Acceso público a datos sensibles y sus posibles consecuencias:
Caso Nic.ar

Basado en la legislación argentina.

Introducción

La seguridad de la información tiene tantas aristas como las tiene el modo de confeccionar un análisis de riesgo e implementar todas sus partes sobre un gran objetivo determinado, a veces tantas, que varios en el trayecto subestiman pequeños detalles humanos.

Principios de la seguridad informática: disponibilidad, integridad y confidencialidad, este último componente delicado o sensible de muchas empresas, corporaciones y personas de nuestro país (Argentina), ha estado expuesto desde el lugar que pocos se imaginaban: nuestro sitio de registro Nic.ar para dominios nacionales, .com.ar, .org.ar, .gov.ar y otros, a cargo de la Cancilleria Nacional o mas conocido como Network information Center Argentina: Nic.ar.

La filtración de datos sensibles, como en el caso que voy a detallar a continuación, no se da a través de su sistema operativo, no es posible detectar esta vulnerabilidad a través de un scanner u otra herramienta de pentest automatizada, sino burlando el sistema de registro y consulta, basándose en la confianza del analista o programador - que hace 10 años o más, realizó el diagrama e implementó el ya casi obsoleto sistema de registro - al no tener en cuenta la primera ley del desarrollador web en cuanto seguridad:

"Jamas confies en que, la totalidad de los usuarios o visitantes van a introducir los datos correctos o esperados dentro de un formulario online"

Somos esclavos de las leyes para poder ser libres. Cicerón.

Acerca de Habeas Data: "El régimen de protección de los datos personales establecido por la Ley 25.326 y reglamentado por el Decreto 1558/2001, también conocido como "Habeas Data", basado en el derecho reconocido por el art. 43 de la Constitución Nacional Argentina, permite que los ciudadanos ejerzan un legítimo poder de disposición y control sobre sus datos personales. A tal fin, los faculta a decidir cuáles de esos datos quieren proporcionar a terceros, sea el Estado o un particular, o qué datos pueden esos terceros recabar, permitiendo asimismo que sepan quién posee sus datos personales y para qué, pudiendo inclusive oponerse a esa posesión o uso."

Nic.ar, aclara desde su sitio y mas exactamente desde Preguntas Frecuentes, luego viendo la seccion "De las Normas y procedimientos" dice en su punto numero 42: "Necesito comunicarme con una persona responsable de un dominio ¿me podrían facilitar su e-mail? Respuesta: NIC Argentina *no* proporciona esta información a terceros."

Lamento decir que *si* proporcionó esa información durante años hasta hace 4 días, no solo dio a terceros el mail de las entidades responsables, sino también el de las personas responsables del dominio, violando asi tanto Habeas Data, como todo a lo que referia en resguardo y confidencialidad de nuestros datos.

* Importante: Cabe destacar que esta falla esta arreglada al día de la fecha, dado a que interactue con su personal administrativo para que ello ocurriera.

Detalles técnicos

No se requerían demasiadas habilidades para obtener los mails de las personas responsables de los sitios, ya en el año 2002 denuncié que podían solicitarse casi de la misma manera los mails de las entidades... en este caso solo bastaba con loguearse con una persona – correo y dominio - y luego ir a a tramitar el cambio de persona... por alguna persona de la que queríamos saber el mail.

Completándose este tramite, nos llegaba un mail (como es costumbre) para reenviar a Nic.ar, que contenía la casilla de correo de la persona en cuestión... por supuesto que jamás sería reenviado, solo era con motivos de research de información o toma de datos sensibles.

Hurgando algo más se podía saber a que persona pertenecían determinados mails y si fuera por el casi anónimo sistema de envío de Fax, no habría límites en cuanto a tramitación fraudulenta.

Lo que más llama la atención no es el sistema por demás de inseguro y obsoleto de tramites que libraba información sensible violando normas de confidencialidad o Habeas Data, sino el impacto que este sin fin de descuidos tendrían y tendrán de seguir así, en las entidades y personas... y porque no en muchos otros usuarios de Internet. Veamos el por qué.

Delitos Informáticos

La información sensible - en este caso el mail personal, institucional o corporativo del registrante de un dominio – deliverado sin más, o en manos de un potencial delincuente con algunos conocimientos de seguridad informática e Internet, podría generar algunos de los acontecimientos que enumero a continuación:

El “ciberterrorismo” aquí es posible?

Es una palabra fuerte, de película, pero dándole como equivalencia “importantes incidentes informáticos y delictivos”, claro que si. Más aun dada la situación actual de los ISP y networks del país, que son un caldo de cultivo para estos personajes que se dedican al ciberdelito, ya sea o no, un simple adolescente intruso con conocimientos de compilación y ejecución local de un exploit para kernel en linux.

La mayoría de la gente que administra sistemas, gente con conocimientos de informática en Gral o analistas de sistemas, creen que un hackeo es cuando deforman un sitio o cuando cambian la clave de una cuenta de correo Hotmail. Nada mas erroneo que eso.

Las intrusiones sutiles o robos de información sensible quiza no se detecten nunca, dado a la capacidad de pasar desapercibido o habilidad de manejar rastros ( y vanidad - de no andar hablando por ahí o mostrando datos robados -) del que lo comete.

El 95% de los (solo) intentos son chicos adolescentes jugando con scanners, pero hay un ínfimo porcentaje de situaciones en las que pueden pasar meses y porque no, años, dentro de las redes corporativas de una empresa sin ser descubiertos. Sacando información para utilizar en un futuro, alojar datos sensibles o databases ajenas, usando los recursos de sistemas para ir a meterse en otros, leyendo los mails que escriben sus empleados y ejecutivos, la gama es amplia - que va desde el espionaje industrial al warez – acumulación de software ilegal en servers ajenos para su intercambio - y más aun pasan desapercibidos cuando la empresa cree estar bien segura.

Veamos un simple, figurativo y rápido ejemplo:

Según la información que brindo en su momento Nic.ar, todos los dominios del grupo Telecom (aproximádamente unos 170) están registrados a través de tan solo 2 cuentas de mails... una de Hotmail y otra institucional de Arnet perteneciente a un empleado. (Aquí es cuando la curiosidad deviene en un desafio intelectual para la comprobación de seguridad )

Y luego? sin hurgar en su contenido (es tan ilegal como hacerlo con el correo ordinario) cerre ambas seciones y seguidamente le escribí a los respectivos responsables a su casilla personal, para que cambiaran sus claves y pregunta secreta, comenté que estaba redactando una nota acerca del fallo de Nic.ar que daba sus mails de registro al público y que tomen mejores medidas dado al peligro que significarían en manos de un chico o delincuente cualquiera... además como siempre nunca se sabe si pasó antes alguien con otros fines.

Ahora imaginen, tienen idea del problema que hubiera sido redireccionar todos los dominos del grupo Telecom? quedarse con el catch all total de los mails @arnet.com.ar, los corporativos/ejecutivos @ta.telecom.com.ar, los telefónicos @telecompersonal.com.ar, los contenidos de los mensajes a celulares, cuentas pop/FTP y toda la información que allí llegaba?

Información de redes internas, intranets, routers, servers, passwords e información relevante o clasificada, personal y privada, logins de todo tipo... un oceano de información, aunque sea por unas horas o una noche de fin de semana. Altísimo impacto/costo.

***Nunca dominios de tales caracteristicas pueden estar ligados a unas simples (y como si fuera poco vulnerables) casillas de correo.***

Imagínense ahora las garantías que tenían y tienen actualmente los activos vitales – la informacion confidencial - de muchas empresas minúsculas online en comparacion a ellos (ni hablar del usuario normal de Internet) que están en riesgo y no tienen la más mínima idea de la seguridad informática.

Sugerencias a usuarios, empresarios y responsables de sistemas en ISP

Algunas sugerencias al personal responsable de Cancilleria/Nic.ar

Como medida esencial, actualizar el sistema de registro y tramitación por completo. Esto no es una fantasía como el bug del año 2000 al que se destinaron inútilmente millones de dólares, esto es una realidad vital, tanto como mantener la confidencialidad de todos nuestros datos.

Nota del redactor:

Es importante que en estos tiempos se adopten medidas serias en cuanto a seguridad informática y se trate de modo serio la información sensible de las personas y empresas, actuando en prevención, capacitando en standares y normas, metodologías, incentivando a los administradores y responsables, aplicando soluciones como resultado de profundos y exaustivos análisis de riesgos.

Es un momento crucial en la evolucion IT Argentina, dado a los excelentes recursos humanos que disponemos para llevarlo a cabo y a la actitud generacional que se esta gestando desde hace unos 10 años a la fecha, más teniendo en cuenta el auge de Internet por estos días.

La falla de confidencialidad en la tramitación y casillas de correo débiles, fueron reportadas a H de Nic.ar, a GCG de Telecom y a GM de TI, ninguna información sensible se obtuvo de modo fraudulento ni se publicó en este documento en perjuicio de empresa, persona, o Habeas Data, al contrario se la previno de graves y potenciales incidentes informáticos, dando lugar a este material pedagógico - preventivo para presentar a la gente que asiste al meeting sobre Delitos Informaticos de I-Sec.

Mis dos centavos a la comunidad, gracias por su atencion y disfruten de la jornada.

Carlos Tori
www.nnlnews.com