Descargar todas las fotos del Padrón Electoral Argentino

octubre 28, 2013 § 5 comentarios

Luego de las elecciones primarias en argentinas (PASO) el 11 de agosto pasado, desde Segu-Info hemos denunciado a ArCERT que era posible la descarga masiva de las fotos de todos los ciudadanos argentinos que hayan tramitado el nuevo DNI (aproximadamente el 30% del país).
Desde ArCERT nos han respondido que el reporte fue enviado a la Cámara Nacional Electoral (CNE) para su revisión. Ahí terminó todo, sin solucionar nada.

Tres meses después el problema persiste. Finalizadas las Elecciones Legislativas (del pasado domingo 27 de octubre), habiéndose conocido una acción de amparo de la Asociación de Derechos Civiles (ADC) contra la CNE y siendo que el padrón ya no se encuentra en línea para consultas, he decido hacer público el problema.

Cualquiera que haya consultado la mesa en que le corresponde votar en el sitio padron.gob.ar, y que previamente haya tramitado su nuevo DNI, habrá notado que junto a la información electoral, aparece su foto:

¿A alguien le preguntaron si se podía publicar su fotografía? No, la publicación de dicha fotografía se hace pública sin el consentimiento del titular.

Efectivamente, como indicaba ADC ayer, “la exhibición y disponibilidad de tales fotografías en Internet viola el derecho a la privacidad de todas estas personas… la publicación de las fotografías en un sistema de acceso abierto pone en riesgo la autonomía de las personas en tanto les impide tener un control adecuado sobre un dato personalísimo y sensible como es la imagen de sus respectivos rostros… su publicación implica una cesión de hecho de esa información a terceros, quienes la podrían compilar e integrar a bases de datos con fines comerciales e ilícitos.”

En Argentina, el derecho a la imagen reconoce protección a través de distintos instrumentos jurídicos. Entre ellos podemos encontrar el Art. 31 de la Ley 11.723 de Derechos de Autor. En dicho texto, se establece como excepción (el principio es que la imagen pertenece a su titular, y no se puede publicar sin su consentimiento) que “Es libre la publicación del retrato cuando se relacione con fines científicos, didácticos y en general culturales, o con hechos o acontecimientos de interés público o que se hubieran desarrollado en público”. En el caso del padrón electoral, no existe algunas de estas finalidades determinadas por la ley como excepciones.
De hecho, este análisis es una adecuada puerta de entrada sobre la interpretación del problema a la luz de la Ley 25.325 de Protección de Datos Personales, otro de los instrumentos jurídicos aplicables para la protección de la imagen. De acuerdo al concepto amplio de dato personal del art. 2 de la citada ley, la imagen ES sin lugar a dudas un dato personal, gozando de las protecciones que brinda la normativa.

Debemos recordar que de acuerdo al art. 5 de la LPDP, el principio es que los datos personales sólo puede ser tratados lícitamente cuando el titular hubiere prestado consentimiento libre, expreso e informado. Es interesante señalar que el inc. 2 de este artículo detalla algunos casos excepcionales donde NO se necesita consentimiento.
Puntualmente, y pensándose en los datos del padrón electoral, se incluyó en el inc. c a aquellos “listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio“. Como puede observarse, aquí no se detalla la imagen entre los datos exceptuados de consentimiento, de manera que su incorporación y publicación irrestricta en modo público, puede interpretarse como ilícito, por no contarse con el consentimiento de sus titulares.

Finalmente, más allá del aspecto de la necesidad del consentimiento ya señalado, recordemos que el art. 4 inc. 1 determina que “los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido“.
Existe también el principio de la necesariedad de la imagen como dato en el padrón electoral. ¿Es pertinente? ¿Es excesivo? No parece ser pertinente y es excesivo, toda vez que las elecciones anteriores fueron perfectamente llevadas a cabo sin la existencia de este dato. En todo caso, si su fundamento es evitar que a través de un fraude en la identidad, alguna persona utilice un DNI alterado para ir a votar, su respuesta podría haber sido que la imagen exista como dato en las planillas de votación, pero no que estén abiertamente publicados en Internet, más aún sin las medidas de seguridad que corresponden de acuerdo a la normativa vigente (art. 9 LPDP).

En relación a este último punto, se destaca la gravedad del problema puesto que actualmente las imágenes se encuentran disponibles en un directorio público en un servidor público, lo cuál hace fácil que cualquier interesado en “robarse” las imágenes, haga un pequeño script que analice ciertos parámetros y en base a eso descargue todas las fotografías.

Es importante remarcar que aunque la consulta al padrón es sacada de línea inmediatamente después de haber finalizado el acto electoral, las fotos siguen estando en línea ya que no se deshabilita el directorio http://padron.gob.ar/fotos/… Esto ocurrió durante las elecciones PASO y, a menos que se corrija, seguirán estando en línea. Por último, destacar que el directorio que aloja las fotos no está protegido por ningún medio, no se requiere autenticación, ni se valida la descarga de las fotografías.

En base a esto es que originalmente me he puesto en contacto con ArCERT para que intercedan en la solución pero, como suele pasar en este tipo de situaciones, nada a sucedido en consecuencia y el error de la CNE persiste.

Las fotos de millones de ciudadanos siguen públicas y así el estado insiste en violar el derecho a la privacidad garantizado en el artículo 19 de la Constitución Nacional, en la Declaración Universal de Derechos Humanos y en la Ley Argentina 25.326 de Protección de Datos Personales.
Con esta ignorancia del problema por parte del estado, no es de extrañar que luego se cometan decenas de delitos con la información recolectada en línea por los delincuentes: robo de identidad, falsificación de documentación, ataques contra la intimidad, estafas…

Finalmente,  algunas pregunta adicionales: ¿quién dice que estas fotos ya no han sido descargadas y están siendo utilizadas? ¿Hay algún registro/log de descargas? ¿Quién autorizó el uso de esas imágenes en forma pública?

Actualización 14:00: al parecer han intentado “solucionar” el problema bloqueado el User-Agent de modo tal que si la petición de la imagen no es desde un navegador reconocido, la imagen no es descargada. Sobra decir que realizar un spoofing de User-Agent es trivial y por lo tanto la solución no es viable.

Actualización 30/10: en los comentarios un anónimo ha dejado una respuesta que le han dado desde la CNE.

Lic. Cristian Borghello, CISSP – MVP
Director Segu-Info

Un fallo de seguridad de Gtalk desvía mensajes a contactos equivocados (solucionado)

septiembre 26, 2013 § Deja un comentario

Hoy muchos usuarios de Gtalk, el popular sistema de mensajería de Google, están reportando un bug que ocasiona que mensajes vía chat enviados a unos destinatarios lleguen a otros. El fallo ha comenzado a reportarse apenas esta mañana y aparentemente también afecta a Google Hangouts, además de la versión tradicional del chat de Gmail.

En algunos de los casos los destinatarios son múltiples. Yo he podido comprobarlo de primera mano cuando he recibido el mensaje que un compañero de redacción envió a otro, directamente en mi chat:

Los casos se van sumando al foro de soporte de Google, aunque por el momento y en al minuto de publicar esto el Apps Status Dashboard de Google no muestra una incidencia con el servicio. Estaremos actualizando si hay novedades.

Actualización 11.38: Google confirma a algunos medios, como Gizmodo y TechCrunch que están investigando los problemas y el servicio aparece como interrumpido en el Apps Status Dashboard.

Fuente: El Diario

El supuesto ataque a los DNS de LinkedIn

junio 24, 2013 § Deja un comentario

El pasado 20 de junio algunos usuarios de la red social LinkedIn advirtieron de un sospechoso cambio en los DNS usados por la compañía.
Cuando intentaban visitar el sitio web de LinkedIn este no respondía debido a que el nombre de dominio no estaba apuntando a los servidores de LinkedIn.

Los DNS de LinkedIn, gestionados por Network Solutions fueron reemplazados por servidores de nombres del dominio ztomy.com los cuales resolvían ‘www.linkedin.com’ a la IP 204.11.56.17. Dicha IP pertenece al rango 204.11.56.0/24 gestionado por Confluence-Networks. Se da la circunstancia además que dicha compañía se encuentra en una lista negra (http://hostexploit.com/) de servidores que envían spam y/o alojan sitios con contenido phishing.

Eso hizo que muchos usuarios temieran que los DNS de LinkedIn habían sido secuestrados para robar credenciales debido a que un navegador confía en el dominio para enviar las cookies de sesión hacia el servidor web. Pensaron que la conexión se efectuaba sobre el puerto 80 del servidor erróneo, en lugar del canal seguro habitual, y que los datos de sesión viajarían en texto claro. Esto último no debería haber ocurrido ya que las cookies de sesión de LinkedIn están marcadas como “Secure” y no deberían ser enviadas a través de un canal no cifrado (puerto 80).

Esto último ya de por si llamaba la atención. Si en realidad hubiesen querido “cazar” credenciales deberían haber montado un sitio falso (phishing) sobre el que el usuario debería haberse autenticado.

Aunque LinkedIn fuese el sitio sobre el que la noticia saltó, poco a poco se advirtió que el supuesto ataque afectaba a más dominios. En concreto, y según comentó Jaeson Schultz de Cisco, casi 5.000 dominios registrados con Network Solutions presentaban el mismo problema, todos eran resueltos a la red 204.11.56.0/24.

Mientras la red se iba llenando de comentarios acerca del supuesto ataque e informaciones que se contradecían, finalmente, Confluence-Network publicó un comunicado en su página indicando que habían sido informados de lo sucedido y que estaban trabajando conjuntamente con los afectados para tratar de encontrar una solución al problema.

Finalmente la otra parte afectada, Network Solutions, comunicaba que se trataba de un error humano y no de un ataque. Al parecer Network Solutions estaba siendo víctima de un ataque distribuido de denegación de servicio y posiblemente mientras trataban de aplicar alguna contramedida configuraron erróneamente los registros que gestionan causando la resolución errónea de miles de dominios de sus clientes.

Fuente: Hispasec

Los 10 errores típicos de una PyME en materia de seguridad

mayo 31, 2013 § Deja un comentario

No cabe duda de que en los últimos años hemos avanzado mucho en Seguridad de la Información. Poco a poco, entre las empresas comienza a implantarse la idea de que la seguridad es un ámbito al que hay que prestar una atención específica e independiente, más allá de lo que muchos consideran “los informáticos”. Sin embargo, si no es bueno caer en el catastrofismo, no debemos ser demasiado indulgentes: queda mucho camino por recorrer y los avances no siempre se producen a la velocidad a la que, afortunadamente para los delincuentes, serían recomendables o deseables. A diario se producen noticias de empresas u organizaciones con una fuerte inversión en seguridad cuya infraestructura tecnológica es vulnerada, lo que da una idea del desequilibrio de fuerzas existente.

En esta línea, aun persisten muchos errores y creencias que podemos identificar como los diez errores típicos de las PYMEs en materia de seguridad y que marcan el camino a seguir estos próximos años.

1. Pensar que su información o sus sistemas no interesan a nadie. Este es, sin duda alguna, el principal escollo en la mejora de la seguridad de la información de una organización: pensar que no son el objetivo de nadie. Existen varios poderosos argumentos para desmontar esta creencia. En primer lugar, cualquier equipo es útil para las “botnets” o redes de PCs zombies controlados remotamente, sea un PC corporativo o el portátil de un adolescente; mientras pueda controlarse remotamente puede ser utilizado, con otros miles, para divulgar spam o atacar sistemas. En segundo lugar, quizá nadie esté interesado en nuestros sistemas, pero un escaneo por parte de un gusano puede detectar por simple casualidad un equipo vulnerable. Por último, muchas organizaciones infravaloran el valor de su información, tanto para la competencia externa como interna: balances contables, tarifas de precios, márgenes, procesos de producción, innovaciones, etc.

2. Creer que la seguridad es sólo técnica y por tanto sólo compete a los informáticos. Limitar la seguridad a los controles técnicos, evidentemente necesarios, conduce a descuidar aspectos tan importantes como los legales y organizativos. Gestionar las incidencias, definir responsabilidades o abordar los requerimientos de carácter legal son aspectos vitales para evitar amenazas como la ingeniería social o el phishing.

3. Un antivirus y un firewall son suficientes. Este es, principalmente, el progreso con el que introducíamos esta entrada: pocas organizaciones actualmente carecen de un antivirus e incluso de un cortafuegos. Sin embargo, esto conduce a una falsa sensación de seguridad que hace olvidar que existen otras muchas amenazas, tanto técnicas como no técnicas, que requieren la adopción de medidas más específicas.

4. Pensar que la seguridad es un producto y no un proceso. Este error persiste de épocas lejanas en las que la seguridad era un aspecto más dentro de las muchas tareas del personal del área de informática. Sin embargo, las cosas han cambiado significativamente y la seguridad ha adquirido un estatus propio. Cualquier persona que trabaje en un departamento de RRHH, producción, logística o contabilidad tiene que llevar a cabo un mantenimiento diario, ya sea actualizando sus conocimientos, manteniendo los sistemas, implantando nuevos procesos o adaptando su funcionamiento a nuevos requerimientos legales; las áreas y departamentos se adaptan a los cambios constantemente. Sin embargo, la seguridad sigue considerándose un ámbito que no requiere mantenimiento o seguimiento alguno. Nada más lejos de la realidad.

5. La confidencialidad es algo de espías y grandes multinacionales. Es cierto que los espías y las grandes multinacionales firman acuerdos de confidencialidad. Y aunque a muchas empresas todavía le suenan a ciencia ficción, eso no los hace innecesarios en el ámbito de la PYME. Tanto con proveedores, clientes como con trabajadores y en definitiva cualquier persona física o jurídica que vaya a acceder a la información de la empresa, es vital firmar acuerdos de confidencialidad cuya finalidad no es otra que proteger la información de la organización. Pocas veces un esfuerzo tan pequeño trae unos beneficios tan grandes. Ni más, ni menos.

6. No contemplar la seguridad en los contratos corporativos. Hoy en día, la hoja de pedido, sin más, sigue siendo en muchos casos el procedimiento para contratar servicios. No existe un contrato de servicios ni cláusulas de confidencialidad. No se contemplan requerimientos legales como la Ley Orgánica de Protección de Datos ni se tienen en cuenta, por ejemplo, las medidas que el proveedor puede estar aplicando sobre la información que le proporcionamos. En definitiva, la seguridad, en cualquiera de sus ámbitos, todavía brilla por su ausencia en los contratos que muchas PYMEs firman con sus proveedores y/o clientes.

7. La Ley Orgánica de Protección de Datos, esa gran desconocida. A pesar de que la LOPD lleva en marcha desde 1999 y que incluso existía un reglamento de una ley anterior que concretaba, con mayor o menor detalle, las medidas a implantar en el ámbito de protección de datos, casi catorce años después muchas empresas ignoran sus obligaciones en esta materia y algunas de las que las conocen deciden no llevar a cabo acción alguna. Ya sea por evitar sanciones o por responsabilidad social con las personas que nos confían sus datos, cualquier empresa debería adoptar las medidas necesarias para garantizar la seguridad de los datos de carácter personal de sus clientes, empleados, proveedores…

8. Mirar hacia fuera pensando que las amenazas siempre son externas. Sin ánimo de criminalizar y a pesar de lo que las noticias pueden a menudo hacernos pensar, es bien sabido en el ámbito de la seguridad que la mayor parte de los problemas de seguridad provienen de dentro de las propias organizaciones. En algunos casos, por usuarios malintencionados con los que se deben adoptar las medidas que subsanan muchos de los errores anteriores. Sin embargo, en muchos otros casos se trata de simple desconocimiento: un empleado que utiliza un USB infectado, abre un adjunto o pincha en un enlace que le llega en un correo o simplemente tira a la papelera información confidencial. En este caso, se hace imprescindible adoptar una estrategia permanente de concienciación en seguridad de la información, incluyendo al personal directivo que maneja información sensible, que evite y mitigue comportamientos peligrosos tanto para la organización como para el propio empleado.

9. Ofrecer servicios a través de Internet sin tener en cuenta su seguridad. Un servicio ofrecido a Internet es accesible virtualmente por miles de millones de personas, algunas de las cuales no tendrán desde luego buenas intenciones. Sin perder de vista los requerimientos legales necesarios (y en muchos casos bastante sencillos de cumplir) que ya hemos visto, la historia se repite una y otra vez: entre otros, servicios que contienen formularios vulnerables a ataques que ya existían hace una década o servidores web incorrectamente configurados… o directamente sin configurar.

10. Descuidar la gestión de la red y los sistemas. Por último, pero no menos importante, muchas empresas todavía descuidan de manera continuada el mantenimiento de la seguridad de sus servidores y redes, lo que conduce a dispositivos de red vulnerables, puntos WiFi que permiten a una persona al otro lado de la calle acceder a nuestra red corporativa, bases de datos de uso interno accesibles desde Internet, o servidores sin actualizar desde hace años. Sin entrar en que esto además conduce a la ignorancia más absoluta sobre lo que sucede en las infraestructuras de la organización, donde un intruso puede por tanto campar a sus anchas. El resto queda a la imaginación.

Este decálogo de errores típicos, más habituales de lo que cabría pensar, podría sin duda ser completado con muchos otros problemas más específicos que las PYMEs cometen a diario. Sin embargo, si en unos años pudiésemos tachar al menos la mitad de estos errores, ya habríamos avanzado mucho en la seguridad de nuestras empresas.

Fuente: Security Art Work

Parche de Java, es parcial

enero 14, 2013 § Deja un comentario

Luego de saberse de la actualización de Java que publicó ayer Oracle, varias voces han señalado sobre que esta es una solución parcial. Y la difusión incompleta, no oficial, sobre este tema causó inicalmente cierta confusión, como lo explica @FaustoCepeda en su blog. También Esteban Guillardoy en el blog de Inmunity aclara el tema brindando detalles técnicos.

En resumidas cuentas el problema es el siguiente como explican en Bugtraq:

The new attack is a combination of two vulnerabilities. The first flaw allows to load arbitrary (restricted) classes by the means of findClass method of com.sun.jmx.mbeanserver.MBeanInstantiator class. (issue 50)

The second issue abuses the new Reflection API to successfully obtain and call MethodHandle objects that point to methods and constructors of restricted classes. (issue 32)

O sea la explotación activa conocida, de lo que era el 0-day, involucra la explotación de dos fallas distintas, la primera que fue emparchada parcialmente en octubre y la segunda, que solo afectaba a Java 7u10 y anteriores, que fue emparchada ahora.

Con el parche liberado ayer, la explotación conocida ya no es posible. Aun queda la otra falla (conocida como issue 50) sin resolver.

Fuentes:

Raúl de la Redaccion de Segu-Info en base a las fuentes.

Falso positivo de OpenDNS bloquea acceso a varios home banking en Argentina (solucionado)

septiembre 25, 2012 § 2 comentarios

Tomamos conocimiento de un problema que afecta a los usuarios de OpenDNS y que les impide acceder a su HomeBanking, si su banco opera en la RedLink.
Al intentar acceder al homebanking los usuarios ven esta pantalla y no pueden acceder a su banco:

El problema se debe a que desde el 21 de septiembre pasado se catalogó, equivocadamente, como phishing un sitio auténtico del Banco Industrial, uno de los más de 30 bancos que opera en la RedLink, una de las dos principales de Argentina.

Aquí se ve el caso que origina este Falso Positivo de phishing que afecta el acceso a tantos homebanking:

Desde Segu-Info hemos reportado el caso de falso positivo a Phishtank, el sitio de reportes de sitios de phishing que opera OpenDNS.

Solución
Los usuarios pueden cambiar la configuración DNS de su PC o de su router y utilizar el DNS de su ISP u otro alternativo como los DNS de Google (IP: 8.8.8.8 y 8.8.4.4) .
Los administradores de red que usen OpenDNS en su organización, pueden configurar la exclusión del dominio redlink.com.ar y ponerlo como “Never Block” en la lista personalizada de dominios.

Según nuestra experiencia la solución de este “problema” puede tomar hasta 24hs. Actualizaremos la información cuando suceda.

Seguridad
Se puede seguir operando de forma segura con OpenDNS (IP: 208.67.222.222 y 208.67.220.220) en la medida que no se necesite usar el acceso a la RedLink en el área de HomeBanking.

Cabe aclarar que RedLink no ha sido afectada, ni tampoco el sitio de ningún banco de su red.

Muchos han elegido la protección que da OpenDNS para evitar sitios de phishing, de malware y la continuidad del servicio, pero está demostrado que los sistemas de votación para la reputación, pueden tener algunos problemas menores y muy ocasionales que como en este caso afectan temporalmente el acceso a un servicio importante.

Actualización 23:45hs.: Parece haberse solucionado el falso positivo y no se observa más el bloqueo. La rápida respuesta es un buen síntoma por parte del proveedor de este servicio.

Raúl de la Redacción de Segu-Info

Google Docs permite almacenar y distribuir malware. Los delicuentes lo aprovechan

septiembre 5, 2012 § Deja un comentario

Hace algunos meses pudimos comprobar en una investigación que llevamos a cabo en Segu-Info como Google Docs, Google Drive, así como también Skydrive de Microsoft, y otros servicios de almacenamiento en la nube, permiten almacenar archivos de malware. Y como era posible distribuir exitosamente los vínculos a esos archivos, sin obstáculos.

Decidimos no darlo a conocer en tanto no vimos que esto había sido aún explotado y no parecía muy fácil engañar al destinatario.

Bien, menos de tres meses después de esa investigación, recibimos por una denuncia el primer ejemplar de este tipo de abuso. Se trata de un correo que recibimos en denuncias.

El correo, en portugués, dice:

De: root@eleitores-sudoeste.com [mailto:root@eleitores-sudoeste.com]
Enviado el: martes, 04 de septiembre de 2012 10:12 p.m.
Para: info
Asunto: Serasa: Pedido de inclusão em nossos registros.

Para a preservaç da qualidade e da segurançdos serviç prestados a comunidade e cumprimento do disposto no Art. 43, Paráafo segundo, da lei Nr. 8.078, de 11 de setembro de 1990, comunicamos que recebos da instituiç credora, pedido de inclusãem nossos registros da (s) anotaç (oes) abaixo descriminada (s).
Nú de Documento: 05.487.514/0001-37
Correspondente ao Nome: MILENIUN SERVICE LTDA;
Valor: 8.547,25 / Data Ocorrida: 04/08/2010  / Contrato: 88654147-8
A Serasa aguardaráelo prazo de 10 dias , contado da postagem dessa correspondêia, manifestaç de V. SA ou da Instituiç Credora quanto a regularizaç da (s) dída (s). Na ausêia da manifestaç, a inclusãseráefetuada.
Caso V. Sa. necessite de informaçs adicionais ou para a regularizaç da anotaç, solicitamos que vizualize abaixo os detalhes do pedido de inclusã

Detalhes do pedido de inclusã MILENIUN SERVICE LTDA.  <– enlace a archivo malware en GoogleDocs

Email enviado para:[Email]                            Copyright© 2009 – Serasa Experian – Todos os direitos Reservados

Una captura del correo:

El correo engañoso (un malspam, spam con malware) es tradicional, un falso mensaje que invita a ver el enlacede un pedido inexistente el cual tiene un vínculo a un sitio de buena reputación: Google.com
Con esto los delincuentes consiguen: a) evitar sistemas de filtrado de correo por reputación de los enlaces y b) engañar al usuario mismo.

El enlace es: https://docs.google.com/uc?id=%5BELIMINADO%5D y provoca la descarga de un archivo de nombre Inclusao-Serasa04.com el cual es detectado solo por 10/41 antivirus según el reporte de VirusTotal.

Hasta el momento podemos decir que este archivo es un malware bancario.

Recomendación

Como se ve en este nuevo caso de malspam, es muy importante estar alerta al contexto y recordar no seguir enlaces no solicitados, aún cuando sean de sitios confiables. Hasta Google.com (Docs) está siendo abusado por los delincuentes.

Conclusiones:

En nuestra opinión, los sistemas de almacenamiento en la nube no deberían permitir este tipo de abuso.
Si el correo de Google, Gmail, no permite adjuntar archivos de programas, ejecutables, “por razones de seguridad“:

¿porqué permite Google Docs almacenar y así facilitar la distribución y descarga sin advertencias ni precauciones, de archivos de programa?

Actualización: Se ha informado a Google de lo que entendemos es una falla de diseño.

Actualización 7/09 14hs: El archivo de malware sigue alojado en Google Docs. Google no contestó aún el reporte de la falla.

Raúl de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás explorando la categoría errores en Seguridad Informática.