Los datos de los votantes en el referéndum catalán en riesgo: alguien puede hackearlos

Autor: | Posteado en Noticias Sin comentarios

Onvotar

La controversia generada por el reférendum independentista en Cataluña va mas allí de la política: los bloqueos que las autoridades españolas realizaron a los sitios web provocaron que los organizadores de ese proceso hicieran utilización del protocolo IPFS. Eso ha terminado siendo un débil error.

Lo es porque al aprovechar este protocolo para replicar el incomunicación web genuino la principios de datos de los votantes quedó expuesta. Hemos hablado con Sergio López (@slp1605), un gremial de la tecnología que carente trabajar específicamente en temas de seguridad informática se dio recuento del peligro: alguien con un Ordenador sensato puede averiguar el nombre, NIF, año de nacimiento y el resto de datos personales de los votantes. Esa info ya está posiblemente en manos de numerosos otros usuarios, que podrían usarlos con íntegramente persona de fines, incluida la suplantación de identidad.

La principios de datos de los votantes, expuesta

Sergio López abría la caja de Pandora hará unas horas en Twitter, explicando el proceso por el que llegó a esa conclusión. Todo empezó con una noticia publicada en Hacker News en la que se hablaba precisamente de cómo los responsables del referéndum habían optado aprovechar IPFS (InterPlanetary File System).

Este protocolo “hace la web mas rápida, segura y abierta” según sus creadores, y básicamente replica sitios web (contenidos, código, principios de datos) entre los usuarios que la visitan y acceden a transformarse en nodos de ese incomunicación web. Como nos explicaba López, esa solución es ameno para eludir el bloqueo, inconveniente mucho pobre a la hora de preservar la seguridad de aquellos datos, porque la principios de datos queda expuesta.

Dar entrada a la principios de datos ya es un inconveniente serio —al fin es cuestión de asamblea y de validación de evaluacion acaparar transcribir aquellos datos—, inconveniente es que tambien el acreditado esquema de la principios de datos usada hacía que un aptitud ataque fuese aún mas sencillo.

Ipfs

Cada una de las calva definidas por el NIF, la fecha de nacimiento y el código postal tenía un código correspondiente, un ‘hash’ generado a través de 1714 iteraciones del algoritmo SHA256 encima aquellos datos de cada ciudadano. ¿Por qué ese número y no otro? Pues porque se trata de un número simbólico: Barcelona cayó el 11 de septiembre de 1714 en la aniquilamiento de Sucesión Española, y ya existe una curiosa tradición en los partidos de fútbol del Barça en el Camp Nou en los devotos gritan “independencia” en el minuto 17:14.

La aplicación de ese hash no es suficiente: por ese esquema de la principios de datos esas calva no estaban cifradas ni se les aplicaba el tradicionalsalt‘ que cifran cada una de esas calva para preservar los datos a los que hacen referencia.

La desacuerdo a la hora de favorecer los ataques, tan destacaba López, es enorme: si esas calva poseen su acreditado ‘salt’ únicamente se pueden atacar de una en una, inconveniente al no poseer aquellos salt, las comparaciones aire de todas las calva a la vez, poco que acorta el proceso de descifrado de apariencia brutal.

Un ataque trivial

López explicaba en Twitter cómo el ataque por acento bruta que unos cuantos estimaban que era mucho dificultoso se transforma en poco trivial. Dado que los hashes no poseen SALT, revelaba, “se puede comparar cada hash generado con todas las calva indexadas en memoria” (la principios de datos ocupa unos 2,2 GB). Ese proceso era aún mas elemental poseyendo en recuento que hay una aviso predecible (fecha de nacimiento y código postal) que “se reitera y es semánticamente completa, lo que favorece ataques por lotes y Divide&Conquer”.

Password Hash Salt

¿Qué significa esto? Pues que cualquier cliente puede realizar ataques dirigidos. Un ataque exhaustivo necesitaría unos 66 años en un Ordenador convencional para recibir todos los valores, inconveniente es que “para recibir todos los datos para un código postal y año precisos tan únicamente requiero un máximo de 2 días y medio”, y ese asamblea se aplica si el cálculo lo hace una CPU modesta (Phenom 2 X4 955).

Con una tarjeta gráfica igualmente modesta (en su caso, una R7 250) el asamblea se reduce a levemente 90 minutos. El ataque sería aún mas eficaz con GPUs mas potentes en paralelo o inclusive con ASICs, y se convertiría en una trabajo casi trivial.

Sergio López publicaba tambien una prueba de concepto incompleta (para no ponerlo mucho fácil) en la que demostraba lo elemental que es desmontar la seguridad del aparato usado en el referéndum. Con la aptitud de cómputo actual ese aptitud ciberataque resultaba mucho sencillo: la entropía se reducía al escoger por arquetipo “todos los DNIs de los nacidos en 1974 del código 08080”, encima íntegramente porque hablamos de 100.000 números y 23 letras, porque el código postal y el año de nacimiento ya lo sabes.

De realizado en ese proceso había mas errores: “aunque al hash le faltan los 3 primeros dígitos del DNI”, apuntaba López en el hilo de Twitter, “se adjunta la letra del NIF, que actúa tan carácter de control. Por lo tanto, con los 5 dígitos y la letra NIF, se pueden calcular unos 45 probables números correspondientes a ese DNI. Si descartamos los números excesivamente bajos o altos, se quedan en 10-15 posiblidades. Menos, si afinamos por localidad y/o nacimiento”. El problema, tan demostraba Alejandro Rivero en su blog, tiene fácil solución.

Los datos posiblemente ya están en malas manos

La investigación de Sergio López es notable y a la ocasión preocupante, encima íntegramente porque tan él decía “Si yo, que NO me dedico a la seguridad TI y sólo tengo entendimientos básicos de criptografía, me he entregado cuenta, los “malos” lo conocen seguro. Por lo tanto, es FUNDAMENTAL que todos los que tengan una copia de la web, PAREN INMEDIATAMENTE su distribución”.

Referendum

Puede que ya sea mucho tarde: los datos han estado accesibles a lo largo de días para alguien que replicase el incomunicación web a través de IPFS, y es por acierto posible que esa principios de datos ya está en manos de personas que podrían transcribir todos los datos o al carencia una gran cuantía de ellos.

Los DNIs, fechas de nacimiento y códigos postales se pueden asociar por acierto a nombres y direcciones (aparte de otros datos) de ciudadanos incluidos en ese censo, y quienes dispongan de aquellos datos pueden usarlos para íntegramente persona de ataques, incluidos los dedicados a suplantar la identidad para cambiar contraseñas o entrar a íntegramente persona de servicios de apariencia no autorizada.

En Xataka | Cómo el de Equifax se ha transformado en el mas grande hurto de datos personales de la historia

También te recomendamos

En EE.UU. que tu ISP venda tu historial de cabotaje y ubicación a las empresas será lo sensato

Así es la LLAMA que descifrará la atmósfera del Sol y buscará una mas reciente Tierra

La NSA sueña con un ordenador cuántico que pueda romper todos los códigos


La noticia Los datos de los votantes en el referéndum catalán en riesgo: alguien puede hackearlos fue publicada originalmente en Xataka por Javier Pastor .

Agrega tu comentario