Captchas predecibles en AFIP y #DNItruchos
Jugando un rato con los DNI duplicados en el padrón argentino así como los documentos que están cargados en dicho padrón y que podrían ser utilizados para votar y realizar fraude, encontré un par de cosas curiosas en el sitio web.
Primero, sólo para sonreír observemos algunos de estos #DNItruchos que se pueden encontrar en varios mensajes de Twitter que se han publicado durante la semana:
Al margen de lo "curioso" de estos datos, la imagen hace referencia a la red interna de AFIP (http://intranet) pero lo que más me llamó la atención es el uso incorrecto e inseguro que se hace del CAPTCHA del sitio:
Como puede verse, se hace referencia al archivo validarCodigo.js y a JpegImage.aspx, el cual crea la imagen del CAPTCHA en base a un código que se le pasa por parámetros.
Este código hace pensar que el mismo podría ser predecible y efectivamente lo es, como se ve a continuación:
Y así sucesivamente...
En base a esto es sencillo predecir la fórmula utilizada en cada CAPTCHA de cinco dígitos: el número de la imagen se forma sumando uno (+1) a cada dígito del código recibido, de la siguiente manera:
Por este y muchos otros motivos es que los desarrolladores nunca deben crear sus propios códigos de seguridad, no deben inventar "nuevos" métodos, se deben usar estándares de desarrollo y no se debe practicar la seguridad por oscuridad.
Actualización: ONTI y AFIP han sido informados sobre la vulnerabilidad para que sea corregida.
Actualización 25/06: AFIP ha modificado la búsqueda por número de documento pero el error en la validación del CAPTCHA persiste.
Actualización 04/07: AFIP ha modificado el CAPTCHA y ha solucionado el problema.
Cristian de la Redacción de Segu-Info
Primero, sólo para sonreír observemos algunos de estos #DNItruchos que se pueden encontrar en varios mensajes de Twitter que se han publicado durante la semana:
Este código hace pensar que el mismo podría ser predecible y efectivamente lo es, como se ve a continuación:
En base a esto es sencillo predecir la fórmula utilizada en cada CAPTCHA de cinco dígitos: el número de la imagen se forma sumando uno (+1) a cada dígito del código recibido, de la siguiente manera:
- 1 - 2
- 2 - 3
- 10 - 21
- 11 - 22
- 99 - 1010
- 100 - 211
- 101 - 212
- 9999 - 101010
- 10000 - 21111
- 77015 - 88126 (el CAPTCHA que figura en la imagen superior)
Por este y muchos otros motivos es que los desarrolladores nunca deben crear sus propios códigos de seguridad, no deben inventar "nuevos" métodos, se deben usar estándares de desarrollo y no se debe practicar la seguridad por oscuridad.
Actualización: ONTI y AFIP han sido informados sobre la vulnerabilidad para que sea corregida.
Actualización 25/06: AFIP ha modificado la búsqueda por número de documento pero el error en la validación del CAPTCHA persiste.
Actualización 04/07: AFIP ha modificado el CAPTCHA y ha solucionado el problema.
Cristian de la Redacción de Segu-Info
Y quien es el responsable de la base de datos?
ResponderBorrarMas que blog de seguridad, es de inseguridad.
ResponderBorrarGracias por alertar a todo el mundo como explotar una pagina del Estado.
¿Tendrán de asesores a los muchachos de Nic.ar?
ResponderBorrarhttp://blog.salinas.com.ar/2006/11/21/nicar-y-el-cuento-de-nunca-acabar/
Saludos
Primero se alerta, después se publica. Ustedes perdieron todo código.
ResponderBorrary el cumplimiento a la ley de datos personaleS? bien, gracias no?...
ResponderBorrar