel de ego, consumismo, disposición
eco ó ica, arido, ujer, hijos, etc…
Facebook, Whatsapp, Line, Twitter Correo (Gmail, Hotmail, Yahoo, etc..)
Ordenadores, impresoras Televisiones
Cámaras de fotos Iphone, Ipad, Galaxy
Coche, moto, bicicleta Etc, etc…
Identidad digital: Warning!
• Si combinamos ambos mundos:
– Es posible generar una identidad completa
• Basándote en los activos que utiliza (Y si ha registrado)
– Dependiendo del registro:
• Tendrás un nick
• Tendrás un nombre y apellidos
• Tendrás una dirección
• Tendrás un DNI
• Etc, etc..
Foros YO
Garantías
Servicios Web
Fabricante De motor
Nombre
Apellido
Cargo
DNI
Teléfono
Marcianiquito
Bernal gutiérrez
008
Nombre
sApellido
Cargo
DNI
Teléfono
Nombre
Apellido
tCargo
DNI
Teléfono
Marciano
Bernal
28843214
Nombre
Apellido
tiCargo
DNI
Teléfono
Marcianico
Bernal
ICoord
Nombre
Apellido
tCargo
DNI
Teléfono
913452134
Marciano
Bernal
28843214
Coordinador
913452134
Marciano
Bernal
Coordinador
28843214
Mi propia identidad
Nombre
Apellido
tCargo
DNI
Teléfono
Marciano
Bernal
28843214
Coordinador
913452134
Atributos de
identidad
Nombre
Apellido
DNI
Coche
Yomvi
Ordenador,
Conexión a internet,
Impresora, etc, etc..
Identidad digital: ¿Qué ocurre si no tengo cuidado?
Identidad digital: ¿Cuántas identidades
tenemos?
• Cada elemento puede
tener algo:
– Identificativo
• Identifica un producto
específico
– Autoritativo
• Autoriza al poseedor a….
Identidad digital: ¿Cuántas identidades
tenemos?
• Ejemplo coche:
– Número VIN (Vehicle
Identification Number)
– Visible en la mayoría de
coches (Número de
chasis)
– Algoritmo público
• http://vinformer.su/en/id
ent/vin/decode.php
Identidad digital: ¿Cuántas identidades
tenemos?
• Ejemplo coche:
– Retroalimenta la
Ingeniería social
– Es posible registrarlo con
sólo el número
– Primer paso para
solicitar tarjetas,
descue tos, etc…
Identidad digital: ¿Cuántas identidades
tenemos?
• Ejemplo canal +:
– Posibilidad de verlo por
Internet
– Información necesaria
DNI, nombre y tarjeta de
crédito
– Información de la tarjeta
decodificadora
Identidad digital: ¿Cuántas identidades
tenemos?
• Ejemplo canal +:
– Encontradas muchas
tarjetas en Internet
– La mayoría con el
número oculto
– Código de barras visible
• Decodificadores vía
móvil/app
• Decodificadores On-line
– http://bit.ly/1j9qt9A
Usuario conseguido!
Identidad digital: ¿En qué me
convierte?
• Básicamente nos convierte en un producto:
– Manipulable desde terceros:
• Problemas en la identificación
• El propio número es tu identificación
• ¿Es fácil conseguir esta información?
– Bing, Google
– Redes sociales
– Móviles (Cámara de fotos)
Identidad digital: ¿Cómo se consigue
esta información?
• Portales especializados:
– E-Informa (5 informes gratuitos)
– https://www.carfax.es (De pago)
• Ubicaciones físicas:
– DGT
• Twitter:
– https://twitter.com/needadebitcard (Tarjetas)
– https://twitter.com/WhyCrawl (Correos)
– https://twitter.com/Paula_Troll (Teléfonos)
Conclusiones
• Un mal uso en la gestión de identidades: – Por parte del proveedor
– Por parte del usuario
• Puede servir de base para ciertos ataques: – Suplantación
– APT
• Información pública al alcance de todos: – Número ilimitado de consultas
– En algunas ocasiones números secuenciales
– I for ació co siderada co o No i porta te
http://windowstips.wordpress.com
http://www.securitybydefault.com
Gracias! ;)