jueves, abril 28, 2016

Conoce cual fue la técnica que uso Chris Vickery para descubrir el padrón electoral 2015

El día de ayer 27 de febrero se dio a conocer el partido responsable de la filtración del padrón electoral: fue nuevamente Movimiento Ciudadano. ¿Es en serio? Lamentablemente así es, el mismo partido que fue multado por una filtración previa, lo volvió a hacer.
La verdad no sé ni por donde comenzar al escuchar el posicionamiento del partido, me doy cuenta de la gran ignorancia en materia de seguridad de la información, falta de responsabilidad, intento de deslinde, etc., tanto el partido político, como su proveedor tecnológico, no tienen la mínima idea, me siento tan decepcionado y tan indefenso al saber que mis datos personales y los de mi familia son tratados como si fuera una lista del supermercado.
Comencemos pues:
Para iniciar me gustaría dar un pequeño resumen de cómo sucedieron los hechos según Chris Vickery.
Chris dio con la información, buscando bases de datos de este tipo en el buscador especializado Shodan el día 14 de Abril del 2016.
Shodan opera de forma similar a cualquier otro buscador, por ejemplo Google o Yahoo, mientras que Google está interesado en imágenes, videos, blogs, wikis, lo que le interesa a Shodan, son servicios, puertos, tipos de bases de datos, etc. Shodan es  muy bueno identificando servicios vulnerables, en este buscador puedes encontrar por ejemplo cámaras de videovigilancia que están publicadas en Internet con el password por default o incluso sin password, y ver transmisiones en vivo.
Así que la especialidad del buscador es dar con servidores y servicios débiles, que sea fácil de explotar, te sorprendería saber la cantidad de cosas que se pueden encontrar en Shodan, como por ejemplo el padrón electoral de países como México ;)
Para realizar búsquedas en Shodan no es necesario ser un “hacker”
es más bien tener paciencia y tener un buen “olfato” para detectar información de gran impacto como lo que hizo Chris. No quiero demeritar su trabajo, de hecho le estoy agradecido porque gracias a su comportamiento ético, nos ha salvado de que más personas lo hubieran visto, (aunque nadie sabe cuántas personas dieron con la base antes que él) pero Chris es más un investigador que un "hacker", él no es un experto en seguridad de la información, al menos no tiene el skill necesario para hackear la infraestructura de Amazon o cualquier otro servidor, que cuente con las protecciones estándar para un servicio en la nube. Incluso Chris lo menciona en una entrevista, cuyo link pueden encontrar al final de este artículo.
Para encontrar la base Chris tecleó en Shodan: port:27017
Así de simple.
Esto quiere decir, busca todas las instancias de bases de datos MongoDB que sean publicas en este puerto por default, a partir de esto, lo único que Chris tuvo que hacer fue tener paciencia y tiempo para encontrar algo “jugoso” y vaya si lo encontró.
Después de varias páginas de búsqueda Chris encontró algo que le pareció interesante en la IP:  52.6.226.190
Sí usted estimado lector quiere probar Shodan ahora mismo, puede ver lo que encontró Chris con tan solo ir a este enlace:https://www.shodan.io/host/52.6.226.190 al final del enlace se encontrará con el nombre de la base en MongoDB, como se ve en las imagenes a contiuación.
el enlace aún funciona porque aunque hayan dado de baja la IP en Amazon, el cache de lo que indexó Shodan aún continua vivo y ahí quedará hasta que las políticas de Shodan lo remuevan o bien alguien los presione para hacerlo, esto no significa que la base pueda leerse, solo queda el indice que creó Shodan del servicio.
Una vez aclarado que no fue un hackeo, pongamos atención a lo que dijo Movimiento Ciudadano en voz de su coordinador nacional Dante Delgado:
  • 1. El 12 de febrero de 2015, Movimiento Ciudadano recibió tres copias de la lista nominal de electores en dispositivos USB para su revisión, tal como lo establece la ley.
Estas preguntas son para el INE:
¿Por qué se tienen que entregar tres copias y en un medio como un USB para cada partido? ¿No sería suficiente con una copia? ¿Los USBs cuentan con algún cifrado en caso de extravió o copia? ¿Quién lleva el control de estas copias? ¿Cómo nos aseguramos que estos USBs no estén ya circulando en el mercado negro? ¿Cuáles son los lineamientos que se les da a los partidos para cuidar de esa base de datos?
  • 2. La Comisión Operativa Nacional, órgano de dirección de Movimiento Ciudadano, tomó la decisión de devolver sin abrir dos de las copias mencionadas y realizar la salvaguarda de seguridad de la tercera copia, con el propósito de garantizar su integridad.
OK, como ya habían sido acusados por negligentes, regresaron dos, para que se hiciera notar que ya habían entendido el punto y bueno creo que otras dos copias realmente no son necesarias, aunque eso no garantiza la integridad de la base señor Dante, la palabra integridad según la RAE es: cualidad de integro, que no carece de ninguna de sus partes, en seguridad de la información la integridad implica mantener la consistencia, precisión y fiabilidad de los datos a través de todo su ciclo de vida, así que regresar dos USBs no garantiza en nada la integridad de la base de datos.

  • 3. La decisión de hacer la salvaguarda de seguridad se tomó considerando la resolución por la que el Instituto Nacional Electoral sancionó a Movimiento Ciudadano, argumentando descuido en el cuidado del padrón electoral. Dicha sanción fue impugnada por carecer de fundamentos ya que en ningún momento se acreditó un nexo causal entre Movimiento Ciudadano y la empresa que hizo público el padrón; actualmente estamos a la espera de la resolución definitiva por parte del Tribunal Federal Electoral.

¿Aquí no entendí bien, decidieron “salvaguardar” la base porque antes ya habían sido sancionados y no porque sea su deber salvaguardar la información que los ciudadanos que les confían?
Ahora bien decidieron “salvaguardar” la base en un servidor extranjero y no poderle al menos una contraseña? Wow!!

  • 4. La Comisión Operativa Nacional solicitó a la empresa Indatcom, proveedor tecnológico de Movimiento Ciudadano, asesoría sobre la mejor manera de salvaguardar información.

¿Cuáles son las credenciales de Indatcom en cuanto a seguridad de la información? ¿El culpable es el niño o quien le dio el arma?
En voz de su CEO Ismael Sánchez Angiano, Indatcom es una compañía de Digital Marketing
¿Cómo un partido le puede confiar la seguridad del padrón nacional a una empresa de marketing?
Por otro lado esta compañía ha sido beneficiada por este partido con diversos contratos y su CEO es también director de otras empresas acusadas de fraude según investigación de Excelsior.
Creo que a estas alturas, nos sorprende más una puesta de sol que descubrir cosas turbias alrededor de los partidos políticos.

  • 5. Derivado de dicha consulta, la Comisión Operativa Nacional aprobó de manera unánime la decisión de realizar la salvaguarda de seguridad del padrón electoral en servidores propiedad de Amazon Web Services; empresa de resguardo, protección y administración de datos que cuenta con las más avanzadas medidas de seguridad y la mejor reputación a nivel mundial.

De manera unánime la Comisión Operativa Nacional aprobó de alojar el padrón en servidores de Amazon. ¿sabián que los servidores de Amazon están en Estados Unidos, Europa y Asia y ninguno en México? ¿Saben que ese tipo de información no puede ser almacenada fuera de territorio nacional?
Por otro lado Amazon no es una empresa de resguardo, no es una empresa de protección y administración de datos, es un proveedor de servicios en la nube, ellos aseguran su plataforma, pero no se hacen responsables de los servidores que tú instales y configures, esta es una idea equivocada que se tiene de los proveedores de este tipo de servicios, el hecho de que estas empresas cuenten con los más altos estándares de seguridad y certificaciones para su infraestructura, no te hace heredero de todas estas protecciones y controles, es la responsabilidad de cada huésped establecer los controles necesarios para proteger sus datos y aplicativos.
Imagina que vives en un conjunto habitacional con los más altos estándares de seguridad y los mejores elementos para vigilar las entradas, circuito cerrado, cercas electrificadas, etc., etc. Pero tu casa tiene un acceso que da a la calle y nunca le pones candado, solo emparejas la puerta, luego pretendes culpar a la seguridad del conjunto porque te robaron las joyas y los electrónicos, cuando la empresa de seguridad obviamente no tiene acceso a tu propiedad. ¿De quién es la responsabilidad?

  • 6. Entre los argumentos presentados para seleccionar los servidores de Amazon Web Services para la salvaguarda del padrón, destacan que es la empresa con más altos estándares de seguridad y protección de datos a nivel mundial, por lo que cuenta entre sus clientes a instituciones y organizaciones como la NASA, Samsung y universidades norteamericanas como Chicago, Notre Dame y San Francisco.

Creo que en el punto anterior queda claro de quien es la responsabilidad, además la diferencia es que todas esas organizaciones que mencionan cuentan con equipos especializados de seguridad de la información que se aseguran que lo que esté en la nube cuente con los estándares mínimos de seguridad.

  • 7. La empresa Indatcom S.A de C.V. realizó los trámites necesarios para la contratación de los servicios de Amazon Web Services, para salvaguardar la información, y entregó contraseñas y el uso exclusivo del servidor a la Dirección del Centro de Documentación e Información de Movimiento Ciudadano.

¿Entregó contraseñas? Sería de la consola administrativa porque la base de datos no tenía contraseña como lo describe Chris y lo podemos constatar en Shodan.
¿Uso exclusivo? ¿cómo se aseguraron que solo ellos pudieran entrar? Apuesto que ni siquiera implementaron doble factor de autenticación que es gratis en Amazon para el acceso a la consola de administración.
Y hasta ahora nadie ha podido responder cuantos más pudieron descargar la base antes que Chris, esto creo que solo se podrá ver en los logs de los servidores que administraba MC, espero que se realice un análisis forense para poder calcular el impacto de una forma más informada.
Moraleja para las empresas, si eres una compañía de marketing o cualquier otra vertical y por tanto la seguridad de la información no es tu área de especialidad, no te metas en problemas, ni pongas en riesgo a personas inocentes, no es lo mismo decir, sí te puedo diseñar un sitio web, a sí te puedo asegurar tu base de datos en la nube.

  • 8. El viernes 22 de abril fuimos informados, a través de nuestro proveedor de servicios tecnológicos, que la empresa Amazon Web Services notificó que el servidor contratado había sufrido un asalto cibernético, que la información salvaguardada estaba comprometida por un ataque externo y, como parte de su protocolo de seguridad, solicitó removerla.

¿Asalto cibernético a Amazon o a su servidor sin contraseña?
Un “hackeo” a un servidor sin protección, no cuenta como hackeo
En el párrafo inicial explico que no se trató de un hackeo, espero ahora no pretendan ir tras un chivo expiatorio, tras la persona que con ética informó de su gravísima falla, antes de que otros sin ética hicieran mal uso de esa información, aunque desde el inicio de esto he dicho que necesitamos saber quién más tuvo acceso a la información antes que Chris, esto será difícil conocerlo ya que todos sabemos de que si en algo son expertos la mayoría de los políticos es para ocultar y disfrazar la información.

  • 9. Indatcom me notificó inmediatamente, en mi carácter de Coordinador de la Comisión Operativa Nacional, y tomé la decisión de acatar la recomendación de Amazon Web Services, por lo que di la instrucción de que el contenido fuera removido de manera definitiva.

Un poco tarde, algo que no debió ser subido en primer lugar.

  • 10. Para hacer pública la información que estaba salvaguardada en los servidores de Amazon Web Services fue necesario violar las medidas de seguridad a través de métodos altamente especializados, característicos de hackers profesionales.

Lo siguiente que voy a escribir también es algo altamente especializado que solo algunos cuantos hackers entenderán: LOL

  • 11. Una vez expuesto lo anterior, queda de manifiesto que la información salvaguardada nunca estuvo a la venta, no se comercializó ni se le dio mal uso; tampoco fue pública para usuarios en general, sino que fue necesario la intervención de hackers especializados en romper protocolos de seguridad para poder obtenerla.

Nunca hubo información salvaguardada, solo fue información subida a la nube y puesta a disposición para todo el que apuntara hacía esa IP pudiera verla.
¿No se le dio mal uso? Eso no lo puede asegurar usted señor Dante Delgado, ni nadie por el momento, hasta que alguien que nos diera la entera confianza, nos pudiera dar el resultado del análisis forense a los servidores, pero tal vez esto no lo sabremos a menos que sea un impacto a gran escala, pero si hay más personas con acceso a esta base y solo atacan a ciertos objetivos de los más de 80 millones de registros en la base, nadie sabrá de donde obtuvieron esa información, así que estamos fritos.
Si la base la subieron para salvaguardar la información y no para acceder a ella, hubiera sido mejor dejar el USB bajo llave, pero si la subieron a la nube lo más lógico es pensar que estaban haciendo uso de la información mediante algún frontend y todo esto sin la mínima protección.
En seguridad de la información a esto le llamamos security by obscurity, o seguridad a través de oscuridad, quiere decir que muchas personas consideran que el ocultar algo lo hace más seguro, en ciertos escenarios ayuda, pero si basas toda tu seguridad en esta práctica, estás perdido, como en el caso de esta empresa, que pensó que si no le daba la IP a nadie, más allá de la gente del partido, nadie podría encontrar el tesoro.


  • 12. En virtud de lo anterior, el día de hoy presentamos una denuncia penal contra quien o quienes resulten responsables del ataque cibernético realizado y que tuvo como objetivo acceder de manera ilegal a la información que salvaguardamos en una de las más prestigiadas empresas de resguardo y protección de datos. Movimiento Ciudadano exige se castigue a los asaltantes cibernéticos que violentaron nuestros protocolos de seguridad.

Ya que no hubo un atacante cibernético, piden localizar y castigar a un fantasma, buena suerte con eso.
¿Nosotros como ciudadanos, qué pedimos?

  • 13. Aprovecho para comunicarle al consejero presidente que estamos del mismo lado en este nuevo frente por la defensa de los datos personales de los mexicanos y de la seguridad digital de la nación, y que en todo momento colaboraremos con el Instituto Nacional Electoral, y demás autoridades involucradas, para encontrar y sancionar al o los hackers que realizaron este ataque cibernético.

Creo que esto es cierto, ambo están del mismo lado, el lado donde no se protege la información de los ciudadanos como es debido.

  • 14. Esta situación evidencia el riesgo latente en que se encuentran todas las bases de datos que están a disposición del Estado Mexicano y pone de manifiesto la necesidad de replantear y legislar en materia de seguridad digital para salvaguardar el derecho a la privacidad y la protección de los datos personales. Nuestros diputados asumen el compromiso de llevar esta agenda al Congreso de la Unión en los próximos días.

Tal vez sí haya leyes que mejorar y tras esta grave falla quedó de manifiesto que el INE y los partidos necesitan mucha ayuda en materia de seguridad y también se necesita aplicar sanciones ejemplares, pero también creo, que ya hay mucha legislación al respecto, lo que hace falta como en muchos ámbitos de la política nacional, que se hagan cumplir la ley y que la impunidad deje de estar a la orden del día.
Agradezco su opinión tras este lamentable caso.

No hay comentarios.: