tag:blogger.com,1999:blog-5399811056563385935.post2167262234683700693..comments2023-09-21T14:48:16.670+02:00Comments on Security By Default: Fraude online con firma digital y SSLYago Jesushttp://www.blogger.com/profile/16830228750771246202noreply@blogger.comBlogger18125tag:blogger.com,1999:blog-5399811056563385935.post-24235896983840593152010-10-11T11:26:37.797+02:002010-10-11T11:26:37.797+02:00Estoy de acuerdo con vosotros en que es un fallo d...Estoy de acuerdo con vosotros en que es un fallo de educación. No tengo ni idea de lo que quiere decir SSL y me cuesta entender que es exactamente un servidor etc<br />¿Que me recomendais para poder tener una formación informática adecuada a nivel de usuario?<br />Lo intento de forma autodidacta mirando en foros como este, pero la verdad que la mayor parte del lenguaje me suena a chino.<br />La pagina de correos, para abrir un A.P.E, me ha dado el error: <br />Ha ocurrido un error durante una conexión a cep.correos.es.<br /><br />El otro extremo de la conexión SSL no ha podido negociar un conjunto aceptable de parámetros de seguridad.<br /><br />(Código de error: ssl_error_handshake_failure_alert)<br /><br /> <br /><br /><br /> <br /> <br /><br /><br /> * La página que está intentando ver no puede mostrarse porque no se ha podido verificar la autenticidad de los datos recibidos.<br /><br /> * Por favor, contacte con los administradores del sitio web para informarles de este problema. De manera alternativa, use la opción del menú Ayuda para informar del problema de este sitio web.<br /><br />¿Que quiere decir?<br /><br />Gracias, !Sois los profesores del futuro!, el único problema es la selección de la información, que para alguien sin conocimientos de informática es muy complicada.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-31280193917521711552009-06-03T11:55:24.736+02:002009-06-03T11:55:24.736+02:00Me reitero: https://phishing.securithy-projects.co...Me reitero: https://phishing.securithy-projects.com carga bien en Explorer / Firefox sin mas. Si luego navegas hacia la parte de 'solicitud 400 euros' y no tienes en el navegador cargado un certificado FNMT / DNI, entonces da ese error.Yago Jesushttps://www.blogger.com/profile/16830228750771246202noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-11180938799155995312009-06-03T11:47:24.532+02:002009-06-03T11:47:24.532+02:00Firefox no lo permite, dá error:
Conexión segura ...Firefox no lo permite, dá error:<br /><br />Conexión segura fallida<br /><br />Ha ocurrido un error durante una conexión a phishing.security-projects.com.<br /><br />El otro extremo de la conexión SSL no ha podido negociar un conjunto aceptable de parámetros de seguridad.<br /><br />(Código de error: ssl_error_handshake_failure_alert)<br /><br /> * La página que está intentando ver no puede mostrarse porque no se ha podido verificar la autenticidad de los datos recibidos.<br /><br /> * Por favor, contacte con los administradores del sitio web para informarles de este problema. De manera alternativa, use la opción del menú Ayuda para reportar el problema de este sitio web.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-60351435448670516072009-06-03T11:41:05.511+02:002009-06-03T11:41:05.511+02:00Sobre certificados, FNMT, exportacion y robo ... Y...Sobre certificados, FNMT, exportacion y robo ... Ya hablamos hace un año http://www.securitybydefault.com/2008/05/fnmt-insecure-by-default.htmlYago Jesushttps://www.blogger.com/profile/16830228750771246202noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-20649311450813777242009-06-03T10:44:38.319+02:002009-06-03T10:44:38.319+02:00A ver... este ejemplo muestra una de las aplicacio...A ver... este ejemplo muestra una de las aplicaciones de un certificado digital de la FNMT que es la -firma digital-, y un uso práctico para su uso fraudulento<br />en el que quien firma le da el OK es el usuario quien acepta y firma. En el otro caso del certificado de la FNMT para auntenticar, lo mismo hace tiempo hice una prueba de concepto con los alumnos con un ataque de MitM <br />para que vieran dónde radicaba la fragilidad de los certificados y cómo en TI en más del 90% en el elemento entre la mesa y la silla, no, en la tecnología.<br /><br />El verdadero problema no es en si el phising al certificado el usuario es quien le da al botón, sino el robo del mismo, esto es mucho más fácil con troyano o acceso al sistema físico hacer una copia y que alguien se haga pasar por el titular, es muy sencillo.<br />La única forma es securizar el uso,la exportación y su almacenaje en disco, mediante contraseña cosa que casi nadie hace.. seguramente por formación y en muchos casos seguro que por comodidad.<br /><br />Y cómo se ha dicho hay que verificar el emisor del certificado antes de establecer comunicación, el https indica que el canal es cifrado no la autenticidad de la web, para esto tiene que haber una Entidad Certifiadora Autorizada que dice que un tercero es quien dice ser, en el caso de la FNMT es ella misma es CA root para hotmail por ejemplo es Verisign quien certifica que hotmail es quien dice ser. <br />Si estubiera pirateado el certificado al comprobar su emisor diría que la entidad que autentica a un tercero no se reconoce. Verisign no emitió el certificado para hotmail, con lo que el sitio no es quien dice ser.<br /><br />El problema no es exactamente de educación sino de formación, para usar esta tecnología se debería de pasar un cursillo cómo un manipulador de alimentos recibe una charlas, hace un examen tipo test y el 99% aprueba por haber pasado la formación.<br /><br />Y eso tiene que ver las administarciones.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-83858700602079073992009-06-03T10:28:31.189+02:002009-06-03T10:28:31.189+02:00@Anonimo_que_no_le_funciona ¿que navegador estas u...@Anonimo_que_no_le_funciona ¿que navegador estas usando? No obstante, prueba a re-iniciar el navegador y volver a probar, tiene que cargarte via https si-o-si.<br /><br />@Anonimo el navegador, si te conectas a https://www.algo.com y el servidor web se identifica con un certificado para www.otro.com, muestra un error, ese es el funcionamiento correcto, otra cosa es que, vía javascript se puedan aplicar técnicas de ofuscación para que parezca que estás en otro sitio, para combatir eso, ffhardener :)Yago Jesushttps://www.blogger.com/profile/16830228750771246202noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-31710092453392342762009-06-03T09:33:05.267+02:002009-06-03T09:33:05.267+02:00Una pregunta... y el navegador no verifica que la ...Una pregunta... y el navegador no verifica que la dirección a la que te conectas y la que te da el certificado sean la misma? se que hay ataques a navegadores para que muestren en la barra de conexión una url distinta a la que se esta conectando realmente, pero ¿se pueden unir ambos ataques? es decir, ¿se puede mostrar en el navegador la url de aeat.es y conectarse realmente a la "agencia pituitaria" con un certificado valido para esta ultima sin que el navegador de aviso alguno?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-4641947831635162052009-06-03T02:59:11.356+02:002009-06-03T02:59:11.356+02:00Fallo en conexión segura
...Fallo en conexión segura<br /><br /> <br /><br /> <br /> <br /> <br /><br /> <br /> <br /> <br /><br /> <br /><br />Un error ha ocurrido al conectarse a phishing.security-projects.com.<br /><br />SSL peer was unable to negotiate an acceptable set of security parameters.<br /><br />(Código de error: ssl_error_handshake_failure_alert)<br /><br /><br /><br />Mejor uso httpAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-41526661102574676712009-06-02T20:14:54.247+02:002009-06-02T20:14:54.247+02:00No es un tema del Dni Electrónico, el Dni es un im...No es un tema del Dni Electrónico, el Dni es un importante avance para poder hacer uso de la 'e-administración' que ahorra mucho tiempo en tramites, el asunto es que no puedes dar algo tan poderoso a alguien y no educarle para usarlo bien.Yago Jesushttps://www.blogger.com/profile/16830228750771246202noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-1142687773099436192009-06-02T20:07:44.013+02:002009-06-02T20:07:44.013+02:00alucinante.
e habeis dejado helado.
mi primo se ha...alucinante.<br />e habeis dejado helado.<br />mi primo se ha hecho el dni digital ese y me dijo que me lo hiciera, pero despues de lo visto, mejor no ( no tengo ganas de donarle mis vienes a nadie ).<br /><br />gracias por la informacion.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-80462395662526369062009-06-02T14:01:05.688+02:002009-06-02T14:01:05.688+02:00Efectivamente, NO es un problema de tecnología sin...Efectivamente, NO es un problema de tecnología sino de educación, además el candadito abajo a la izquierda hasta donde yo sé no significa que el sitio sea seguro ( en el sentido de fiabilidad ) , sino que la comunicación entre el servidor y el cliente es cifrada ("segura"), es decir, muy dífícil de interferir por un tercero. Además haciendo doble clic sobre ese candado se puede ver el nombre del servidor para el que se ha emitido el certificado, lógicamente si yo pido una ayuda en este caso a un organismo público me aseguro haciendo doble clic en el candado que esto ante el sitio web del organismo.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-30660922110549451932009-06-01T23:18:23.773+02:002009-06-01T23:18:23.773+02:00A ver, cuando dices que te da ese error ... ¿al ca...A ver, cuando dices que te da ese error ... ¿al cargar https://phishing.security-projects.com ? Esa parte debería cargarte tengas o no tengas el certificado en el navegador. La parte de la petición de los 400 requiere que tengas un certificado de la FNMT o el Dni Electrónico correctamente configurado en tu FirefoxYago Jesushttps://www.blogger.com/profile/16830228750771246202noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-75605055904189146332009-06-01T23:11:40.236+02:002009-06-01T23:11:40.236+02:00No puedo entrar, me dice que se utiliza un certifi...No puedo entrar, me dice que se utiliza un certificado de seguridad no valido. ¿ Es la versión de Firefox ?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-76986191949360800182009-06-01T21:23:28.403+02:002009-06-01T21:23:28.403+02:00¡Excelentísimo aporte! Muchísimas gracias.¡Excelentísimo aporte! Muchísimas gracias.Nikehttps://www.blogger.com/profile/13764326810200034556noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-52532657490431403832009-06-01T17:46:44.084+02:002009-06-01T17:46:44.084+02:00Nuevamente es un problema de educación, no un fall...Nuevamente es un problema de educación, no un fallo en la tecnología. Si es cierto que como parte del procedimiento para la firma, debería obligar a leer lo que se está firmando, aunque en este caso también habría gente que le daría CRTL+Fin y AceptarRichardnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-34292957905434778482009-06-01T16:03:18.918+02:002009-06-01T16:03:18.918+02:00A la hora de querer falsificar un certificado es b...A la hora de querer falsificar un certificado es bien simple, el usuario comun (la mayoria) no se preocupa si el navegador le develve alguna alerta o si es seguro o no, ya sea por ignorancia o porque simplemente no les interesa, el usuario simplemente pone "Aceptar" y listo.Zerialhttp://blog.zerial.orgnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-67310130815364052652009-06-01T14:06:34.126+02:002009-06-01T14:06:34.126+02:00¿Y la solución? ¿Apagamos el ordenador y lo tiramo...¿Y la solución? ¿Apagamos el ordenador y lo tiramos por la ventana?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-73561145388858643812009-06-01T11:11:36.542+02:002009-06-01T11:11:36.542+02:00me he quedao de piedra ... ¿es tan 'fácil'?
Si no...me he quedao de piedra ... ¿es tan 'fácil'?<br /><br />Si no podemos confiar en los certificados ¿que nos queda?sølrαchttps://www.blogger.com/profile/15252208625020069786noreply@blogger.com