No hablaré de la parte legal. Pues si le vemos así, siempre se encontarán razones para descargar el problema en el eslabón más débil… sólo que pienso que si se deben tomar acciones, también deben tomarse con quien realizó el sistema, quien lo aceptó así, quien no lo auditó o consultó con otras personas, quien no publicó su código fuente para que otros pudiéramos revisarle. A la final el código es un dato, un dato público.
Por otro lado, ya Paul está libre, y eso tranquiliza.
Algunos quizá se preguntan: haría yo algo así como publicar el detalle de cómo realizar un ataque? Particularmente yo no lo haría, porque sé cómo reaccionan los organismos y las personas cuando se sienten o creen afectadas por tí, con o sin razón: tienden a tratar de denigrarte, a quitarte espacios, a pensar que la culpa es tuya, no de ellos.
Cuando tengo que reportar algo, lo hago en privado con la persona que puede tratar de arreglarlo, o en público sin indicar claramente el paso a paso. Paso a paso no, no lo haría.
A propósito, no es la primera vez que algo así pasó. Una buena persona, con mucho interés por aprender y mostrar lo que sabía cometió la misma falla, de demostrar que un sistema era vulnerable en este caso en una universidad del país, accediendo y modificando un campo que no estaba en uso (es decir que se podía revertir el cambio). Luego él mismo se ocupó de indicarles: miren lo que hice! Lógicamente con el ánimo de demostrarles que sí había una falla. Y le partieron el alma, 2 años sin regresar al sistema universitario, llamé a conocidos y amigos en esa universidad, traté de demostrar que no era por hacer daño sino que había que tomar la parte positiva… pero nada, el enojo era grande (por decirlo suave) y no hubieron palabras de convencimiento que valieran.
Que si este amigo hizo algo mal al cambiar ese campo que no estaba en uso? Yo no dudo que pudo haberlo hecho de otra forma.. pero si no te escuchan cómo lo demuestras? Particularmente yo pienso que si alguien no quiere escuchar, él mismo se escachará a futuro, no me entrometo porque luego por comedido termino pateado. Pero ese soy yo.
Si a mí alguien se me acercara y me dijera: oye, en tu sistema se puede hacer tal cosa. Yo enseguida dejo lo que tenga que hacer y le pregunto: cómo a ver? Cuéntame!, para enseguida corregirle, enmendarle. Errar es de humanos, rectificar de sabios. Nosotros lo publicamos en EcuaLUG, no el detalle de exactamente cómo, pero en el mes de Marzo ya teníamos nuestras dudas y claramente si en DINARDAP hubieran tenido oficiales de seguridad informática ellos hubieran hecho lo que todo oficial de seguridad debe hacer rutinariamente que es validar frecuentemente qué se habla de tu sitio, organización, red… porque siempre salen cosas interesantes. Al parecer no le hicieron, o no le tomaron en cuenta.
Nunca dá resultados la seguridad a través de la oscuridad, o el ocultar un problema o un “temita” que sabemos que existe pero pensamos nadie se va a dar cuenta. A veces no es esto, sino que internamente pueden no tener sistemas para reportar eventos… en este caso al menos una persona reportó haberles indicado sus dudas, dudas que a mí me harían levantar sospechas sobre el sistema de registro, teniendo en cuenta que en las redes ya se estaba hablando del mismo problema, no debemos ser tan autosuficientes.. si alguien dice que hay algo medio raro, si dos lo dicen, si tres lo piensan.. entonces quizá hay algo raro! Este es un caso que ví http://twitpic.com/bi75m0/full Y la respuesta que se le da, es mi impresión, es escrita por alguien que le consultó a alguien que dijo algo y entonces el que escribió puso lo que entendió. Pues es una respuesta que no aclara lo que están reportando sino que trata de tranquilizar al usuario indicándole que no se preocupe, que en el momento de registro pondrá su usuario y clave y ahi se toman todas las medidas por advertirle de que la mantenga privada para que nadie pueda acceder.
Sobre el tema
Mantener los datos de todos es una enorme responsabilidad y deben dedicarse ingentes recursos para manejar de forma SEGURA este sistema. ¿Quiénes son los administradores? ¿Están realmente capacitados para esta labor? ¿Qué experiencia real tienen? ¿Tienen un salario adecuado para la responsabilidad que mantienen? ¿Reciben continuamente capacitación? ¿Tienen un departamento independiente de auditoría informática? ¿Tienen oficiales de seguridad? ¿Tienen códigos de seguridad que seguir? Sería importante saber esto. Hay mucha persona técnicamente conocedora y dedicada que pueden ayudar.
Hay que separar los temas políticos o de intereses personales de esto.
Además, en los asuntos de redes hay que separar bien claramente las funciones:
- Un tema son los administradores de la BD,
- otro los administradores de los sistemas,
- otros los responsables de seguridad,
- la contratación de auditorías externas continuamente,
- otro tema es quien atiende al usuario final.
- Los que programan y mantienen el sistema
Esto es un tema DELICADO y particularmente yo nunca no reclamaría porque haya personal 100% dedicado a esto, dedicándose 100% verdaderamente bien estudiados y continuamente capacitados para manejar un sistema tan importante como esto.
Por favor: el sistema de registro que valida la identidad de una persona a través de un número presente en un documento que no es privado (la cédula te la piden continuamente para miles de trámites) es algo totalmente fuera de foco y cualquier persona, incluso los que no se dedican a la seguridad se dan cuenta inmediatamente de la torpeza. Más aún cuando si yerras en este registro, puedes repetir y repetir sinque se hayan aplicado técnicas para evitar un ataque de diccionario.
Te gustaría que un banco te permita acceder a tu cuenta por internet con simplemente registrarte poniendo tu cédula y un número de dos cifras (de 00 a 99, aunque bueno, reconozcamos que podían ser algún tipo de letras también). ¿Y que no te limitara la cantidad de intentos a 3 ó 4, sino que fueran más, o incluso infinitos intentos? Esto es básico en seguridad y casi todo sistema moderno evita que tú autentiques con una clave de dos dígitos.. además que evitan que intentes infnitivamente (ataque de diccionario) la entrada a un sistema.
¿Qué pensarías de ese banco? ¿Qué pensaría la sociedad y los entes de control? No dudes que el reclamo sería generalizado e inmediatamente se tomarían medidas para que esto se evitara, por parte de todos.
Qué pensarías si ese banco entonces dice, ok, de momento para autenticarte, tendrás que hablar con una persona la cual determinará si tú eres tú. Yo comento: Esto puede ser sujeto de un trabajo de ingeniería social igualmente para lograr el acceso, definitivamente un poco más complicado, pero viendo lo que ha ocurrido en la historia de internet no es imposible.
DINARDAP lógicamente trata de calmar cualquier duda con comunicados que se refieren en palabras a la seguridad del sistema etc. A algunos que sí conocen de sistemas (que no son solamente usuarios de los sistemas sino que ven y piensan en los sistemas que están usando) simplemente esto no les convence, lógicamente no son la mayoría de los usuarios, son una minoría que igual debe ser escuchada. Qué quisieran oir muchos de la dinardap? Que en vista de lo sucedido se han auditado los sistemas de ellos, que no se encontraron intrusiones usando la misma técnica (o que sí se encontraron y están investigándose), que se están tomando medidas no solamente temporales sino más formales (definitivas?) sobre el proceso de registro, en fin, que se emita un comunicado con temas técnicos que nos dé incluso la posibilidad de poder aclararle a los que no conocen, poderles decir: En vista de lo que hemos visto de la auditoría o lo que nos han resumido de la auditoría, nos parece que ha mejorado totalmente (enormemente, completamente, etc) el proceso de registro y pueden estar seguros que algo así ya no ocurrirá, etc, etc. En fin, que indiquen cómo se trabajó este problema para que nosotros seamos también parte de la solución, ayudando a comprender a cualquier persona que no conozca, lo que se realizó por el bien de todos.
Todo lo que indico en el párrafo anterior es independiente de que efectivamente el sistema pueda ser en sentido general muy seguro o no y sólo me queda confiar en que así sea pues no es mi área el mirar las fallas de un sistema.
Por otro lado la población en general no comprende en su mayoría el impacto de un problema pues quizá andan con otras preocupaciones más terrenales, eso es normal, internet sigue siendo un terreno nuevo y las personas que son usuarios de internet no perciben todavía peligros en internet (en sentido general), y el proceso de educación tomará mucho tiempo.
Como persona que anda en este medio, con años oyendo y viendo temas con patrones similares me pregunto de forma respetuosa: si esto es o fue un problema grave en el registro (porque lo es o fue por más que se intente puntualizar el caso) ¿Qué otros problemas habrán?
Pido que se comience a utilizar Software Libre, el software es de todos, y debemos tener derecho a verlo para que públicamente auditemos el código, es una parte de la solución.
URGE respetar el decreto 1014 ya BASTA de seguir comprando sistemas privativos que no nos permiten verificar el código. Igual para el resto de organismos.
El que un código esté disponible no hace un sistema más inseguro, al contrario, más seguro pues miles de ojos verán y reportarán problemas. Fíjate cómo usando un software privativo como el que tiene dinardap, incluso se detectaron problemas como este que es de concepto sobre cómo registrarse… cuántos más no se podrían reportar si pudiéramos acceder al código. Mil cabezas piensan más que 10. 10mil cabezas piensan más que 100. Es un código por el que pagamos todos los ciudadanos, y tenemos derecho a verlo.. es un dato público, pubíquenlo!
Sugiero además nunca aplicar la tecnica del avestruz ante un reporte de una falla de seguridad por mínima que parezca, nunca. Y mucho menos llamándose con un nombre tan importante como “seguro”… dato publico, etc. Esto a algunos les suena “provocativo” en serio!
Si hay una falla, no es que tiene que ser precisamente un ataque de la oposición, no es un problema exactamente político. No es que lo que esté bien es del partido X y si alguito no está bien entonces estás contra el partido Y o cosas así, no no no!; es simplemente una falla, y corregirla es lo más honesto que podría hacerse. Nadie es perfecto, y reconocer un problema nos hace crecer. Para mi vale un millón de veces más alguien que honestamente corrija su error a alguien que lo oculte. Ocultar que hay un problema es algo negativo… porque el problema persiste y a la final, termina descubriéndose. Y para mi es tremendo plus que alguien diga: Sí, gracias por reportarlo, hemos corregido el inconveniente.. y ya.
Para finalizar, como comentarios ya de cómo viví estos días:
Me enteré tarde ese día 30. Pues estaba de viaje. Realmente me dió una angustia tremenda. PaulCoyote es alguien que aprecio por su trayectoria en el foro de EcuaLug y uno se siente tan mal cuando ve reacción aumentada (overreaction) por parte de quienes creen tener la razón de la justicia.
Como tema quizá anecdótico twitter: tuve que volver a usarlo, fue una excelente vía de demostrar nuestra reacción contra esa acción. Pero caramba tuve que aprender a la carrera pues le uso poco. Pero seamos claros: la reacción de la twitosfera (será así) era abrumadoramente a favor de paulcoyote… abrumadora! Es más, creo que ni los “bots” no los “trolls” hablaban… la mayoría con mucho respeto. aunque no me gustó que siempre hubieron algunos oportunistas tratando de obtener rédito político de un tema que debió haberse manejado fuera de la política.
Otra curiosidad: el mismo día que salió el post, le avisé a un amigo del mundo de la prensa y recibí el silencio por respuesta. Eso pasa porque todavía no consideramos los eventos informáticos como algo importante en la vida diaria o de impacto para la población, etc. Más importante es el tema de la falsificación de firmas en el tema de los partidos, del accidente de hace un año del avión de TAME o de los muchos temas trillados y normales del día a día de la prensa.
La prensa se entera por la posición del dinardap de acusar y de los entes de la justicia de actuar “apegados a la ley” ahi sí se enteró la prensa! Varios días después lo juro!
¿La plena? No se hubieran enterado si del dinardap simplemente le hubieran llamado en privado a paulcoyote: a ver amigo, reunámonos para oir sus planteamientos. El estado es de todos, y debemos oir los comentarios y quejas de todos. Incluso si el dinardap hubiera ignorado lo publicado, la prensa no hubiera dicho nada.
A veces me parece que las noticias son las mismas en todos los medios, como que encuentran como llenar los espacios noticiosos y ya.. no hay quien hable de temas digamos propios, sino que se siguen líneas de trabajo muy similares. Y por tanto nadie habló de paulcoyote hasta que no se armó la grande con prisión y todo. A qué el fin de semana en la sección informática de los medios que toque hablarán de esto? Luego seguirán hablando de la última MAC que salió o cosas así.
Sobre este tema: muchos en estos medios se limitaron a copiar la información que de un lado se publicaba, algunos en verdad pusieron enlaces al post de paulcoyote y no se hizo un análisis de lo ocurrido. Simplemente se orientó todo al penoso tema del arresto y prisión preventiva por 45 días. Pero no conozco que se llamó a conocedores o especialistas en el tema, a amigos del apresado para que dieran también su opinión y de aquí poder obtener más conocimiento. De la suma de todas las “verdades” pueden salir cosas buenas!
Y a hablar de “hack”, fue ingeniería social, cualquier persona con 3 dedos de frente podía pensar y muchos pensamos lo mismo! Nadie analizó que en efecto era una falla, porque si no hubiera sido una falla él no se hubiera apropiado de la identidad de otro ciudadano. Nadie llamó a alguien relacionado con estos temas o con temas de redes.
Hacker es “cacharrero” en español. Aquel que inventa cosas con aparatos viejos, que reutiliza sistemas, combina conocimientos para lograr que X e Y sistema funcionen haciendo Z cosa, etc.. eso es un cacharrero. Me ofende cuando piensan que hacker es “malo”… ese no es un hacker, es un cracker.
Comentario al margen: 45 días? Acaso se escapará él? Es un delincuente tan jodido que hay que apresarlo 45 días? Si públicamente él indica lo que realizó y los motivos por los que lo hizo! Él no robó un millón de dólares, ni asesinó a nadie, publicó una falla que por demás el personal de seguridad de la misma institución debía haber encontrado! Actuó de buena fé, para ayudar. No fue a burlarse ni a publicar info privada.. fue a reportar un problema. La justicia todavía tiene que mejorar en lo que es temas de informática.. apresar por 45 días a alguien que publicamente indica lo que hizo, que no va a escapar con lo robado, que tiene una vida, que siguió trabajando y viviendo.. qué falta de sentido común. Por favor, la justicia no es sólo leyes, es también sentido común. Y un Viernes apresarle, no el lunes, el viernes.. ahora no saldrá hasta el lunes porque supongo que eso sí.. no habrá quién le libere un Domingo no?. Qué bien, ¿no?
Sobre el primer comunicado de la DINARDAP sobre el hecho, me parece que pudieron haberlo hecho mejorcito. Quizá los hechos están simplificados para que la gente entienda que ellos no han cometido errores o no tienen problemas graves. Pero PaulCoyote aplicó ingeniería social y sí entró al sistema con una identidad de un usuario y se entiende entonces que otros pueden haberlo hecho también, sin conocimiento del usuario.. ahi está lo que paulcoyote demostró.
En el comunicado me pregunto: En qué lugar se comprometen a auditar el sistema? A publicar su código? En qué lugar reconocen que deben o que estén comprometidos para el continuo mejoramiento del sistema. En qué lugar indican que han abierto una investigación interna? Que harán un llamado a colaboración del público o de especialistas en el tema para revisar el código? Para mí hubiera sido excelente haber oído que lo van a hacer.
Sobre EcuaLUG
EcuaLUG es un foro sobre Linux, donde lógicamente se trabajan muchos temas de Software Libre se trata de ayudar a la persona que quiere ser ayudada con sugerencias y demás sobre Linux y Software Liber si lo presenta.
En EcuaLUG nos caracterizamos por tratar a nuestras formas de ayudar. Nos sentimos muy preocupados por el post y posteriormente por las acciones tomadas contra quien quiso ayudar. Enseguida Richard que es la persona que ideó y durante todos estos años ha mantenido el sitio EcuaLUG le puso en primera plana para mantener la atención viva.
De mi lado realmente me entero luego de llegar a Cuenca, almorzar, irme al hotel… ahi me pongo a hacer unas pruebas en un tema que estamos trabajando y de repente noto infinidad de accesos continuos al sistema.. entro al sitio web y veo lo popular que se hizo el post.. y ahi me entero de la detención.
Supongo que Richard que es el webmaster y de él es la idea del sitio, no toleraría nunca acciones indebidas en el sitio. Y lo digo porque no puede caber la menor duda de que es un foro de muchos usuarios, y nos dedicamos a temas mayormente técnicos, relacionados con software libre y Linux. Son muchos años manteniendo un sitio, es la comunidad de SL más vieja del país y es para ayudar.
Otras acciones que ví este fin de semana: defacement a sitios del país. no me puedo sentir orgulloso de que les hayan vuelto a hackear a ciertos sitios como reportaron en twitter (otra vez la ame.gob.ec dicen!!). Me da nuevamente pena, pero de esto he hablado en los siguientes posts que he publicado. Me apena que sigan teniendo fallas triviales, pero como siempre, debo esperar a que los responsables de los sitios decidan tomar medidas adecuadas para evitar que se repitan estas acciones.
PaulCoyote está libre ya, bueno, seguro aprendió mucho de lo sucedido. Por favor tenemos que idear una vía de reportar los problemas para que los responsables les corrijan.
Actualización: Esto también es ingeniería social. Lo que no significa que el sistema sea inseguro sino que no estamos tomando medidas contra la ingeniería social, o capa 8.. la capa más compleja del modelo osi… ahí las fallas!
Like this:
Like Loading...
