Lima, Perú: Plan Estratégico de Ciberseguridad Nacional Electrónico 2011 – 2015 (Parte I)

Antes de empezar a leer este post recomiendo mirar primero el siguiente videito para tener una mejor referencia de que va el tema.


Tecnología: conocer los riesgos y aprender a usarla

Y luego de eso, también descargar el documento al que se hace referencia en el titulo de este post.
Plan Estratégico de Ciberseguridad Nacional Electrónico 2011 – 2015 Oficina Nacional de Gobierno Electrónico Pe-CERT

Y bueno, empezamos. Este antes de ser un post, lo considero unos apuntes y observaciones que voy a ir haciendo sobre el documento linkeado mas arriba (Plan Estratégico de Ciberseguridad Nacional 2011 - 2015), y así poder enriquecerlo con actualizaciones y comentarios que se puedan dar.

Al abrir el documento en cuestión, en la segunda página que trata sobre la información general de dicho documento podemos observar aparte del nombre de dicho documento (Plan Estratégico de Ciberseguridad Nacional 2011 - 2015 – ONGEI- PECERT ) se le llama también Proyecto, osea que (valga la redundancia) se le está dando el trato Proyecto. Tener esto en cuenta.

Aparte podemos observar que tiene el apartado llamado Versión (1.0), osea que para alegría de los que lo hayamos leído, se le pueden hacer cambios (ojalá que exista la voluntad de hacerlo).

Otro campo mas que aparece en dicha página de información es la de Documentos Relacionados, la cual aparece vacía. Aquí llega la primera observación. Es posible que un documento que se supone va a tener una llegada nacional no va a tener ningún tipo de documentación relacionada?. Vamos, si este es un plan que trata de resolver un problemática de Ciberseguridad Nacional, es posible que no tenga ningún tipo de documentación relacionada como análisis de riesgos o al menos un listado amplio de los problemas encontrados en el estado los cuales van a ser resueltos por dicho plan? Porque si esta es una solución a problemas que tenemos, mínimo tenemos que saber cuales son esos problemas no?

Bueno y siguiendo en el documento luego de ver el indice, que dicho sea de paso no cuenta con una sección de glosario de términos para explicar a los no entendidos en el tema las dudas en terminología usada, pasamos a la primera sección de Introducción.

La Introducción si bien es extensa, personalmente la veo útil. Introduce al lector al tema de gobierno electrónico, que vendría a ser la base de la cual se desprendería un plan de Ciberseguridad Nacional.

El segundo punto de Introducción a la Ciberseguridad que si bien describe la evolución y problemática de la Ciberseguridad, hubiera sido bueno que incluya una descripción mas concreta de lo que es específicamente la Ciberseguridad. Adicionalmente se puede leer el siguiente texto:

La tecnología utilizada está cambiando y el diseño de la planta evoluciona de sistemas propietarios, aislados y poco conocidos, a sistemas basados en tecnologías abiertas de uso común en TI y bien documentados en Internet, así como una mayor integración de los sistemas. 

Primero. A que planta se refieren? (glosario de términos). Segundo, la evolución de sistemas propietarios a tecnologías abiertas no es tal. Siempre vamos a encontrar sistemas heterogéneos.

Llegamos al tercer punto de Alcance. Como se mencionó al principio, al documento se le está dando el trato de un proyecto. y si leemos el siguiente link  Alcance (gestión de proyectos), podemos deducir que en esta sección de Alcance como mínimo se tendría que indicar cuáles son las instituciones involucradas y las medidas que se van a proceder a implementar. En ves de eso, en esta sección el documento en cuestión se cita a si mismo. 

ALCANCE: En este documento se desarrolla El Plan Estratégico de Ciberseguridad Nacional 2011 al 2015 – ONGEI - PECERT

Cuarto punto. Destinatarios. Esta sección la veo que está de sobra. Si se hubiera definido bien el Alcance, los destinatarios estarían incluidos dentro de esa sección. En lugar de eso se indica que los destinatarios son los funcionarios de la ONGEI, pero dicho documento fue realzado por la ONGEI. Osea de la ONGEI para la ONGEI. Eso no me termina de quedar claro, aunque puede ser de un grupo de trabajo a otro dentro de la ONGEI. De ser esto ultimo, tendran en los grupos de trabajo el recurso humano necesario para ello?

Quinto punto. Análisis Conceptual. Se desarrollan los conceptos de Gestión Pública, Sociedad de la Información, Gobierno Electrónico y Ciberseguridad. Esto también lo veo útil, pero (y voy a ser rajon) si se iba a desarrollar estos puntos, nos hubieran ahorrado a los lectores muchas lineas en las secciones anteriores de Introducción e Introducción a la Ciberseguridad no?

También en el análisis conceptual de Ciberseguridad podemos leer el siguiente texto:

A su vez en la respuesta deben tomar parte diferentes actores que hablan diferentes lenguajes, por lo que es necesario trabajar de manera concienzuda en la coordinación multidisciplinar en los campos científico, tecnológico, político, diplomático, económico, jurídico, militar y de inteligencia.

y si nos remitimos a la sección de Documentos Relacionados mencionada anteriormente en la que no aparece ninguna referencia a algún documento relacionado, se podría desprender que probablemente no se haya tomado en cuenta desde un principio en la preparación de este Plan de Ciberseguridad Nacional a algunos sectores mencionados en el párrafo citado (diplomáticos, jurídicos militares e inteligencia).

Sexto punto. Gobierno Electrónico Internacional y la necesidad de la Ciberseguridad. Se tratan los temas de Análisis General, Entorno General y Experiencias americanas y mundiales citando a los países Corea del Sur, EEUU, Canada, Reino Unido, Colombia, Chile, Uruguay y Brasil. En realidad este punto debería llamarse solamente  Gobierno Electrónico Internacional, debido a que no hay prácticamente ninguna referencia a la  necesidad de la Ciberseguridad. Solamente se menciona escuetamente cierta experiencia del Reino Unido. Esta sección hace mayormente referencia al tema de Gobierno electrónico dejando de lado el tema de la necesidad de la Ciberseguridad el cual deberia ser el tema central de dicho documento ( Plan Estratégico de Ciberseguridad Nacional 2011 - 2015 – ONGEI- PECERT ).

De momento esto es todo en esta primera parte. Las siguientes van a llegar mas pronto que tarde. Cualquier comentario, aporte, corrección o raje fino va a ser bien recibido.

Disección rapida de la "aplicación" Averigua quién visita tu perfil.

La metodología consiste en inducir al usuario de Facebook a entrar a una pagina web (espia*****.com) en la que se deberá a seguir pasos (4 aprox) para instalar una supuesta aplicación en la cuenta personal facebook de la victima y proceder así a saber supuestamente quienes son los contactos que mas visitan el perfil, a la vez que se procede a crear (e invitar) eventos públicos y posts en los muros de los contactos para así seguir induciendo a la visita de dicha pagina web antes mencionada.

Se puede deducir que no hay ningún virus, sino que lo que se pretende es generar el mayor numero de visitas a la pagina web antes mencionada, ya que dicha pagina web contiene publicidad cuya metodología de pago al webmaster está regida por la cantidad de visualizaciones, entiéndase a mayor cantidad de veces que se vé la publicidad de dicha pagina web, mayor pago al webmaster de la misma, al mismo tiempo que intenta poner en el ultimo paso como pagina de inicio del navegador de la victima, un buscador web personalizado con la metodología de publicidad ya mencionada.

Adicionalmente si bien dicho método de propagación se puede comparar como del tipo vírico por cómo se generan los eventos y posts para inducir la visita a la pagina web, esto mas se puede referir a una especie de técnica de marketing viral
(es.wikipedia.org/wiki/Marketing_viral)
que a una infección de virus (malware) en la computadora de la victima, para así generar el mayor numero de visitas antes mencionadas, por lo que no habría que preocuparse por una infección de virus (malware) en la computadora de la victima, ya que el único archivo externo (de momento) con el que la página hace interactuar a la victima es uno de tipo JavaScript que después de examinarlo por un motor de análisis de archivos extraños no genera ningún tipo de reporte de actividad extraña o maliciosa 

(wepawet.iseclab.org/view.php?hash=5b039e5124162f6ea0012390519a5218&type=js), presumiendose de momento que dicho archivo de tipo JavaScript sea el que genera al azar los nombres de los supuestos contactos de la victima que son los que supuestamente visitan con frecuencia el perfil de la victima
Saludos y no se asusten de momento ;)



ACTUALIZACIÓN


Un análisis rápido del archivo JavaScript nos muestra que tiene gran parte de su contenido codificado (ofuscado) de la siguiente manera:


"var _0x3fe9=["\x25\x66\x69\x72\x73\x74\x6E\x61\x6D\x65\x25\x20\x6D\x69\x72\x61\x20\x65\x73\x74\x6F\x20\x71\x75\x65\x20\x65\x73\x20\x69\x6E\x63\x72\x65\x69\x62\x6C\x65\x2C\x20\x74\x65\x20\x70\x65\x72\x6D\x69\x74\x65\x20\x76\x65\x72\x20\x71\x75\x69\x65\x6E\x65\x73\x20\x76\x69\x73\x69\x74\x61\x6E\x20\x74\x75\x20\x70\x65\x72\x66\x69\x6C\x20\x79\x20\x66\x75\x6E\x63\x69\x6F\x6E\x61\x20\x62\x69\x65\x6E\x2C\x20\x65\x6E\x74\x72\x61\x20\x61\x3A\x20\x65\x73\x70\x69\x61\x66\x61\x63\x65\x2E\x63\x6F\x6D", "


En un procedimiento de descifrado del código del archivo se puede ver parte del real contenido mostrándose lo siguiente:


"var _0x3fe9=["%firstname% mira esto que es increible, te permite ver quienes visitan tu perfil y funciona bien, entra a: espia****.com","Top de visitantes de tu perfil de hoy:
%tf% - 19 visitas
%tf% - 16 visitas

%tf% - 15 visitas
%tf% - 13 visitas

Averigua tu tambien quien te esta mirando entrando en: espiaface.com
Funciona de verdad!","http://www.espia****.com/carga.php","Esto es increible! pueden ver quien esta visitando su perfil y te llegan notificaciones, sigan los pasos de esta pagina que explica como hacerlo, entren en: espia****.com","Averigua quien visita tu perfil","href","location","top","GET","open","onreadystatechange"


En donde se puede ver claramente que los resultados siempre van a ser los mismos (19 - 16 - 15 - 13), enlazados a variables al azar, las cuales se puede deducir que son los amigos de la victima para concretar el engaño.


Adicionalmnete se a detectado que el mismo JavaScript hace a la victima "fan" de otras paginas en facebook que derivan a sus suscriptores a otras webs con la misma modalidad de publicidad y creación de eventos de manera viral como la ya mencionada anteriormente para tener mas cobertura.

Se recomienda finalmente a los usuarios no visitar las webs involucradas ya que si bien no representa una infección real de virus en estos momentos, y solo se aprovecha en el tema de visualización de publicidad, nada puede asegurar que en un futuro dichas paginas webs sean usadas como plataformas para propagar virus reales aprovechando vulnerabilidades en el software de navegación web de los visitantes (Internet Explorer, Firefox, etc).

Hacktivismo, Operación Payback, Wikileaks... (y Sensacionalismo)

Hacktivismo. Podriamos definirlo como el uso de ataques cibernéticos y sabotajes para comunicar y promover causas por motivos políticos. Qué tiempo de existencia tiene? Pues nuevo NO es, y podríamos decir que tiene casi tanto tiempo como nuestra querida matrix, red de redes, Internet.

Los hacktivistas casi siempre han actuado de manera individual para demostrar su protesta, usando una variedad de métodos de ataque diferentes. Un ataque muy popular, ha sido y sigue siendo, la desfiguración de páginas webs. Sin embargo, otra cosa muy diferente sucede cuando los hacktivistas actuan en grupo y realizan lo que se llama un ataque de Denegación de Servicio Distribuido (DDoS), siendo capaces de inundar una página web específica con demasiado tráfico para que el servidor se sobrecargue. El sitio web atacado intenta procesar el gran volumen de tráfico malicioso generado por los hacktivistas negando así el acceso a los usuarios legítimos, y por último y a menudo bloqueando por completo el sitio web.

Tiremos ahora una mirada a la Operación Payback y su ganada notoriedad en los medios de comunicación estos últimos días.

Operación Payback es una serie de ataques de DoS llevadas a cabo por hacktivistas, creado en la comunidad en línea 4chan. Su objetivo inicial era reducir los sitios antipiratería. Las victimas de sus ataques por eso fueron desde los sitios webs que impulsan los temas de protección de derechos de autor e incluso sus bufetes de abogados.

Sin embargo, sus últimas actividades que los pusieron en las portadas de los medios, tienen que ver más con Wikileaks el tema cablegate y la lucha contra cualquier otra forma de "censura de Internet". MasterCard, Visa, Paypa, entre otras entidades fueron hace poco atacados por este grupo de hacktivistas, cuando dichas entidades se negaron a seguir prestando sus plataformas y servicios a Julian Assange, cabeza visible de Wikileaks.

¿Cómo funciona este grupo de hacktivistas? Los hackers (los verdaderos), construyen el software (malware) diseñado para atacar a los sitios web y servicios de los mismos. Este software se hace luego disponible para su descarga por los demás hacktivistas. Una vez instalado en la computadora de un participante hacktivista, esta computadora se encuentra a la espera de la orden de ataque, y cuando llega el momento para el ataque, se le envía la orden al malware que se encuentra en la computadora del hacktivista. Es en ese momento que de la computadora comenzará a salir chorros de tráfico malicioso a un lugar determinado; en este caso las webs mencionadas anteriormente. Usando el poder de la comunidad, es decir de todas las computadoras de los hacktivistas implicados, la web objetivo es inundada con tráfico voluminoso que provoca el bloqueo de sus servidores.

Cuando se busca en este grupo específico, podemos ver que los factores sociales juegan un papel importante. Dado que las actividades de esta Operación Payback han recibido mucha atención de los medios, el número de hacktivistas que se unen se ve aumentado en gran numero hasta llegar a ser una especia de tropa.

Ahora, una de las cosa que uno se pregunta es estar a favor de este hacktivismo pro-Wikileaks? estar en contra? participar como hacktivista o no? Eso depende de cada uno. Pero los hechos concretos es que Wikileaks y su fundador Assange recibieron críticas por no procesar la información de los cables debidamente antes de soltarla en la red. Tanto así que ya se ven noticias de que movimientos terroristas están también recolectando esa información no procesada debidamente.

Inclusive, debido a discrepancias dentro del mismo Wikileaks con Assange y por el cómo se soltó la información y lleva la organización, muchos integrantes están dejando la misma y están por abrir una nueva llamada openleaks aparentemente mas responsable.

Es todo esto Hacktivismo o Ciberactivismo? Personalmente lo veo como Hacktivismo puro y duro con todo y su rollo político incluido. Quien diga que es Ciberactivismo simplemente pienso que está equivocado.

Hacktivismo

Puede esto ser considerado la primera “Infoguerra Mundial”? Vamos asumir que nos estamos refiriendo al termino Ciberguerra. Tampoco podría considerarse una Ciberguerra, ya que eso implicaría mucho más que denegar servicios de paginas webs. Sí podría considerarse por ejemplo un Ciberataque o inclusive una Ciberprotesta. Una Ciberguerra implicaría un ataque a mucha mas infraestructura, como con el último incidente en Iran contra su infraestructura nuclear en el que el tipo de sistemas atacados juegan también un papel importante en el control de infraestructura relacionada a la agricultura, banca, defensa, energía, agua, telecomunicaciones, transporte, entre otros. Por lo tanto hablar todo esto como un acto de Ciberguerra es un calificativo peligroso, sensacionalista e inclusive fuera de lugar.

Saludos. Este post casi no sale.

Facebook Mail, Facebook Messaging, lo bueno y no tan bueno.

Seguramente ya muchos estamos enterados de la última novedad que nos acaba de brindar los medios sociales. Hablamos de Facebook email, el nuevo protagonista de toda la movida Social Media de estos tiempos.

Se está diciendo de todo, “Facebook busca revolucionar el correo electrónico”, “Facebook quiere reinventar el email”, “el Gmail Killer”, y un largo etc., lleno de mucho entusiasmo hacia esta última novedad. Entusiasmo mostrado también con los servicios Google Wave y el Google Buzz en sus respectivos lanzamientos, ya sabiendo el actual poco impacto en la actualidad de estos, por lo cual personalmente me muestro algo escéptico.

Pero vamos, sus cosas buenas debe traer de todas maneras este nuevo servicio ya que va a ser proporcionado por una de las redes sociales más importantes del mundo. Basta googlear el servicio (que paradójico sonó eso no?) para encontrar noticias y notas al respecto y así enterarnos sobre esta novedad.

Y bueno, poniendo punto aparte de sobre todo lo bueno y entusiasta del novicio Facebook Email, vamos a hablar de lo no tan bueno y no tan entusiasta para equiparar la balanza.

A través de la sección de seguridad de Computerworld nos podemos enterar de las alertas de expertos en el tema en la cual se dice que este servicio será un objetivo muy atractivo para los spammers (personajes que nos envían miles de correos electrónicos no deseados), estafadores y otros responsables de envíos de virus, todo esto vía correo electrónico.

La red social obviamente respondió que ha puesto en marcha (o puede que recién lo estén haciendo) nuevas medidas de seguridad para protegernos a nosotros sus usuarios, además de la ultima contratación de un proveedor para superar los problemas del correo electrónico no deseado. Pero seamos sinceros, tenemos que reconocer que el filtro contra el correo no deseado de google en su servico Gmail, es uno de los mejores. Ahora, sumémosle a todo esto que Facebook en particular y las redes sociales en general tienen que lidiar con virus/gusano dirigido exclusivamente a ellos. Hablamos de Koobface, y otros posibles compañeros de ruta del mismo que podrían empezar a salir de la mano del Facebook Mail.

Así pues, esperemos que este nuevo blanco -@facebook.com- sepa cómo lidiar con estos males que pupulan por Internet, y nosotros los usuarios podamos seguir disfrutando de dichos servicios de esta nueva era 2.0.

Como siempre y como se comenta en los ámbitos de la seguridad de la información; el eslabón mas débil no necesariamente es la tecnología, sino nosotros los usuarios; por lo que tenemos que estar alerta y no abrir archivos adjuntos ni hacer click en links no esperados.

Y como siempre, un video o imagen dice mas que cualquier palabra o texto.

 

Tu empresa NO tiene politicas de uso de Social Media. Existe un riesgo?

La respuesta a esa pregunta sería, probablemente SI

Hace no mucho entré a este mundo de las redes sociales tratando de indagar algo que al parecer no esta aun muy desarrollado (casi nada al parecer) y mucho menos siendo tomado en cuenta por las empresas dentro de este "boom" de Social Media.

El tema en cuestión es el uso de Políticas Corporativas de uso de Social Media por parte de las empresas.

Veamos, las empresas están llegando a tener en cuentan el crecimiento y el empleo de estos nuevos medios de comunicación social dentro y fuera de sus organizaciones, pero el no tener una política de uso de estos medios para sus empleados (y no solamente empleados) les puede traer consecuencias graves.

Por otro lado, implementar estas Políticas de Social Media pueden servir de manera positiva ya que dejarían claro los principios de comunicación online.


Ya. ¿Pero qué es una política de Social Media y como se come?

En pocas palabras, una política de uso de Social Media para empleados indica las directrices de las empresas o los principios de comunicación en el mundo online.


¿Y por qué tener una política de Social Media?

Aquí me "robo" esta respuesta que encontré en la web mientras investigaba el tema.

Según Eric B. Meyer, quien es un asociado en el Grupo de Trabajo y Empleo de Dilworth Paxson LLP, lo que las empresas deben considerar desde una perspectiva jurídica en el desarrollo de una política social son los medios de comunicación.

"Los empleadores necesitan ser francos con los empleados que no tienen derecho a la privacidad con respecto a la creación de redes sociales. "Los empleadores se reservan el derecho de monitorear el uso de los empleados de los medios de comunicación social, independientemente de su ubicación (es decir, en el trabajo en un equipo de la empresa o en el tiempo personal con una computadora en casa)."

Los empleados "deben ser conscientes de que las políticas de empresa sobre la lucha contra el acoso, la ética y lealtad a la empresa se extiende a todas las formas de comunicación (incluyendo medios de comunicación social), tanto dentro como fuera del lugar de trabajo." La gente necesita recordar que atacar a su organización/jefe/compañeros/competencia en línea, puede generar problemas a la organización y generar consecuencias en el trabajo. "

Algunas de estas normas pueden ser similares a los que ya tiene la empresa, mientras que otras pueden ser diferentes ya que tendrían que adecuarse a estos nuevos medios.


Aquí unos puntos a tener en cuenta para una Política de Social Media, tanto para permitir y/o proteger.

Una buena política Social Media indicaría claramente:
- ¿Qué hará y no hará la empresa en línea.
- ¿Qué pueden y no pueden hacer en línea los empleados/colaboradores.

Protege a la organización mediante el establecimiento de límites alrededor de lo que es aceptable y lo que es inaceptable.

Se faculta a los empleados, haciéndoles saber que cuáles son los límites, de modo que puedan utilizar los medios de comunicación social y herramientas aceptablemente sin temor a represalias mientras sigan las normas establecidas.

Un buen claro ejemplo aunque pequeño que me pareció interesante fue el del blogger Milton Vela en Café Taipa, en donde al conseguir una nueva oportunidad laboral se autoaplica una política personal de no hablar de temas relacionados al rubro en donde se ubicó. 
http://cafetaipa.blogspot.com/2010/02/cafeteros-dejenme-que-les-cuente.html

El contraste está obviamente en el caso de llamado #speedygate o #spencergate en donde la empresa de telecomunicaciones auspiciadora debió como mínimo pedir (sino hacer firmar un acuerdo) al blogger evitar hablar de cualquier competencia del auspiciador mientras dure el auspicio para evitar todo el rollo generado. Obviamente esa petición al blogger hubiera derivado de tener una Política de uso de Social Media para empleados y/o colaboradores.

En fin, pienso este es un tema amplio y algo nuevo aún que ya hay que ir teniendo en cuenta.

"Knowing Me Knowing You (Los peligros de las redes sociales)"

Esta charla titulada "Knowing Me Knowing You (Los peligros de las redes sociales)" fue dada por Brian Honan en Brucon 2009. La presentación puede ser vista aquí.

Resumen: A finales de 2008 el autor fue cuestionado por una periodista de seguridad irlandesas para robar su identidad. Al autor sólo se le permitió utilizar la información que se puede encontrar en línea, no pudo romper las leyes y no puede utilizar ninguna técnica de ingeniería social (hacking). El autor presenta lo que se dispone de información en línea, si tuvo o no éxito y qué lecciones se pueden aprender de la experiencia en relación a la vida privada de un individuo.

El video puede ser visto aquí

Así que cuidado con tanto entusiasmo con las redes sociales. :)

Crear contraseñas complejas

Un tip simple para el usuario de escritorio (entiéndase usuario normalito) que quiera crear una contraseña compleja sin tener que complicarse mucho la vida, es (a mi modo de ver) hacerlo en base a un acrostico.

Obviamente no tiene que ser una oración poética ni tan pegado a las reglas, pero pienso que el metodo logra su cometido.

Ejemplo: Dentro de poco voy a volver a postear.
Clave generada --> ddpvavap

Así, se puede tomar una frase que mas se le acomode o que mas recuerde (de una canción, novela, película, etc) y tener una contraseña compleja sin hacerse mucho rollo. Al final se termina memorizando fácilmente con la practica solo las letras y se va dejando de lado la frase.

Apliquese cualquier diferente variante, por ejemplo meterle un numerito como el día de nacimiento. ddpvavap10

P.D. Si es una frase de canción, cuidado con andas tarareando la clave nomas! de de de pe pe va va peeeee.... xD (chiste malo)

Curso Finlandes de malware analysis and antivirus technologies

Via el blog del F-Secure me encontré con el material del curso malware analysis and antivirus technologies dictado en la Helsinki University of Technology.

Material del curso.

Por algo los Finlandeces están muy bien situados en materia educativa no? Algún dia estaremos así?

El blog F-Secure es algo a tomar en cuenta también

http://www.f-secure.com/weblog/

Botnet hijack

Interesante reporte de Hijack de una botnet.

AQUI

Extraido de: http://blogs.zdnet.com/security/?p=3310

Qué es una botnet?

Qué es un Hijack o Hijacking?

Virus Conficker / Downadup o Kido en Perú

Estaba a punto de escribir algo mas extenso sobre el tan mencionado virus (malware) en cuestión, pero me dio flojera :)
Bueno, algo que creo no a sido publicado y pienso debeia ser tomdo en cuenta... (según yo, osea nadie)