CONFIDENCIALIDAD en las apps de denuncia.

[mxgxw]

De ese joven no sé nada realmente, pero recuerdo haber visto algo de un concurso de Apps que tenía que ver con la anterior administración, puede que el joven se le haya ocurrido algo similar, porque al final todos andamos tras los mismos objetivos, además se hicieron investigaciones también de Apps similares en otros países.

Es decir, tampoco hemos venido a inventar la rueda, lo que tratamos es que sea lo más practica posible y que genere confianza al usuario, hay cosas que se van a mejorar en el camino, pero había que salir con una primera versión, como mencione antes, la idea ya incluso la habíamos comentado en otro post aquí en el foro hace años, por lo mismo que se vive la delincuencia en el país, y creo que es más sano en lugar de solo ponerse a criticar al gobierno, intentar hacer cosas que estén a nuestro alcance, es por eso que pensamos como crear algo para ayudar a denunciar de forma fácil y anónima posible.

Tal vez no sea la App perfecta, pero ahí vamos tratando de aportar algo, obvio que si se puede obtener algún beneficio creo que es lógico, aunque siempre he tratado de influenciar de que se mantenga gratis para el ciudadano.

Aquí les adjunto el POST que envia la app. Para capturarlo monté un MiM attach abriendo un AP con mi laptop y monitoreando los paquetes que pasaban entre el Wifi y la red local.

P.D.: Lo hice en Windows para los que piensan que solo se puede hacer en Kali y Linux 

Pues me puse a analizar la herramienta desde la perspectiva de seguridad informática y NO.

La App no es ni segura ni anónima. Para muestra un botón, los datos se envían via HTTP sin mayor encriptación y se revela en el POST información relevante como el email del denunciante y el número de telefono.

Un vector de ataque podría ser montar un WIFI gratis con la info "Denuncia problemas en tu comunidad" y comenzar a capturar teléfonos y correos de los que se conecten.

P.D.: Esta es la app Sivar. no he probado la de Santa Tecla, al medio día en el almuerzo intento otra vez.

[nameless]

De ese joven no sé nada realmente, pero recuerdo haber visto algo de un concurso de Apps que tenía que ver con la anterior administración, puede que el joven se le haya ocurrido algo similar, porque al final todos andamos tras los mismos objetivos, además se hicieron investigaciones también de Apps similares en otros países.

Es decir, tampoco hemos venido a inventar la rueda, lo que tratamos es que sea lo más practica posible y que genere confianza al usuario, hay cosas que se van a mejorar en el camino, pero había que salir con una primera versión, como mencione antes, la idea ya incluso la habíamos comentado en otro post aquí en el foro hace años, por lo mismo que se vive la delincuencia en el país, y creo que es más sano en lugar de solo ponerse a criticar al gobierno, intentar hacer cosas que estén a nuestro alcance, es por eso que pensamos como crear algo para ayudar a denunciar de forma fácil y anónima posible.

Tal vez no sea la App perfecta, pero ahí vamos tratando de aportar algo, obvio que si se puede obtener algún beneficio creo que es lógico, aunque siempre he tratado de influenciar de que se mantenga gratis para el ciudadano.

A mi la idea me parece mas que perfecta porque acerca a las instituciones con la ciudadania . Lo que si me gustaria que tuviera pero esto es mas de forma de la alcaldia ; es que le dieran un tiempo al ciudadanoa para responder a la denuncia asi como la de San Salvador que es de 48 horas.

Por otro lado instale la app en un nexus 5 y a cada momento me sale un error que debo forzar el cierre de la app porque no esta funcionando bien .

[buscador2k]

Pues me puse a analizar la herramienta desde la perspectiva de seguridad informática y NO.

La App no es ni segura ni anónima. Para muestra un botón, los datos se envían via HTTP sin mayor encriptación y se revela en el POST información relevante como el email del denunciante y el número de telefono.

Un vector de ataque podría ser montar un WIFI gratis con la info "Denuncia problemas en tu comunidad" y comenzar a capturar teléfonos y correos de los que se conecten.

Como dije en la última etapa me aleje del proyecto, pero gracias por el dato, vamos a remitir la observación

Gracias mxgxw, por aclarar que estabas hablando de la App de SS y no de la de Santa Tecla.


Por cierto la idea fue implementada por una empresa formal dedicada a esto, pero siguiendo las instrucciones de todos los involucrados en el proyecto, todos estos comentarios ayudaran a mejorarla, gracias.

[nameless]

Como dije en la última etapa me aleje del proyecto, pero gracias por el dato, vamos a remitir la observación 

Por cierto la idea fue implementada por una empresa formal dedicada a esto, pero siguiendo las instrucciones de todos los involucrados en el proyecto, todos estos comentarios ayudaran a mejorarla, gracias.

Aunque si es una empresa formal debio tomarlo en consideración o avisar en los terminos.

[mxgxw]

Como dije en la última etapa me aleje del proyecto, pero gracias por el dato, vamos a remitir la observación 

Por cierto la idea fue implementada por una empresa formal dedicada a esto, pero siguiendo las instrucciones de todos los involucrados en el proyecto, todos estos comentarios ayudaran a mejorarla, gracias.

Una empresa "formal" va a pagarle lo menos que pueda al estudiante de Ing. en computación para que saque la App lo más rápido posible y por eso es que pasan estas cosas :rolleyes:

Pienso que con solo que enviaran los requests a un endpoint SSL podrían solventar ese problema. Aunque sería muchísimo mejor si el mensaje fuera firmado o mejor aun encriptado con la clave pública del sistema. Así aunque lo enviaran bajo un post HTTP solo en el server de endpoint podría ser procesado.

Así como está cualquier curioso puede obtener emails, teléfonos, incluso coordenadas geográficas del denunciante si el GPS tiene suficiente precision.

Es más pensando de forma "maligna" como la app te dice que te van a llamar para confirmar una persona mal-intencionada con el teléfono podría hacerse pasar por alguien de la alcaldía y pedir información personal del usuario y así podría ser victima de extorsiones.

Implementar seguridad y anonimidad no es fácil

[salvadoresc]

no entiendo sino formas parte por que reportas errores?

[buscador2k]

no entiendo sino formas parte por que reportas errores?

Estoy involucrado, pero tampoco voy a venir a comentar esos detalles aquí.

En lugar de preguntar eso, mejor aprovechen que soy un contacto directo para mejorar la App que al final es para el beneficio de la comunidad. 

Aclaro la App de Santa Tecla, de la de SS no se nada.

[mxgxw]

no entiendo sino formas parte por que reportas errores?

Creo que se ha confundido, el está hablando de la de Santa Tecla (de la que tengo entendido que participó) y yo estoy hablando de la de San Salvador.

Aunque mi comentario sigue siendo válido. Muchas de estas maquilas de software en lo último que se van a precupar es que la app sea segura, sobre todo si no estaba en los terminos de referencia del contrato porque pues... su interés es facturar... jejeje

[nameless]

Una empresa "formal" va a pagarle lo menos que pueda al estudiante de Ing. en computación para que saque la App lo más rápido posible y por eso es que pasan estas cosas :rolleyes:

Pienso que con solo que enviaran los requests a un endpoint SSL podrían solventar ese problema. Aunque sería muchísimo mejor si el mensaje fuera firmado o mejor aun encriptado con la clave pública del sistema. Así aunque lo enviaran bajo un post HTTP solo en el server de endpoint podría ser procesado.

Así como está cualquier curioso puede obtener emails, teléfonos, incluso coordenadas geográficas del denunciante si el GPS tiene suficiente precision.

Es más pensando de forma "maligna" como la app te dice que te van a llamar para confirmar una persona mal-intencionada con el teléfono podría hacerse pasar por alguien de la alcaldía y pedir información personal del usuario y así podría ser victima de extorsiones.

Implementar seguridad y anonimidad no es fácil

El tema de seguridad me interesa mucho porque estoy estudiando algo de eso y como bien decis no es facil mas por el cifrado de datos que ya luego viene el tema de la generacion de llaves y luego implementarlo pero como ya pusiste en evidencia que se pueden recolectar muchos datos con curiosidad. y ahora ya no se puede confiar en cualquiera.

[salvadoresc]

a mi la de tecla no me sirve... yo vivo en san salvador :V pero al rato la pruebo quiero denunciar vecinos que ponen conos en la calle para apartar parqueos a ver si se puede ese tipo de denuncia

[mxgxw]

a mi la de tecla no me sirve... yo vivo en san salvador :V pero al rato la pruebo quiero denunciar vecinos que ponen conos en la calle para apartar parqueos a ver si se puede ese tipo de denuncia

Fijate que la de Sivar te deja denunciar cosas que ocurren en San Salvador. no creo que sea requisito que vivás en la capital.

[salvadoresc]

simon pero no tengo nada que denunciar en tecla :V al menos no de momento

[ENIGMA]

ummm¡¡¡ al leer bien no es de admirarse de los robos del gobierno¡¡¡  hasta con las APP¡¡ pero bien ese sera otro tema
no vaya ser que me tilden de partidista y me leden DELET otra ves.... 
entrando en tema de que es un sistema seguro y totalmente anonimo uummm¡¡¡... 
ya que al reportar un delito o algo mas serio (homicidio) hay te llegaran a botar la puerta alas 2 am los del GRP para llevarte a
testificar¡¡¡
asi como es la gran paja del programa de "PROTECCION A TESTIGOS"

[nameless]

a mi la de tecla no me sirve... yo vivo en san salvador :V pero al rato la pruebo quiero denunciar vecinos que ponen conos en la calle para apartar parqueos a ver si se puede ese tipo de denuncia

ese es otro tema por el cual quiero denunciar ya que el vigilante se lucra de poner los conos en la calle y aun frente a tu casa el parqueo ya lo tiene otro porque paga.

[buscador2k]

ummm¡¡¡ al leer bien no es de admirarse de los robos del gobierno¡¡¡  hasta con las APP¡¡ pero bien ese sera otro tema

Eres el claro ejemplo de un fanático que comenta sin saber los detalles.