Академический Документы
Профессиональный Документы
Культура Документы
ar
15/03/05
Introduccin
La seguridad de la informacin tiene tantas aristas como las tiene el modo de confeccionar un analisis de riesgo e implementar todas sus partes sobre un gran objetivo determinado, a veces tantas, que varios en el trayecto subestiman pequeos detalles humanos. Principios de la seguridad informatica: Disponibilidad, integridad y confidencialidad, este ultimo componente delicado o sensible de muchas empresas, corporaciones y personas de nuestro pais, ha estado expuesto desde el lugar que pocos se imaginaban: nuestro sitio de registro Nic.ar para dominios nacionales, .com.ar, .org.ar, .gov.ar y otros, a cargo de la Cancilleria Nacional o mas conocido como Network information Center Argentina: Nic.ar. La filtracion de datos sensibles, como en el caso que voy a detallar a continuacion, no se da a traves de su sistema operativo, no es posible detectar esta vulnerabilidad a traves de un scanner u otra herramienta de pentest automatizada, sino burlando el sistema de registro y consulta, basandose en la confianza del analista o programador - que hace 10 aos o mas, diagramo e implemento el ya casi obsoleto sistema de registro - al no tener en cuenta la primera ley del desarrollador web en cuanto seguridad: "Jamas confies en que, la totalidad de los usuarios o visitantes van a introducir los datos correctos o esperados dentro de un formulario online"
Detalles tecnicos
No se requerian demasiadas habilidades para obtener los mails de las personas responsables de los sitios, ya en el ao 2002 denuncie que podian solicitarse casi de la misma manera los mails de las entidades... en este caso solo bastaba con loguearse con una persona correo y dominio - y luego ir a a tramitar el cambio de persona... por alguna persona de la que queriamos saber el mail. Completandose este tramite, nos llegaba un mail ( como es costumbre ) para reenviar a Nic.ar, que contenia la casilla de correo de la persona en cuestion... por supuesto que jamas seria reenviado, solo era con motivos de research de informacion o toma de datos sensibles. Hurgando algo mas se podia saber a que persona pertenecian determinados mails y si fuera por el casi anonimo sistema de envio de Fax, no habria limites en cuanto a tramitacion fraudulenta. Lo que mas llama la atencion no es el sistema por demas de inseguro y obsoleto de tramites que libraba informacion sensible violando normas de confidencialidad o Habeas Data, sino el impacto que este sin fin de descuidos tendrian y tendran de seguir asi, en las entidades y personas... y porque no en muchos otros usuarios de internet. Veamos el porque.
Delitos Informaticos
La informacion sensible - en este caso el mail personal, institucional o corporativo del registrante de un dominio deliverado sin mas, o en manos de un potencial delincuente con algunos conocimientos de
seguridad informatica e internet, podria generar algunos de los acontecimientos que enumero a continuacion: 123Venta de los datos para armar databases utilizadas en Spam de empresas de Hosting u otras Y el mas peligroso al conseguir la clave de la casilla que es solo cuestion de tiempo, mas sin saber ellos de que su casilla teoricamente secreta de registro estaba siendo monitoreada Cambiar los DNS de los dominios hacia a un servidor X que permitiria: Fake Site o sitio falso para robo de informacion: claves, correos, mensajes para celulares, datos varios sensibles. Cambio de DNS a dominios de ISP importantes, con la consecuencia que tendria en los sus miles de usuarios, correo, webs personales, robo de cuentas Pop/FTP en masa, mails... Ingenieria social de maxima credibilidad (dado a usar correos de dominios dominados) o robo de identidad para cometer fraudes y estafas a granel de: homebanking, compra/ventas online, extorsion, extracciones de dinero, deformacion de sitios, apropiacion de dominios con fines de venta, invasion de la privacidad, solicitud de otra informacion sensible a otras entidades o allegados, solicitud de dominios registrados, bajas de dominios con posterior registro y otros tramites... la lista es extensa y en este campo no hay que dar tantas ideas.
Y luego ? sin hurgar en su contenido (es tan ilegal como hacerlo con el correo ordinario) cerre ambas seciones y seguidamente le escribi a los respectivos responsables a su casilla personal, para que cambiaran sus claves y pregunta secreta, comente de que estaba redactando una nota acerca de la falla de Nic.ar que daba sus mails de registro al publico y que tomen mejores medidas dado al peligro que significarian en manos de un chico o delincuente cualquiera... ademas como siempre nunca se sabe si paso antes alguien con otros fines. Ahora imaginen, tienen idea del problema que hubiera sido redireccionar todos los dominos del grupo Telecom ? quedarse con el catch all total de los mails @arnet.com.ar, los corporativos/ejecutivos @ta.telecom.com.ar, los telefonicos @telecompersonal.com.ar, los contenidos de los mensajes de a celulares, cuentas pop/FTP y toda la informacion que alli llegaba ? Informacion de redes internas, intranets, routers, servers, passwords e informacion relevante o clasificada, personal y privada, logins de todo tipo... un oceano de informacion, aunque sea por unas horas o una noche de fin de semana. Altisimo impacto/costo. ***Nunca dominios de tales caracteristicas pueden estar ligado a unas simples ( y somo si fuera poco vulnerables ) casillas de correo.***
Imaginense ahora las garantias que tenian y tienen actualmente los activos vitales la informacion confidencial - de muchas empresas minisculas online en comparacion a ellos ( ni hablar del usuario normal de internet ) que estan en riesgo y no tienen la mas minima idea de la seguridad informatica.