PROTECCIÓN DE DATOS

Fecha última actualización: 11 de Abril de 2005

Acceso público a datos sensibles y sus posibles consecuencias:
Caso Nic.ar

Basado en la legislación argentina.

Introducción

La seguridad de la información tiene tantas aristas como las tiene el modo de confeccionar un análisis de riesgo e implementar todas sus partes sobre un gran objetivo determinado, a veces tantas, que varios en el trayecto subestiman pequeños detalles humanos.

Principios de la seguridad informática: disponibilidad, integridad y confidencialidad, este último componente delicado o sensible de muchas empresas, corporaciones y personas de nuestro país (Argentina), ha estado expuesto desde el lugar que pocos se imaginaban: nuestro sitio de registro Nic.ar para dominios nacionales, .com.ar, .org.ar, .gov.ar y otros, a cargo de la Cancilleria Nacional o mas conocido como Network information Center Argentina: Nic.ar.

La filtración de datos sensibles, como en el caso que voy a detallar a continuación, no se da a través de su sistema operativo, no es posible detectar esta vulnerabilidad a través de un scanner u otra herramienta de pentest automatizada, sino burlando el sistema de registro y consulta, basándose en la confianza del analista o programador - que hace 10 años o más, realizó el diagrama e implementó el ya casi obsoleto sistema de registro - al no tener en cuenta la primera ley del desarrollador web en cuanto seguridad:

"Jamas confies en que, la totalidad de los usuarios o visitantes van a introducir los datos correctos o esperados dentro de un formulario online"

Somos esclavos de las leyes para poder ser libres. Cicerón.

Acerca de Habeas Data: "El régimen de protección de los datos personales establecido por la Ley 25.326 y reglamentado por el Decreto 1558/2001, también conocido como "Habeas Data", basado en el derecho reconocido por el art. 43 de la Constitución Nacional Argentina, permite que los ciudadanos ejerzan un legítimo poder de disposición y control sobre sus datos personales. A tal fin, los faculta a decidir cuáles de esos datos quieren proporcionar a terceros, sea el Estado o un particular, o qué datos pueden esos terceros recabar, permitiendo asimismo que sepan quién posee sus datos personales y para qué, pudiendo inclusive oponerse a esa posesión o uso."

Nic.ar, aclara desde su sitio y mas exactamente desde Preguntas Frecuentes, luego viendo la seccion "De las Normas y procedimientos" dice en su punto numero 42: "Necesito comunicarme con una persona responsable de un dominio ¿me podrían facilitar su e-mail? Respuesta: NIC Argentina *no* proporciona esta información a terceros."

Lamento decir que *si* proporcionó esa información durante años hasta hace 4 días, no solo dio a terceros el mail de las entidades responsables, sino también el de las personas responsables del dominio, violando asi tanto Habeas Data, como todo a lo que referia en resguardo y confidencialidad de nuestros datos.

* Importante: Cabe destacar que esta falla esta arreglada al día de la fecha, dado a que interactue con su personal administrativo para que ello ocurriera.

Detalles técnicos

No se requerían demasiadas habilidades para obtener los mails de las personas responsables de los sitios, ya en el año 2002 denuncié que podían solicitarse casi de la misma manera los mails de las entidades... en este caso solo bastaba con loguearse con una persona – correo y dominio - y luego ir a a tramitar el cambio de persona... por alguna persona de la que queríamos saber el mail.

Completándose este tramite, nos llegaba un mail (como es costumbre) para reenviar a Nic.ar, que contenía la casilla de correo de la persona en cuestión... por supuesto que jamás sería reenviado, solo era con motivos de research de información o toma de datos sensibles.

Hurgando algo más se podía saber a que persona pertenecían determinados mails y si fuera por el casi anónimo sistema de envío de Fax, no habría límites en cuanto a tramitación fraudulenta.

Lo que más llama la atención no es el sistema por demás de inseguro y obsoleto de tramites que libraba información sensible violando normas de confidencialidad o Habeas Data, sino el impacto que este sin fin de descuidos tendrían y tendrán de seguir así, en las entidades y personas... y porque no en muchos otros usuarios de Internet. Veamos el por qué.

Delitos Informáticos

La información sensible - en este caso el mail personal, institucional o corporativo del registrante de un dominio – deliverado sin más, o en manos de un potencial delincuente con algunos conocimientos de seguridad informática e Internet, podría generar algunos de los acontecimientos que enumero a continuación:

  • Venta de los datos para armar databases utilizadas en Spam de empresas de Hosting u otras.
  • Y el más peligroso al conseguir la clave de la casilla – que es solo cuestión de tiempo, más sin saber ellos de que su casilla teóricamente secreta de registro estaba siendo monitoreada – cambiar los DNS de los dominios hacia a un servidor X que permitiría:
    1. Fake Site o sitio falso para robo de información: claves, correos, mensajes para celulares, datos varios sensibles.
    2. Cambio de DNS a dominios de ISP importantes, con la consecuencia que tendría en sus miles de usuarios, correo, webs personales, robo de cuentas Pop/FTP en masa, mails...
    3. Ingeniería social de máxima credibilidad (dado a usar correos de dominios dominados) o robo de identidad para cometer fraudes y estafas a granel de: homebanking, compra/ventas online, extorsión, extracciones de dinero, deformación de sitios, apropiación de dominios con fines de venta, invasión de la privacidad, solicitud de otra información sensible a otras entidades o allegados, solicitud de dominios registrados, bajas de dominios con posterior registro y otros tramites... la lista es extensa y en este campo no hay que dar tantas ideas.

El “ciberterrorismo” aquí es posible?

Es una palabra fuerte, de película, pero dándole como equivalencia “importantes incidentes informáticos y delictivos”, claro que si. Más aun dada la situación actual de los ISP y networks del país, que son un caldo de cultivo para estos personajes que se dedican al ciberdelito, ya sea o no, un simple adolescente intruso con conocimientos de compilación y ejecución local de un exploit para kernel en linux.

La mayoría de la gente que administra sistemas, gente con conocimientos de informática en Gral o analistas de sistemas, creen que un hackeo es cuando deforman un sitio o cuando cambian la clave de una cuenta de correo Hotmail. Nada mas erroneo que eso.

Las intrusiones sutiles o robos de información sensible quiza no se detecten nunca, dado a la capacidad de pasar desapercibido o habilidad de manejar rastros ( y vanidad - de no andar hablando por ahí o mostrando datos robados -) del que lo comete.

El 95% de los (solo) intentos son chicos adolescentes jugando con scanners, pero hay un ínfimo porcentaje de situaciones en las que pueden pasar meses y porque no, años, dentro de las redes corporativas de una empresa sin ser descubiertos. Sacando información para utilizar en un futuro, alojar datos sensibles o databases ajenas, usando los recursos de sistemas para ir a meterse en otros, leyendo los mails que escriben sus empleados y ejecutivos, la gama es amplia - que va desde el espionaje industrial al warez – acumulación de software ilegal en servers ajenos para su intercambio - y más aun pasan desapercibidos cuando la empresa cree estar bien segura.

Veamos un simple, figurativo y rápido ejemplo:

Según la información que brindo en su momento Nic.ar, todos los dominios del grupo Telecom (aproximádamente unos 170) están registrados a través de tan solo 2 cuentas de mails... una de Hotmail y otra institucional de Arnet perteneciente a un empleado. (Aquí es cuando la curiosidad deviene en un desafio intelectual para la comprobación de seguridad )

  1. La cuenta de Hotmail, comprobada como débil en seguridad por la respuesta secreta lograda en 20 segundos al descubrir que tenía como respuesta secreta: el grito de festejo de Arquimedes en su bañera. Esa misma, una palabra y un signo de admiración.
  2. La cuenta de Arnet, una cuenta olvidada, con una clave random de menos de 9 letras… obtenida hace algun tiempo…

Y luego? sin hurgar en su contenido (es tan ilegal como hacerlo con el correo ordinario) cerre ambas seciones y seguidamente le escribí a los respectivos responsables a su casilla personal, para que cambiaran sus claves y pregunta secreta, comenté que estaba redactando una nota acerca del fallo de Nic.ar que daba sus mails de registro al público y que tomen mejores medidas dado al peligro que significarían en manos de un chico o delincuente cualquiera... además como siempre nunca se sabe si pasó antes alguien con otros fines.

Ahora imaginen, tienen idea del problema que hubiera sido redireccionar todos los dominos del grupo Telecom? quedarse con el catch all total de los mails @arnet.com.ar, los corporativos/ejecutivos @ta.telecom.com.ar, los telefónicos @telecompersonal.com.ar, los contenidos de los mensajes a celulares, cuentas pop/FTP y toda la información que allí llegaba?

Información de redes internas, intranets, routers, servers, passwords e información relevante o clasificada, personal y privada, logins de todo tipo... un oceano de información, aunque sea por unas horas o una noche de fin de semana. Altísimo impacto/costo.

***Nunca dominios de tales caracteristicas pueden estar ligados a unas simples (y como si fuera poco vulnerables) casillas de correo.***

Imagínense ahora las garantías que tenían y tienen actualmente los activos vitales – la informacion confidencial - de muchas empresas minúsculas online en comparacion a ellos (ni hablar del usuario normal de Internet) que están en riesgo y no tienen la más mínima idea de la seguridad informática.

Sugerencias a usuarios, empresarios y responsables de sistemas en ISP

  • Adoptar una decente administración de las terminales y servidores que usan a diario
  • Adoptar un plan de seguridad y auditorías serias
  • Un plan de claves alfanuméricas de más de 8 dígitos que no tengan nada que ver con parientes, gustos, nombres o palabras de diccionario
  • Adoptar respuestas incoherentes en respuestas secretas de casillas de correo
  • Adoptar la criptografía como resguardo de la confidencialidad en información importante
  • Adoptar los backups e imágenes de sistema puros
  • Contratar administradores de sistemas realmente capacitados, esto va más allá de los títulos o certificaciones que posean, no usen agencias de recursos humanos para contratar administradores o personal de sistemas, consulten a gurues que les recomienden personal calificado
  • En cuanto a registros Nic.ar, utilizar correos seguros por ahora ya que son vitales para los tramites actualmente
  • Concienciarse en que la información importante es un activo vital de la empresa

Algunas sugerencias al personal responsable de Cancilleria/Nic.ar

Como medida esencial, actualizar el sistema de registro y tramitación por completo. Esto no es una fantasía como el bug del año 2000 al que se destinaron inútilmente millones de dólares, esto es una realidad vital, tanto como mantener la confidencialidad de todos nuestros datos.

  • Implementar panel de control de usuario con tramites automáticos instantáneos – sin hacer pasear tanta info por la net vía correos reenviados ni tramites engorrosos en tiempo y forma -.
  • Login vía user/pass con datos de registro comprobados por personal vía teléfono y padrón nacional, vía SSL (mediante encriptación).
  • Sectorizar usuarios de registro en usuarios comunes, pymes y empresas de hostings con cobro de dominio anual y por cantidades de dominios.
  • Estipular límites de registro, no es posible que alguien por ser gratis registre 5600 dominios y los quiera vender a alguien que verdaderamente lo necesita.
  • Dar tiempos y permisos a nivel sesión, que una ip o user no pueda hacer 5 registros por día (a menos que sea una empresa de hosting).
  • Que solo se muestre en la consulta de responsable de dominio: nombre, apellido y teléfono de la persona dueña de un registro, “sólo” a través del panel de control en modo privado y no al público.
  • Dar de baja automáticamente a dominios sin uso en determinado tiempo o a aquellos denunciados con material ofensivo, racista, o prohibido.
  • Clasificar dominios importantes para “lockear” (bloquear) tramites vía web y fax, por ejemplo, para hacer tramites de cambios en dominios como “arnet.com.ar”, que se presente el jefe de sistemas con DNI en mano y un administrador capacitado lo atienda personalizadamente.
  • Establecer la sponsorizacion (oficial) del registro para disponer de un pequeño call center de atención al público las 24Hs y personal para comprobación de identidades reales
  • Contratar a personal profesional especializado en seguridad informática, no solo a nivel capa de aplicaciones, tecnología y sistemas operativos. De perfil CISSP.

Nota del redactor:

Es importante que en estos tiempos se adopten medidas serias en cuanto a seguridad informática y se trate de modo serio la información sensible de las personas y empresas, actuando en prevención, capacitando en standares y normas, metodologías, incentivando a los administradores y responsables, aplicando soluciones como resultado de profundos y exaustivos análisis de riesgos.

Es un momento crucial en la evolucion IT Argentina, dado a los excelentes recursos humanos que disponemos para llevarlo a cabo y a la actitud generacional que se esta gestando desde hace unos 10 años a la fecha, más teniendo en cuenta el auge de Internet por estos días.

La falla de confidencialidad en la tramitación y casillas de correo débiles, fueron reportadas a H de Nic.ar, a GCG de Telecom y a GM de TI, ninguna información sensible se obtuvo de modo fraudulento ni se publicó en este documento en perjuicio de empresa, persona, o Habeas Data, al contrario se la previno de graves y potenciales incidentes informáticos, dando lugar a este material pedagógico - preventivo para presentar a la gente que asiste al meeting sobre Delitos Informaticos de I-Sec.

Mis dos centavos a la comunidad, gracias por su atencion y disfruten de la jornada.

 

 

Carlos Tori
www.nnlnews.com

 
Gratis Servicio de noticias
Suscribir Borrado
Sus Sugerencias son bienvenidas
Pincha Aquí
¡¡Lista de correo!!
Introduzca su correo: