dbarrera

Cuando la seguridad es vulnerada...

30 Nov 2012

Categories: seguridad

Asi es como va la historia:

Implicados: @paulcoyote, @dinardap, @MashiRafael, @willianssaud (Director Nacional de Registro de Datos Pùblicos. DINARDAP.)

Problema: El sistema de seguridad (validacion de datos) del sitio www.datoseguro.gob.ec

Sucesos: El 26 de noviembre del 2012, Paul Moreno (@paulcoyote) publico en un foro publico acerca de un problema de seguridad en el sitio www.datoseguro.gob.ec, el cual trata acerca de la verificacion de datos para el acceso a datos aun mas privados. Esta informacion se la puede encontrar aqui.

Se comento por las redes sociales el alcance de este problema de seguridad. Se hicieron referencias a varias cuentas de Twitter que son "administradas" por el gobierno, incluyendo al mismo Presidente de la Republica, Rafael Correa (@MashiRafael). No hubo respuesta oficial del caso.

Dias despues (30 de noviembre), escuadron del GOE (Grupo de Operaciones Especiales, una rama de la Policia Nacional del Ecuador) aparece a las puertas de la casa de @paulcoyote para tomar custodia de el e incautar sus bienes tecnologicos, incluyendo basura, para procesarlo. Los cargos? "Acceso fraudulento a sistemas informáticos y bases de datos ese es el cargo que me imponen.". Represalias: "45 días de prisión preventiva hasta analizar toda la evidencia y hasta 1 año por delito penal.".

Desde el momento de retencion hasta ahora (mientras escribo este post), han habido reacciones mixtas en cuanto al asunto. Unos apoyan a @paulcoyote, especialmente quienes lo conocen personalmente, otros rechazan su acto. Quienes lo apoyan, dicen que el problema no es el, sino del organismo que invirtio $10 millones en el sistema de acceso a datos privados de la ciudadania. Quienes rechazan el acto, dicen que el es un criminal por indagacion de datos necesarios y acceder a datos privados del presidente y encima mostrar como hacerlo.

Hagamos el proceso paso a paso y veamos donde radica el problema. Para iniciar el proceso de acceso a datos se debe presentar cierto tipo de informacion, entre esto: fecha de nacimiento y numero de cedula. Con una simple busqueda en Google) tenemos la fecha de nacimiento y con otra busqueda adicional en el SRI tenemos el numero de cedula. @paulcoyote mismo comenta:

El único dato que me faltaba era el "Indice dactilar". Por curiosidad, alguna vez me fijé en los índices dactilares de las cédulas de identidad: todos son muy parecidos. Hay una V o una E o una A seguido de varios números: V23444 - E5444 y así... combinaciones muy sencillas, aparentemente. El sistema me preguntaba los números 3 y 4 del índice dactilar. Con la primera combinación de números acerté y mi cuenta fue creada. Luego de verificar el correo electrónico que envía el sistema, ahora tengo acceso a todos los datos "seguros" de Rafael Vicente Correa Delgado.

Todos estos datos solicitados son datos publicos (y una adivinacion). En el mismo post escrito aparecen ciertas capturas de pantalla que informacion oscurecida (informacion confidencial) confirmando el ingreso.

Y al finalizar, escribe el siguiente disclaimer:

Adjunto a este mensaje dos capturas de pantalla de la cuenta creada en www.DatoSeguro.gob.ec y del correo de confirmación. La contraseña de acceso al portal y al correo electrónico que creé para registrarme, estarán a disposición del Sr. Presidente cuando las requiera.

White Hacking. En ningun momento se uso herramienta alguna que vulnere accesos o comprometa el sistema donde esta almacenada esta informacion.

Ahora, los que se oponen dicen, en el mejor de los casos: "Que el hacer publico este tipo de informacion no es la forma de hacerlo". Dejenme describir la linea de tiempo de una vulnerabilidad.

Esto pueden encontrarlo en Solutionary.com, CERT.org, SecLists.org, Veracode.com o ustedes mismos busquen "Vulnerabilities Disclosure Timeline". Todos estos son enlaces a sitios donde muestran lineas de tiempo de notificacion de vulnerabilidades y en todas ellas muestran como ultimo paso notificacion publica (haya sido o no resuelto la vulnerabilidad). Accedan, lean.

Durante todo el tiempo que se estuvo comentando acerca del abuso al encarcelar al mensajero, salio a la luz que varios usuarios ya habian notificado a la @dinardap acerca de este problema desde el mes de abril (hace casi ocho meses atras!). Via correo, via twitter. Nunca hubo respuesta oficial al caso.

Lo acusan de robo de identidad, de robo de datos y un sin numero de cosas mas. Señores, han leido el escrito? Si? Aparentemente no leyeron esto:

No se hizo para delinquir o para divulgar información que pueda ser utilizada con malas intenciones, ni para vender la información, chantajear o cualquier otra clase de acto ilegal o inmoral

Lean atentamente, el haber hecho uso para cualquiera de esos fines ES considerado un delito. Adicional, les recuerdo que Paul escribio que la informacion usada estaba a la disposicion de la autoridad que lo solicite, en este caso al mismo Presidente de la Republica.

Adicionalmente yo pregunto, de quien de verdad es la culpa? De Paul por encontrar este problema de seguridad y hacerlo saber? O del equipo detras de la implementacion de este sistema? Al igual que Paul, no digo que sea una mala iniciativa, pero errores de seguridad como estos no deben pasar desapercibidos. Imaginemos, y espero que solo sea imaginacion y no haya ya sucedido, que alguien malintencionado haya hecho esto. Obviamente no lo va a mostrar al publico, sino hara uso de estos datos para verdadera suplantacion de identidad en algun ejercicio de maldad.

Actualizacion: La Dinardap ha publicado un tweet con el siguiente contenido: "Tu información está segura una vez que te registraste confirma tus datos vía telefónica contesta las preguntas de validación"

Mi apreciacion de esto: En serio? Hagamos que de verdad estuve estudiando a la victima. Conozco toda su informacion legal. Como de verdad va a confirmar que soy esa persona? Reconocimiento de voz? Fotografia via telefono? Por favor!

Actualizacion: Algo que me olvidaba... Debo aclarar que esta vulnerabilidad solo afecta a las personas que aun no han creado un usuario en el sistema de DatoSeguro... De ya haberlo hecho, no son vulnerables a esta falla... A menos que algun cracker aburrido de verdad rompa la seguridad del servidor Windows que tienen y accedan de manera fraudulenta e ilegal (ahi si aplica todo el termino correctamente) a la base de datos...

Como siempre, espero a sus comentarios. Un gran saludo.

comments powered by Disqus