Archivo

Entradas Etiquetadas ‘Hacking’

Ética y seguridad en tiempo de elecciones, hackers y credibilidad

Viernes, 4 de mayo de 2012 14 comentarios

Este post es producto de la fusión de varios temas que tenía en planes. Quería hablar sobre ética del informático, quería hablar sobre seguridad, quería hablar sobre política, y de pronto tengo todo en uno. Gracias a Acento por publicar el tema político.

Sobre la ética del informático:

A diferencia de otras profesiones colegiadas como el derecho, contaduría, medicina o ingeniería en las cuales se requiere una licencia y adhesión a un colegio profesional, el informático ejerce en una relativa libertad sin las ataduras típicas que conllevan aquellas. Suele ser común que los contratos privados incluyan  acuerdos de confidencialidad (conocidos como NDA), ante la carencia de regulación. En las empresas que se dedican exclusivamente al desarrollo de software, esto se hace con acuerdo entre el proveedor y el cliente. Los términos del contrato suelen definir el tipo de relación, la información que manejarán, los derechos y restricciones que corresponden, siempre de acuerdo al tipo de proyecto en curso.

Por otro lado, cuando el informático ejerce su carrera como auxiliar, típicamente adjunto en una empresa que se dedica a otra rama, obtiene acceso a una amplia variedad de información no tipificada como informática, información propia del negocio y clientes; está obligado a cumplir con el mismo código de ética que el profesional para quien trabaja. Si su jefe es un abogado, debe cumplir con las mismas obligaciones que su jefe; si trabaja en un hospital debe respetar la confidencialidad médico-paciente.  El informático hereda las responsabilidades y deberes.

Sobre la seguridad informática:

Con frecuencia nos toca manejar “papeles” e información cuyo valor real no conocemos y/o apreciamos. Un mensajero puede llevar un documento que para él quizás sea otro documento mas, pero quizás para el destinatario tenga un valor millonario. Ejemplo de esto fue cuando a finales de 2008 el presidente Leonel Fernández envió via mensajero en motocicleta el proyecto de presupuesto nacional para 2009. Ese mensajero quizás no tenia idea de que en sus manos estaba el plan de gobierno para todo un año.

El informático debe ponderar que la información que maneja puede ser valiosa, inestimable, para su cliente, su jefe, o los clientes del jefe, o cualquier persona involucrada. Es por ello que el informático debe velar porque los datos bajo su responsabilidad se mantengan bajo la mas estricta confidencialidad, a menos que por su naturaleza se destinen al consumo del público, y aún en dicho caso debe hacerse bajo la supervisión adecuada.

Lo normal, la regla, en los paises civilizados, es que la información personal sea privada y solo accesible a quienes necesiten acceso para ello. Un ejemplo notorio fue cuando el actor George Clooney tuvo un accidente en motocicleta y 27 empleados del hospital fueron suspendidos por acceder a su historia clinica sin autorización. Es lo normal: no puedes acceder un dato a menos que lo necesites. Otro ejemplo, también en California: si alguien puede acceder los recursos de una empresa mediante hackeo, robo, etc. dicha empresa debe notificar por escrito a todos y cada una de las personas cuyos datos hayan estado en riesgo.

En nuestro pais no existe una Ley de Protección de Datos  que garantice la privacidad de la persona (que alguien le lleve la idea a Pelegrin Castillo, por favor). Y aunque tenemos la Ley 53-07 sobre crímenes y delitos de alta tecnología, esta no hace referencia a la privacidad y protección de los datos personales, como el derecho a que tu fecha de nacimiento, tu numero de cedula, etc. no sean públicas. El estado mismo incumple este tipo de regulación cuando permite que una búsqueda por nombre en Google devuelva un resultado con cédula y demás datos. Esto es fácilmente evitable sin necesidad de eliminar la cédula, pero ese es otro tema.

 

El informático, la ética, la seguridad y la política:

En un pais medianamente civilizado los datos de sus ciudadanos son celosamente protegidos, el acceso a los datos personales es restringido solo a aquellos que lo necesitan y mediante los mecanismos adecuados. En nuestro país algunas instituciones públicas disponen del padrón, empresas privadas como bancos, telefónicas y empresas crediticias también obtienen acceso con el pago adecuado, además de los partidos políticos. Y por alguna brecha que siempre queda abierta, cualquiera con un mínimo de de esfuerzo puede conseguirlo con relativa facilidad.

Basta una búsqueda en Google; una muestra palpable de ello es por algún descuido, negligencia o dejadez una empresa privada lo coloca en su web con acceso público:  buscar el padrón en Google y rápidamente llegaremos a una de las varias páginas donde puedes descargarlo: http://galenosystem.net
Solo necesitas descomprimir e  instalar un servidor de base de datos en tu PC.

galenosystem-net__0

Esta es solo una manera fácil y rápida de conseguirlo para quien quiera usar google. Cualquiera con 5 mil pesos podría conseguirlo en el mercado negro, y esto es algo muy preocupante, pues se trata de información personal, privada, sensitiva, de todos nosotros:

Datos públicos de 6.27 millones de personas

En tiempos de elecciones, y más unas elecciones con tantos incidentes como estas, es más que preocupante que un documento de este tipo ruede de mano en mano. Veamos porque:

Danilo Medina

Danilo Medina

Hipolito Mejía

Hipolito Mejía

Por un lado está el riesgo que implica que los datos personales de todos los ciudadanos, incluyendo nombre, dirección, teléfono, fecha de nacimiento, etc. estén disponibles en una entidad privada quizás autorizada a usarlos, pero no a distribuirlo, no con esta facilidad. Abogados conocedores de la legislación vigente aseguran que es totalmente ilegal, que no existe razón alguna para que una empresa privada permita que dicha información sea accesible públicamente. Más aún: la misma JCE limita el acceso a instituciones del sector gubernamental y financiero.

Recuerdo que hace unos años hubo un pequeño escándalo cuando oficiales de las fuerzas armadas solicitaron una copia del padrón a la JCE para uso interno, la cual fue negado por la JCE y provocó un episodio de esos a los que estamos acostumbrados.

Por otro lado están las dudas e inconsistencias que surgen al analizar los datos que se encuentran en el padrón disponible mas arriba, los cuales quizás no estén al dia, pero aún así son casi 6.3 millones de personas en esa lista.

Al hacer un análisis rápido surgen algunas interrogantes que ponen en duda el trabajo de la JCE, las posibles pretenciones de algún partido, la eficacia de instituciones de seguridad nacional y/o quienes están dándole uso a dicho padrón. Veamos:

Una consulta de un nombre común, por ejemplo todos las personas cuyo primer nombre es “Juan” y su primer apellido es “Pérez” arroja 3,720 resultados, hay 3,720 Juan Pérez o Juana Pérez en el país. Haciendo una búsqueda de cuales de esos Juan Pérez donde coinciden en nombre, apellido, fecha y lugar de nacimiento, arroja 68 personas, cada una con 2 cédulas (osea: 136 resultados). Con un nombre menos común, como Manuel González arroja 636 resultados, de los cuales 4 corresponden a personas con 2 cédulas (osea: 8). Veamos:

Duplicados del nombre Manuel Gonzalez
Duplicados del nombre Manuel Gonzalez

Cabe preguntarse: ¿Cuantos duplicados existen? ¿Se corrigieron? ¿Cuando? ¿Votarán en estas elecciones?

Ante estas preguntas lo procedente es verificar; al tomar una muestra aleatoria de 17 de los 68 pares de Juan Pérez (un 25%), se pudo confirmar en la web de la JCE  http://consultacedulados.jce.gob.do/web/CONSULTAPADRÓN.aspx que al menos 3 de ellos tienen sus 2 cédulas hábiles para votar el proximo 20 de mayo, es decir se confirmaron 6 cédulas válidas de 34 muestras:

JUAN CARLOS PEREZ LIRIANO / 1974-05-30 / MOCA
054-0082308-3 y 054-0115192-2

El señor Pérez Liriano, nativo de Moca, nacido el 30 de mayo de 1974, parece tener 2 cédulas ¿o son dos gemelos con el mismo nombre?
Curiosamente ambas cédulas son válidas.

perez-liriano-0

perez-liriano-054-0082308-3

perez-liriano-054-0115192-2

JUAN PEREZ PINEDA / 1963-02-27 / VICENTE NOBLE
079-0001874-3 y 079-0000277-0

perez-pineda-0

perez-pineda-079-0001874-3

perez-pineda-079-0000277-0

JUAN RAMON PEREZ BAEZ / 1955-10-20 / RIO ABAJO SAN JOSE DE OCOA
013-0004742-8 y 013-0003406-1

perez-baez-0

perez-baez-013-0004742-8

perez-baez-013-0004742-8
Está más que claro que existe una cantidad indeterminada de personas con mas de una cédula, en capacidad para votar.

Tomando esa muestra y extrapolando se puede inducir que posiblemente más de un 1%  de los votantes tiene 2 cédulas con números diferentes, lo cual podría fácilmente superar los 100 mil personas.

De la muestra tomada se pudo verificar que más de un 15% de las duplicadas son actualmente válidas para votar en las elecciones del próximo 20 de mayo. Y  se trata de un padrón aparentemente obsoleto, quizás de las últimas elecciones. ¿Como lucirá el nuevo? ¿Aún contiene los mismos errores sin depurar? Se puede verificar que aún contiene al menos algunos viejos duplicados.

Estamos hablando de que los resultados pueden alterarse, y no es hackeando las redes de la telefónica como temía el Presidente de la JCE. No es violentando electrónicamente, sino aprovechándose del factor humano, el descuido en la depuración y la duplicidad de cédulas, algo fácilmente detectable.

Ahora podemos obviar el tema electoral y preguntarnos ¿Cual es la posicion de las autoridades ante una situación así?

Respecto a la página web donde está el padrón:
La JCE fue notificada de la situación el dia 21 de marzo.
El Departamento de Investigación de Crímenes de Alta Tecnología fue notificado el dia 22 de marzo.

Las elecciones se acercan y aún todo sigue igual. Al parecer, todo indica que para las autoridades tener esa información en línea es perfectamente legal. A pesar de que abogados consultados aseguran que no lo es.

Es preciso aclarar nuevamente que toda esta información es accesible públicamente. No hay que ser un genio ni un hacker para obtenerla, pues simplemente está abierto, solo hay que saber usar un buscador, como Google.

Mientras tanto, la JCE hace allanamientos buscando 1,500 personas que han sacado mas de un duplicado, los cuales “Solicitaron 18,791 duplicados; entre 10 y 58 por persona”. Los allanamientos apuntaban a 146 personas en particular. La JCE persigue ahora a personas que solicitaron (y obtuvieron) multiples cédulas entre los años 2001 y 2006. Esperaron que pasaran 5 elecciones, y 6 años para perseguirlos ahora, y así aparentar que están trabajando y obtener buenos titulares.

Los datos del padron en cuestión desmienten la cifra de 1,500 que da la JCE, pues solo Juan Pérez y Manuel Gonzalez son 72, de una muestra de 4,356 cedulas al menos 72  (¿o 144 si contamos 2 cédulas por cada uno?) merecen ser investigadas (alrededor de un 1.65% de la muestra analizada), lo cual extrapolando a los 6.5 millones daría alrededor de 100 mil.

Mientras tanto, la JCE hace allanamientos buscando a la persona que sacó 58 duplicados:  ¿Porque no lo hizo cuando fue a sacar el segundo? ¿El tercero? ¿el 57mo? Evidentemente se van por las ramas, cuando el problema está en la raiz.

Sin dudas hay algo sospechoso en la data de la JCE.

Dejemos a la JCE, vamos al DICAT:

Aqui vemos como hace apenas una semana el Departamento de Investigación de Crímenes de Alta Tecnología se ofrece vía Twitter a ayudar a una joven a recuperar su contraseña de Facebook, al mismo tiempo que ignoran un tema de seguridad nacional: https://twitter.com/#!/DICAT_PN/status/195468391811792896

Es curioso: la joven le pregunta a una persona y el DICAT le responde a ella.

El DICAT trabjando

A veces sorprende la eficiencia con que las autoridades resuelven algunos casos, o la enorme atención que le prestan, olvidando otros quizás a propósito, igual de graves, o peores.

Pero esto no termina aquí: un partido político coloca los datos del padrón, incluyendo nombres, dirección, cédula, foto, etc. en su web de forma abierta. Aunque en otro formato y restringido para búsquedas, forma parte de sus trabajos para facilitar la verificación de sus militantes.

¿Porqué se da esta situación? ¿Donde se establecen responsabilidades? ¿Porque en 6 semanas la JCE no ha hecho nada al respecto? ¿Porque en 6 semanas el DICAT no persigue este caso, un caso serio, pero se dedica a recuperar contraseñas de Facebook y/o perseguir adolescentes para acusarlos de terrorismo? ¿Porque un partido mayoritario publica listas de ciudadanos de esa forma?

Finalmente, la pregunta del millón: ¿Bajo que excusa ocurre la publicación de los datos privados, como cédula, foto, dirección y teléfono de 6.3 millones de ciudadanos, actividad practicada por empresas públicas y privadas, ademas de partidos políticos?

Reitero nueva vez que este artículo se escribió usando fuentes públicas. Todo lo que se ve aqui puede hacerse con un navegador y conexion a internet, sin necesidad de usar siquiera una contraseña en ningún lado. 

 

Margarita Cedeño y la cuenta en Dinamarca: el tema del hacking (3/4)

Jueves, 1 de marzo de 2012 11 comentarios

“Un gran poder conlleva una gran responsabilidad.”
Tio Ben, en Spiderman

Usar un equipo de tecnología no debería ser algo para todo el mundo, al menos para personas de alta jerarquía debería ser obligatorio tomar un curso básico que le permita conocer las normas esenciales de seguridad y sentido común. La familia presidencial desconoce el poder de un móvil conectado a internet.

Este es quizás el tema principal, el que mas morbo atrae, porque suena de pelicula, incluso el titular suena adecuado hasta para Hollyoowd: “Hackearon servidor en caso primera dama”. Decirlo en voz alta suena a muchos periódicos vendidos; en el barrio suena a algo que todo el mundo quiere saber, para un informático conocedor de la seguridad online suena a puro disparate.

Leer más…

¿El supuesto hacker de la primera dama?

Miércoles, 29 de febrero de 2012 7 comentarios

Este pais es un circo, la verdad que si.

Hoy se publica una historia en Acento donde Yasir Pérez, el ex-agente de la DNCD vinculado por el gobierno con el escándalo por los correos del #MargaritaGate desmiente que sea objeto de investigación o que sea buscado por algún cuerpo investigativo. La entrevista, publicada en Acento, es bastante florida y explícita. Además complica el hecho de que el ex-jefe de la policía General Rafael Guillermo Guzmán Fermín y el Sub-Director del DNI y escolta del presidente Leonel Ferández el señor Victor Manuel Crispín Zorrilla visitaron la ciudad de Miami para investigar al supuesto hacker (Yasir Perez).

Leer más…

Margarita Cedeño y la cuenta en Dinamarca (1/4)

Miércoles, 22 de febrero de 2012 Sin comentarios

Tengo varios días pendiente de referirme a este tema, lo había evitado, era preferible evitarlo, pero debo desahogarme un poco. A continuación mis consideraciones respecto al tema que tiene al pais como avispas revolteadas.

Espero tratar este tema in extenso, considerando cada uno de los factores, hechos e implicados. En este post resumiré lo que veo, desde mi óptica, y para sorpresa de nadie mis conclusiones adelantadas.

El escándalo de la primera dama (conocido como el #MargaritaGate en las redes sociales) quizás sea el tema del año, quizás pase a la historia con más relevancia que las elecciones mismas. Tal como lo veo, creo que es una oportunidad de oro que ha tenido el PLD para salir airosos en las próximas elecciones. Hasta el momento, la forma en que ha sido tratado el tema los ha llevado en via contraria; de hecho el gran ganador de la batalla, hasta ahora, es el PRD que ni siquiera ha tratado de sacarle provecho político.

Leer más…

Privacidad, Términos de uso y el #ClaroGate

Viernes, 29 de abril de 2011 11 comentarios

Todo el que ha tomado en serio lo que hace en internet sabe que la privacidad es algo mucho mas serio de lo que parece. No se trata de lo que puedan averiguar de ti, sino lo que alguien puede hacer con esa información. Muchos no nos preocupamos, hasta que nos llega el golpe.

Una muestra del #ClaroGate del 29/04/2011

Una muestra del #ClaroGate del 29/04/2011

Hoy salió a la luz pública una “pequeña falla” en los servicios de Claro-Codetel, mediante la cual miles de mensajes SMS estaban disponibles al público.

Rápidamente la filtración se bautizó en Twitter como el #ClaroGate#ClaroLeaks regándose como pólvora en las diferentes redes sociales.

Los mensajes filtrados son aquellos enviados desde la web que se quedan disponibles (teóricamente) durante unos 5 minutos adicionales después de enviados.

 

 

 

Mas detalles al respecto en:

http://ejercitogeek.net/2011/04/%C2%BFque-es-clarogate-claroleaks/
Ejército Geek

http://40limon.es/index.php/2011/04/el-clarogate-y-la-pirrica-respuesta-de-claro/
40 Limones – Blog de Darío Martínez Batlle

Tres muestras del desastre:

 

 

Concentrémonos en lo que importa: el aspecto legal y la privacidad de las comunicaciones.

En un país civilizado es improbable que algo así suceda; cierto que pasa cada rato, pero no de la manera tan descuidada y vulgar que acaba de suceder. Además en otros paises existen leyes que protegen la privacidad de sus ciudadanos y cada empresa esta obligada a cumplir con ciertos parámetros frente a sus clientes.

En su página tienen unos “Términos y Condiciones” que dan pena. Los tomaron de alguna página cualquiera, es un cálculo de miles de páginas que los tienen con la misma redacción y sólo cambiaron el nombre (búsqueda de los términos de uso de claro en Google), en otras palabras una enorme irresponsabilidad de una empresa del calibre de Claro, no entiendo como pudo pasar algo así.

Si nos fijamos en los términos hay algo que da escalofríos: es anacrónico, improcedente y no tiene nada que ver con los servicios de la página. Existen además los siguientes enlaces que tampoco tienen nada que ver con el uso de la página: Política de PrivacidadPolítica de uso

La escasa referencia que hacen es que el usuario acepta que cualquier cosa puede suceder. No mencionan un tercero ni la privacidad de los mensajes. Si alguien me envía un mensaje este llega de forma anónima, la web no muestra quien lo envió, pero muestra mi número como receptor, y se publican íntegramente los mensajes recibidos. Muchos de estos mensajes poseen información comprometedora. Al menos uno contiene información completa de una tarjeta de crédito, la mayoría contiene información personal que pueden provocar serios problemas de pareja.

Si un usuario que para el sistema es anónimo, envía un mensaje a mi número soy yo quien queda expuesto, y no he sido yo quien acepta los términos de marras.

Esto me lleva a preguntarme: ¿Que tipo de analfabeta funcional decide en una empresa líder en las telecomunicaciones de un país?

¿Porque una empresa como Claro no se protege?  ¿Cómo se ganan el sueldo sus abogados? Y sobre todo: ¿Cómo se ganan el sueldo sus programadores?

 

El #ClaroGate y la calidad educativa dominicana

Mas mensajes del #ClaroGate

Mas mensajes del #ClaroGate

Si algo dejó al descubierto esta filtración es el bajo nivel educativo de la población en general. Tenemos miles de SMS enviados por diferentes personas en diferentes fechas y horas, diferentes lugares, y la gran mayoría comparte un denominador común: la escolaridad promedio parece no superar el cuarto curso de educación básica. A juzgar por la ortografía de esos mensajes es penoso, dan ganas de llorar.

Quienes alegan por el 4% ahora tendrán una prueba en las manos de que simplemente NUESTRO SISTEMA EDUCATIVO NO SIRVE. Y que no venga Melanio Paredes a decir que la calidad es buena, ni Leonel Fernández a citar una adulteración del Informe Attali, creyendo que nos tragaremos su cuento, como si todos tuviéramos la misma escolaridad que quienes enviaron los mensajes.

Si tomamos una muestra de esos mensajes (enviados desde computadoras, no teléfonos, no hay excusas) entonces no queda mucho que hacer, estamos perdidos. Recordemos nuevamente que al enviar esos mensajes desde una PC no hay excusa para la ortografía pues todos los navegadores soportan corrector (Internet Explorer, Firefox, Chrome, Opera, Safari, etc.)

 

¿Qué uso le damos a las telecomunicaciones?

Vagabunderías: sexo, chisme, disparates.

El Indotel se ufana de que tenemos una teledensidad de 100%, la primera dama sale a predicarlo en los foros internacionales, Leonel se ríe de oreja a oreja al cerrar la brecha digital, y yo me pregunto como siempre ¿De que nos sirve tanta tecnología?

Al juzgar por los mensajes capturados (pude analizar varios miles, en al menos 3 rangos de fechas diferentes y todos son lo mismo), el uso principal que se le da es para pelear en relaciones fallidas, hablar de sexo, demasiado, coordinar infidelidades, criticar parejas, vecinos, familiares, etc. y algunos (muy pocos) lo usan con fines no tan profanos, como el pastor de una iglesia que se pasó 2 días enviando recordatorios a sus feligreses por unas boletas de un viaje que debían pagar, o el estudiante que recibía una narración completa  sobre historia de la cultura occidental, obviamente un chivo.

El uso de los SMS para cosas realmente importantes es prácticamente NULO.

Aunque debo admirar al menos a 3 personajes que escribieron mensajes muy bellos a personas que obviamente aman, muy bien redactados, muy expresivos, muy originales; pero son sólo 3, menos del 0.1% del total de mensajes.  Es una pena.

Actualización (9:50pm):

Los datos filtrados son curiosos desde el punto de vista lingüistico, pues tal parece el móvil es la principal herramienta de seducción.
No tengo a manos las estadisticas demográficas de los clientes por proveedor, pero puedo decir sin temor a equivocarme que un porcentaje extremadamente alto (quizás mas del 75% de las mujeres menores de 30 años) tienen su móvil personal en Orange, puedo afirmarlo categóricamente en cuanto a mi circulo, las personas que conocido en los últimos 5 años.
Me pregunto como hubiera sido en Orange, con tantas mujeres…

 

El papel de la prensa

Por último, pero no menos importante, es el penoso papel que ha jugado la prensa. Esto sucedió en la mañana, y esta es la hora en que ningún medio electrónico tradicional se ha referido al respecto. Tampoco lo han hecho la mayoría de los blogs, y se entiende: nadie quiere publicar algo que afecte sus anunciantes. Sólo algunos blogs rebeldes que no se venden, han hecho alguna reseña al respecto, pero se les conoce por haberle plantado la cara una y otra vez a las telefónicas.

Mensaje de Claro en Twitter #ClaroGate

Mensaje de Claro en Twitter #ClaroGate

Y para colmo, Claro lo presenta como si hubiese sido un inconveniente menor, que sus técnicos “resolvieron” en menos de una hora, cuando la verdad es que AÚN NO LO HAN RESUELTO y para mas desvergüenza aún es algo que tiene meses así.

Actualización 30/04/2011 3:28PM
Por fin algo en la prensa. El periódico El Nacional publicó una escueta reseña totalmente disparatosa, y sin sentido: http://bit.ly/clarogate-elnacional