Spain/Projects/DNIe

OWASP DNIe
El objetivo del proyecto OWASP DNIe es evaluar y mejorar la seguridad de las aplicaciones web que hacen uso del DNI electrónico (DNIe), documento nacional de identidad (DNI) electrónico en España, para la autenticación de usuarios, así como la posterior gestión de sesiones y controles de acceso.

Dentro de las aplicaciones web que hacen un uso intensivo del DNIe para la identificador de usuarios, ciudadanos con identificación oficial en España, se encuentran tanto servicios proporcionados por la administración pública española y sus diferentes organismos, como servicios y aplicaciones web de empresas y organizaciones privadas, donde destacan especialmente los servicios de banca on-line.

El proyecto OWASP DNIe está compuesto por diferentes actividades (o subproyectos) cuyos objetivos principales (propuestos inicialmente) son identificar las tecnologías y los mecanismos más comúnmente utilizados en las aplicaciones web para interactuar con el DNIe, evaluar las vulnerabilidades más comunes en aplicaciones web que utilizan el DNIe para la autenticación de usuarios (incluyendo vulnerabilidades en la autenticación, gestión de sesiones y control de acceso de la aplicación web), la creación y difusión de herramientas que faciliten la realización de auditorías, pruebas de intrusión y análisis de seguridad de aplicaciones web basadas en el DNIe, así como la publicación de una serie de mejores prácticas y recomendaciones de seguridad para el diseño y creación de aplicaciones web basadas en el DNIe.

Actividades
Las diferentes actividades se irán abordando en etapas independientes durante el 2011 y 2012, comenzando con la primera de las actividades (o subproyectos) del proyecto OWASP DNIe:

DNIe-1: Identificación de los mecanismos y tecnologías de utilización y gestión del DNIe en aplicaciones web

 * Fecha de inicio: Junio 2011


 * Descripción: El propósito del primer subproyecto de OWASP DNIe, "Identificación de los mecanismos y tecnologías de utilización y gestión del DNIe en aplicaciones web" (DNIe-1), es recabar información de las tecnologías y mecanismos empleados para la creación de aplicaciones web basadas en el DNIe, a través de los responsables y/o personal involucrado en el diseño y programación de aplicaciones web basadas en el DNIe en España (jefes de proyecto, desarrolladores, arquitectos, administradores, consultores, profesionales de seguridad, etc).


 * Objetivo: El objetivo principal es identificar los entornos y tecnologías más comúnmente empleados para la gestión del DNIe en aplicaciones web y recopilar estadísticas y detalles sobre éstos. Esta información permitirá a la comunidad española de seguridad y de desarrollo de aplicaciones web conocer las diferentes alternativas tecnológicas disponibles y qué están siendo empleadas actualmente en entornos reales.


 * Información a recabar: Dentro de las tecnologías y mecanismos empleados sería interesante conocer, al menos, la siguiente información. Para cada uno de los componentes utilizados por la aplicación web para la gestión del DNIe, sería interesante disponer de su versión, al menos de la versión principal, y preferiblemente de la subversión (ej. Apache 2.2.19):
 * Componente encargado de la interacción con el DNIe: Dado que la autenticación mediante DNIe utiliza el protocolo HTTPS (SSL/TLS) para la autenticación web mediante certificados digitales cliente, es necesario conocer qué componente del entorno web es el encargado de la autenticación cliente mediante HTTPS: Web Application Firewall (WAF), concentrador/terminador/proxy HTTPS, servidor web, servidor de aplicación o la propia aplicación web.
 * El servidor web empleado: Apache, IIS, etc
 * El servidor de aplicación empleado: Tomcat, Weblogic, Websphere, etc
 * El lenguaje de programación empleado: Java, PHP, ASP .NET, ASP, etc
 * Librerías públicas (open-source o comerciales) específicas empleadas para la gestión del DNIe (nombre y versión) o módulos específicos del componente encargado de la gestión del DNIe (nombre y versión). En caso de hacer uso de librerías propietarias, no públicas, indicar "propietaria".
 * Sector de la aplicación web que hace uso del DNIe: Administración pública, universidad, industria, servicios financieros, seguros, TI u otro.

NOTA: Tanto la primera como la penúltima pregunta son de especial relevancia, ya que proporcionan información sobre el elemento crítico encargado de la autentificación, gestión y controles de acceso basados en el DNIe, y de las librerías o módulos específicos empleados para su implementación.


 * Resultado: Las estadísticas obtenidas de la información recopilada serán publicadas en la página web del proyecto OWASP DNIe durante el último trimestre de 2011, junto al nombre de los diferentes colaboradores que hayan participado en esta primera actividad. En ningún caso se publicará y vinculará al colaborador con los detalles de la aplicación web para la que facilita los datos.


 * Participación: Debido a la sensibilidad de la información proporcionada, existe la posibilidad de facilitar los detalles de la aplicación web de forma anónima. Por otro lado, dado que puede ser interesante recabar o matizar los detalles facilitados para una aplicación web particular, existe la posibilidad de indicar nombre y dirección de e-mail. En caso de facilitar los detalles de quién proporciona la información y no estar interesado en desvelar la organización a la que pertenece, se recomienda facilitar una dirección de e-mail genérica que no vincule a la persona con la organización.


 * Cuestionario: El cuestionario on-line de la actividad DNIe-1 está disponible en http://www.surveymonkey.com/s/3SP5Z88, esperando su participación.


 * Fecha límite de recepción de información: 16 de octubre de 2011.


 * Resultados (2011-12-09 - limitados): https://www.owasp.org/index.php/Spain/Projects/DNIe-1

Miembros
El proyecto OWASP DNIe ha sido creado en Junio de 2011 por el capítulo español de OWASP (https://www.owasp.org/index.php/Spain) y es liderado por Raul Siles, Fundador y Analista de Seguridad de Taddong (http://www.taddong.com).