jueves, diciembre 29, 2011

El árbol LDAP de mi DNIe y mi Pasaporte

Cuando publiqué tiempo ha el artículo de Cotilleando la infraestructura PKI del DOD (Departement Of Defense) Americano, realmente debería haberse llamado Cotilleando la infraestructura PKI de la Policia, pero preferí cambiarlo. ¿Por qué? Pues porque... pensé que era mejor avisar primero.

La idea es básicamente la misma, es decir, conectarse por https y ver los detalles del certificado para descubrir que en la información de la CRL aparecía una ruta LDAP a un servidor que aún puede verse, tal y como se observa en la imagen siguiente.

Figura 1: CRL de la Policia en LDAP

Por supuesto, ese servidor debe permitir la conexión de forma anónima para que se puedan comprobar los certificados revocados, así que LDAP Browser, como en el caso del LDAP de la NASA y para adelante.

Figura 2: Conexión al árbol LDAP de la Policía como anónimo

Me sorprendió, y a la vez no me sorprendió, encontrarme allí las claves públicas de las entidades que firman los certificados de los Passaportes españoles, los certificados de la FNMT y los DNI-e, pero viendo en el libro del DNIe: Tecnología y Usos cuál es la infraestructura de funcionamiento, es de pensar - o suponer - que será necesario que estén allí todas las claves para poder dar soporte a los servicios de la administración pública española.

Lo que ya me dejó totalmente desconcertado es encontrar un montón de Unidades Organizativas de pruebas. No sé encontrar que en el árbol LDAP de la Policía ponían cosas de prueba en el servidor de producción me descolocó un poco. Sin embargo, supongo que como a todos, lo que más me preocupó fue ver ese objeto llamado EntDirAdmin con un atributo userPassword con un hash en SHA1.

Figura 3: Unidades Organizativas de prueba y usuario con hash de password a la vista

Por supuesto, como podéis imaginaros miré a ver si estaba crackeado ya, y la sorpresa fue que sí, ya que ese hash no es más que la representación en SHA1 del valor Null, con lo que cualquiera podría conectarse al árbol LDAP con ese usuario y contraseña vacía y acceder a los privilegios que tuviera EntDirAdmin en el directorio... 

Avisé a la Policía en Septiembre de esta situación para que lo arreglaran si lo consideraban importante y las últimas veces el árbol LDAP ya no estaba disponible, así que he de suponer que habrán tomado alguna medida. Si tú tienes un árbol LDAP, tal vez te convenga utilizar OpenLDAP Baseline Security Analyzer para comprobar que estás tomando todas las medidas de protección necesarias al respecto.

Saludos Malignos!

1 comentario:

  1. Una cosa por curiosidad que extensiones o aplicaciones utilizas para google chrome :)

    Un saludo Bl4ck-3n3rgy

    ResponderEliminar