|
PROTECCIÓN DE DATOS
|
Fecha última actualización:
11 de Abril de 2005
Acceso
público a datos sensibles y sus posibles consecuencias:
Caso Nic.ar
Basado en la legislación argentina.
Introducción
La seguridad de la información tiene tantas aristas como
las tiene el modo de confeccionar un análisis de riesgo
e implementar todas sus partes sobre un gran objetivo determinado,
a veces tantas, que varios en el trayecto subestiman pequeños
detalles humanos.
Principios de la seguridad informática: disponibilidad,
integridad y confidencialidad, este último componente delicado
o sensible de muchas empresas, corporaciones y personas
de nuestro país (Argentina), ha estado expuesto desde el
lugar que pocos se imaginaban: nuestro sitio de registro
Nic.ar para dominios nacionales, .com.ar, .org.ar, .gov.ar
y otros, a cargo de la Cancilleria Nacional o mas conocido
como Network information Center Argentina: Nic.ar.
La filtración de datos sensibles, como en el caso que
voy a detallar a continuación, no se da a través de su sistema
operativo, no es posible detectar esta vulnerabilidad a
través de un scanner u otra herramienta de pentest automatizada,
sino burlando el sistema de registro y consulta, basándose
en la confianza del analista o programador - que hace 10
años o más, realizó el diagrama e implementó el ya casi
obsoleto sistema de registro - al no tener en cuenta la
primera ley del desarrollador web en cuanto seguridad:
"Jamas confies en que, la totalidad de los usuarios o visitantes
van a introducir los datos correctos o esperados dentro
de un formulario online"
Somos esclavos de las leyes para poder ser libres.
Cicerón.
Acerca de Habeas Data: "El régimen de protección de los
datos personales establecido por la Ley 25.326 y reglamentado
por el Decreto 1558/2001, también conocido como "Habeas
Data", basado en el derecho reconocido por el art. 43 de
la Constitución Nacional Argentina, permite que los ciudadanos
ejerzan un legítimo poder de disposición y control sobre
sus datos personales. A tal fin, los faculta a decidir cuáles
de esos datos quieren proporcionar a terceros, sea el Estado
o un particular, o qué datos pueden esos terceros recabar,
permitiendo asimismo que sepan quién posee sus datos personales
y para qué, pudiendo inclusive oponerse a esa posesión o
uso."
Nic.ar, aclara desde su sitio y mas exactamente desde
Preguntas Frecuentes, luego viendo la seccion "De las Normas
y procedimientos" dice en su punto numero 42: "Necesito
comunicarme con una persona responsable de un dominio ¿me
podrían facilitar su e-mail? Respuesta: NIC Argentina *no*
proporciona esta información a terceros."
Lamento decir que *si* proporcionó esa información
durante años hasta hace 4 días, no solo dio a terceros el
mail de las entidades responsables, sino también el de las
personas responsables del dominio, violando asi tanto Habeas
Data, como todo a lo que referia en resguardo y confidencialidad
de nuestros datos.
* Importante: Cabe destacar que esta falla esta
arreglada al día de la fecha, dado a que interactue con
su personal administrativo para que ello ocurriera.
Detalles técnicos
No se requerían demasiadas habilidades para obtener los
mails de las personas responsables de los sitios, ya en
el año 2002 denuncié que podían solicitarse casi de la misma
manera los mails de las entidades... en este caso solo bastaba
con loguearse con una persona – correo y dominio - y luego
ir a a tramitar el cambio de persona... por alguna persona
de la que queríamos saber el mail.
Completándose este tramite, nos llegaba un mail (como
es costumbre) para reenviar a Nic.ar, que contenía la casilla
de correo de la persona en cuestión... por supuesto que
jamás sería reenviado, solo era con motivos de research
de información o toma de datos sensibles.
Hurgando algo más se podía saber a que persona pertenecían
determinados mails y si fuera por el casi anónimo sistema
de envío de Fax, no habría límites en cuanto a tramitación
fraudulenta.
Lo que más llama la atención no es el sistema por demás
de inseguro y obsoleto de tramites que libraba información
sensible violando normas de confidencialidad o Habeas Data,
sino el impacto que este sin fin de descuidos tendrían y
tendrán de seguir así, en las entidades y personas... y
porque no en muchos otros usuarios de Internet. Veamos el
por qué.
Delitos Informáticos
La información sensible - en este caso el mail personal,
institucional o corporativo del registrante de un dominio
– deliverado sin más, o en manos de un potencial delincuente
con algunos conocimientos de seguridad informática e Internet,
podría generar algunos de los acontecimientos que enumero
a continuación:
-
Venta de los datos para armar databases
utilizadas en Spam de empresas de Hosting u otras.
-
Y el más peligroso al conseguir la clave
de la casilla – que es solo cuestión de tiempo, más sin
saber ellos de que su casilla teóricamente secreta de
registro estaba siendo monitoreada – cambiar los DNS de
los dominios hacia a un servidor X que permitiría:
-
Fake Site o sitio falso para robo
de información: claves, correos, mensajes para celulares,
datos varios sensibles.
-
Cambio de DNS a dominios de ISP importantes,
con la consecuencia que tendría en sus miles de usuarios,
correo, webs personales, robo de cuentas Pop/FTP en
masa, mails...
-
Ingeniería social de máxima credibilidad
(dado a usar correos de dominios dominados) o robo
de identidad para cometer fraudes y estafas a granel
de: homebanking, compra/ventas online, extorsión,
extracciones de dinero, deformación de sitios, apropiación
de dominios con fines de venta, invasión de la privacidad,
solicitud de otra información sensible a otras entidades
o allegados, solicitud de dominios registrados, bajas
de dominios con posterior registro y otros tramites...
la lista es extensa y en este campo no hay que dar
tantas ideas.
El “ciberterrorismo” aquí es posible?
Es una palabra fuerte, de película, pero dándole como equivalencia
“importantes incidentes informáticos y delictivos”, claro
que si. Más aun dada la situación actual de los ISP y networks
del país, que son un caldo de cultivo para estos personajes
que se dedican al ciberdelito, ya sea o no, un simple adolescente
intruso con conocimientos de compilación y ejecución local
de un exploit para kernel en linux.
La mayoría de la gente que administra sistemas, gente
con conocimientos de informática en Gral o analistas de
sistemas, creen que un hackeo es cuando deforman un sitio
o cuando cambian la clave de una cuenta de correo Hotmail.
Nada mas erroneo que eso.
Las intrusiones sutiles o robos de información sensible
quiza no se detecten nunca, dado a la capacidad de pasar
desapercibido o habilidad de manejar rastros ( y vanidad
- de no andar hablando por ahí o mostrando datos robados
-) del que lo comete.
El 95% de los (solo) intentos son chicos adolescentes
jugando con scanners, pero hay un ínfimo porcentaje de situaciones
en las que pueden pasar meses y porque no, años, dentro
de las redes corporativas de una empresa sin ser descubiertos.
Sacando información para utilizar en un futuro, alojar datos
sensibles o databases ajenas, usando los recursos de sistemas
para ir a meterse en otros, leyendo los mails que escriben
sus empleados y ejecutivos, la gama es amplia - que va desde
el espionaje industrial al warez – acumulación de software
ilegal en servers ajenos para su intercambio - y más aun
pasan desapercibidos cuando la empresa cree estar bien segura.
Veamos un simple, figurativo y rápido ejemplo:
Según la información que brindo en su momento Nic.ar, todos
los dominios del grupo Telecom (aproximádamente unos 170)
están registrados a través de tan solo 2 cuentas de mails...
una de Hotmail y otra institucional de Arnet perteneciente
a un empleado. (Aquí es cuando la curiosidad deviene en
un desafio intelectual para la comprobación de seguridad
)
-
La cuenta de Hotmail, comprobada como
débil en seguridad por la respuesta secreta lograda en
20 segundos al descubrir que tenía como respuesta secreta:
el grito de festejo de Arquimedes en su bañera. Esa misma,
una palabra y un signo de admiración.
-
La cuenta de Arnet, una cuenta olvidada,
con una clave random de menos de 9 letras… obtenida hace
algun tiempo…
Y luego? sin hurgar en su contenido (es tan ilegal como
hacerlo con el correo ordinario) cerre ambas seciones y
seguidamente le escribí a los respectivos responsables a
su casilla personal, para que cambiaran sus claves y pregunta
secreta, comenté que estaba redactando una nota acerca del
fallo de Nic.ar que daba sus mails de registro al público
y que tomen mejores medidas dado al peligro que significarían
en manos de un chico o delincuente cualquiera... además
como siempre nunca se sabe si pasó antes alguien con otros
fines.
Ahora imaginen, tienen idea del problema que hubiera sido
redireccionar todos los dominos del grupo Telecom? quedarse
con el catch all total de los mails @arnet.com.ar, los corporativos/ejecutivos
@ta.telecom.com.ar, los telefónicos @telecompersonal.com.ar,
los contenidos de los mensajes a celulares, cuentas pop/FTP
y toda la información que allí llegaba?
Información de redes internas, intranets, routers, servers,
passwords e información relevante o clasificada, personal
y privada, logins de todo tipo... un oceano de información,
aunque sea por unas horas o una noche de fin de semana.
Altísimo impacto/costo.
***Nunca dominios de tales caracteristicas pueden estar
ligados a unas simples (y como si fuera poco vulnerables)
casillas de correo.***
Imagínense ahora las garantías que tenían y tienen actualmente
los activos vitales – la informacion confidencial - de muchas
empresas minúsculas online en comparacion a ellos (ni hablar
del usuario normal de Internet) que están en riesgo y no
tienen la más mínima idea de la seguridad informática.
Sugerencias a usuarios, empresarios y responsables de
sistemas en ISP
-
Adoptar una decente administración de
las terminales y servidores que usan a diario
-
Adoptar un plan de seguridad y auditorías
serias
-
Un plan de claves alfanuméricas de más
de 8 dígitos que no tengan nada que ver con parientes,
gustos, nombres o palabras de diccionario
-
Adoptar respuestas incoherentes en respuestas
secretas de casillas de correo
-
Adoptar la criptografía como resguardo
de la confidencialidad en información importante
-
Adoptar los backups e imágenes de sistema
puros
-
Contratar administradores de sistemas
realmente capacitados, esto va más allá de los títulos
o certificaciones que posean, no usen agencias de recursos
humanos para contratar administradores o personal de sistemas,
consulten a gurues que les recomienden personal calificado
-
En cuanto a registros Nic.ar, utilizar
correos seguros por ahora ya que son vitales para los
tramites actualmente
-
Concienciarse en que la información importante
es un activo vital de la empresa
Algunas sugerencias al personal responsable de Cancilleria/Nic.ar
Como medida esencial, actualizar el sistema de registro
y tramitación por completo. Esto no es una fantasía como
el bug del año 2000 al que se destinaron inútilmente millones
de dólares, esto es una realidad vital, tanto como mantener
la confidencialidad de todos nuestros datos.
-
Implementar panel de control de usuario
con tramites automáticos instantáneos – sin hacer pasear
tanta info por la net vía correos reenviados ni tramites
engorrosos en tiempo y forma -.
-
Login vía user/pass con datos de registro
comprobados por personal vía teléfono y padrón nacional,
vía SSL (mediante encriptación).
-
Sectorizar usuarios de registro en usuarios
comunes, pymes y empresas de hostings con cobro de dominio
anual y por cantidades de dominios.
-
Estipular límites de registro, no es
posible que alguien por ser gratis registre 5600 dominios
y los quiera vender a alguien que verdaderamente lo necesita.
-
Dar tiempos y permisos a nivel sesión,
que una ip o user no pueda hacer 5 registros por día (a
menos que sea una empresa de hosting).
-
Que solo se muestre en la consulta de
responsable de dominio: nombre, apellido y teléfono de
la persona dueña de un registro, “sólo” a través del panel
de control en modo privado y no al público.
-
Dar de baja automáticamente a dominios
sin uso en determinado tiempo o a aquellos denunciados
con material ofensivo, racista, o prohibido.
-
Clasificar dominios importantes para
“lockear” (bloquear) tramites vía web y fax, por ejemplo,
para hacer tramites de cambios en dominios como “arnet.com.ar”,
que se presente el jefe de sistemas con DNI en mano y
un administrador capacitado lo atienda personalizadamente.
-
Establecer la sponsorizacion (oficial)
del registro para disponer de un pequeño call center de
atención al público las 24Hs y personal para comprobación
de identidades reales
-
Contratar a personal profesional especializado
en seguridad informática, no solo a nivel capa de aplicaciones,
tecnología y sistemas operativos. De perfil CISSP.
Nota del redactor:
Es importante que en estos tiempos se adopten medidas
serias en cuanto a seguridad informática y se trate de modo
serio la información sensible de las personas y empresas,
actuando en prevención, capacitando en standares y normas,
metodologías, incentivando a los administradores y responsables,
aplicando soluciones como resultado de profundos y exaustivos
análisis de riesgos.
Es un momento crucial en la evolucion IT Argentina, dado
a los excelentes recursos humanos que disponemos para llevarlo
a cabo y a la actitud generacional que se esta gestando
desde hace unos 10 años a la fecha, más teniendo en cuenta
el auge de Internet por estos días.
La falla de confidencialidad en la tramitación y casillas
de correo débiles, fueron reportadas a H de Nic.ar, a GCG
de Telecom y a GM de TI, ninguna información sensible se
obtuvo de modo fraudulento ni se publicó en este documento
en perjuicio de empresa, persona, o Habeas Data, al contrario
se la previno de graves y potenciales incidentes informáticos,
dando lugar a este material pedagógico - preventivo para
presentar a la gente que asiste al meeting sobre Delitos
Informaticos de I-Sec.
Mis dos centavos a la comunidad, gracias por su atencion
y disfruten de la jornada.
Carlos Tori
www.nnlnews.com
|
|
Gratis Servicio de noticias
|
|
Sus Sugerencias son bienvenidas
Pincha
Aquí |
¡¡Lista de correo!!
Introduzca su correo:
|
|