Sebastian Bassi (aka Bloguero Connor)

Actualización sobre "el hackeo" al Ministerio de Educación

Ante todo quiero agradecer a la gente que me ha aconsejado durante este asunto, ya sea con opiniones a favor o en contra de mi proceder. Otro que se merece mi gratitud es Candyman, editor de Barrapunto, por tener los cojones para publicar mi nota en un sitio tan importante (al menos para los geeks). Tambien destaco su comentario, en donde se ve claramente que entendio mi intención.
Si alguien aun no sabe de que estoy hablando, es hora que lea "Los datos del Ministerio de Educación argentino, al descubierto".
Primero voy a exponer los nuevos hechos desde esa publicacion, luego responderé algunos cuestionamientos que mi hicieron, y para terminar, una reflexión final.

Las novedades:

Aproximadamente a las 10 AM del Jueves el agujero fue tapado. La publicacion en /. fue a la noche del Miercoles (ya era Jueves en España). Entre los comentarios en /. y en el blog, habia uno que decia ser del ArCERT, donde me instaba a hacer ahi la denuncia, que eso es lo que tendria que haber hecho. Muy bien, no lo sabia, asi que segui las instrucciones y le envie un email usando la clave publica PGP de ellos. Esta fue la respuesta del ArCERT:

From: InfoMail de ArCERT

Mailed-By: arcert.gov.ar

To: Sebastian Bassi

Cc: InfoMail de ArCERT

Date: Jan 12, 2006 1:11 PM

Subject: Re: Denuncia sobre problema de seguridad en el Ministerio de Educacion.

Estimado Sebastian,
hemos recibido tu mensaje correctamente.

Te informamos que ya habiamos tomado conocimiento del mismo y ya hemos hablado con los administradores del ministerio de educacion que estan trabajando en el tema.

Con respecto a tu publicación, podemos mencionarte:
- es algo cuestionable el hecho de hacer publica la falla ante la falta de
respuesta ante el vio de un mail....pero bueno, queda a la descicion personal

- pero el hecho de que hayas hecho publicado informacion "confidencial" en tu
reporte, viola lo establecido en la Ley de Proteccion de Datos Personales
Argentina (Habeas Data - Ley Nº 25.326)
[http://infoleg.mecon.gov.ar/infolegInternet/verNorma.do?id=64790 ]
y es plausible de sanciones (tanto monetarias, como penales).

Esto te lo mencionamos, a fin de que tengas en cuenta de que el M.Educacion
puede llegar a decir inciar algún tipo de acción legal. (obviamente, bajo la Ley
de Habeas Data tanto el administrador de la base de datos como el responsable
del centro de computos del Ministerio, son tambien plausibles de sanciones).

Gracias por tu contacto y reporte.

Ante cualquier inquietud, no dudes en consultarnos.
El Equipo de ArCERT

------------------------------

-----------------------------------------
ArCERT es un grupo de respuesta y asistencia a organismos de la
Administración Pública en temas relacionados con seguridad informática
(www.arcert.gov.ar ), que funciona en la Subsecretaría de la Gestión
Pública de la Jefatura de Gabinete de Ministros.

La Resolución SFP Nro. 81/99 establece como algunas de nuestras funciones:
- Centralizar los reportes sobre incidentes de seguridad ocurridos en la
APN y facilitar el intercambio de información para afrontarlos.
- Proveer un servicio especializado de asesoramiento en seguridad de
redes.
- Promover la coordinación entre los organismos de la APN para prevenir,
detectar, manejar y recuperar incidentes de seguridad.
- Actuar como repositorio de toda la información sobre incidentes de
seguridad, herramientas y técnicas de protección.

En otro aspecto, dada la característica de nuestra actividad, entablamos
contactos e intercambio con equipos de seguridad de otros países y
organizaciones relacionadas. Estos reportan frecuentemente información
acerca de "vulnerabilidades" y "sitios hackeados".

Cabe mencionar que ArCERT, no pretende investigar la causa de los ataques ni
quienes son sus responsables. Corresponde al responsable de cada organismo
efectuar las denuncias para iniciar el proceso de investigación ante la
justicia. Los reportes y organismos implicados de incidentes son tratados como
información confidencial y no son divulgados a terceros.

Asimismo, cabe destacar que los servicios que presta el ArCERT son gratuitos
y se circunscriben al ámbito del sector público.

Por todo lo expuesto lo invitamos a visitar nuestro web site
WWW.ARCERT.GOV.AR y nos ponemos a su disposición para responder a
cualquier consulta o solicitud de asistencia técnica.


--
-----------------------------------------------
ArCERT - http://www.arcert.gov.ar

Te: (54-11) 4343-9001 int.512/514 | 4345-0383
Fax:(54-11) 4343-7458

Av.R. Saenz Peña 511 - Of:514
C1035AAA - Ciudad Autonoma de Buenos Aires
Argentina
-----------------------------------------------
APN y facilitar el intercambio de información para afrontarlos.
- Proveer un servicio especializado de asesoramiento en seguridad de
redes.
- Promover la coordinación entre los organismos de la APN para prevenir,
detectar, manejar y recuperar incidentes de seguridad.
- Actuar como repositorio de toda la información sobre incidentes de
seguridad, herramientas y técnicas de protección.

En otro aspecto, dada la característica de nuestra actividad, entablamos
contactos e intercambio con equipos de seguridad de otros países y
organizaciones relacionadas. Estos reportan frecuentemente información
acerca de "vulnerabilidades" y "sitios hackeados".

Cabe mencionar que ArCERT, no pretende investigar la causa de los ataques ni
quienes son sus responsables. Corresponde al responsable de cada organismo
efectuar las denuncias para iniciar el proceso de investigación ante la
justicia. Los reportes y organismos implicados de incidentes son tratados como
información confidencial y no son divulgados a terceros.

Asimismo, cabe destacar que los servicios que presta el ArCERT son gratuitos
y se circunscriben al ámbito del sector público.

Por todo lo expuesto lo invitamos a visitar nuestro web site
WWW.ARCERT.GOV.AR y nos ponemos a su disposición para responder a
cualquier consulta o solicitud de asistencia técnica.


--
-----------------------------------------------
ArCERT - http://www.arcert.gov.ar

Te: (54-11) 4343-9001 int.512/514 | 4345-0383
Fax:(54-11) 4343-7458

Av.R. Saenz Peña 511 - Of:514
C1035AAA - Ciudad Autonoma de Buenos Aires
Argentina
-----------------------------------------------

Unas horas mas tade, me escribio Ricardo Pluss de la Oficina Nacional de Tecnologias Informaticas, con este mensaje:

From: Ricardo Pluss

Mailed-By: sgp.gov.ar

To: sbassi+bp@gmail.com

Date: Jan 13, 2006 4:35 PM

Subject: M. de Educación

Sebastián:

Ayer a mediodía, a raíz de tu mensaje me contacté con el responsable
técnico de los servidores web del Ministerio, Marcelo de Angelis, quien
me contó que se habían enterado del problema y que estaban tratando de
solucionarlo.
En nombre de Marcelo agradezco tu colaboración.

Saludos

--
Ricardo Pluss
Oficina Nacional de Tecnologías Informáticas
Av. Roque Saenz Peña 511 piso 5º oficina 507
011-4343-9001 interno 522

Sobre los mensajes en el blog, contestare asi en general segun los temas:
1- "Esto no es lo que haria un consultor de seguridad informatica".
OK, puede ser, ¿Y que?. ¿Hay que ser consultor de seguridad informatica para reportar una filtracion de datos?. Soy estudiante de Biotecnologia que trabaja en bioinformatica, no soy ni quiero ser "consultor de seguridad". Volviendo a mi pregunta, creo que cualquiera deberia poder denunciar una cosa asi, sin ser un "experto". Ahora bien, como se supone que uno que no sepa del tema pueda ayudar? Dejo la pregunta abierta.
2- "Vas a ir preso por publicar datos personales" (tambien "ojala te pudras en la carcel").
En Argentina es dificil que alguien vaya preso por un delito menor. Hemos visto hasta repartijas de coimas por TV y nadie fue preso. En el peor de los casos, el delito que me adjudican tiene una pena de hasta 2 años de presion, que al no tener antecedentes penales, no hay cumplimiento de condena (en Argentina por delitos con penas menores de 3 años, sin antecedentes, no hay "cumplimiento efectivo", o sea, inpunidad garantizada).
3- "No deberias haber mostrado los datos" "podias haber puesto asteriscos" "podrias haber puesto una captura de pantalla" etc.
Creo que el hecho de haber mostrado los datos aca, es irrelevante a la hora de protejer los datos personales de los afectados. Quien publicó los datos en primer lugar fue el Ministerio de Educación. Si yo accedi, es porque estaban disponibles, porque ellos lo publicaron. Asi que no me vengan ahora con que los datos eran privados. De hecho la ley dice que la sancion sera para quienes: "Revelare a otro información registrada en un banco de datos personales cuyo secreto estuviere obligado a preservar por disposición de una ley.". O sea, esto es para quienes tenian obligacion de guardar el secreto. No es mi caso. Ni tampoco el del Zorro, que fue quien se dio cuenta del problema.
4- "¿Teniendo los datos de 1300 empleados, como no los usaste para avisarles?".
Si los use. Nunca dije que no los habia usado. Entre en varias casillas y respondi mensajes colectivos explicando la situacion. Incluso conteste un spam que habia recibido una trabajadora del Ministerio. Contesté con copia a todos (porque estaban en el CC varios usuarios del Ministerio), pidiendo informacion con respecto al tamanio y precio del producto (un consolador). Esto deberia haber llamado la atención. :)
5- "Tu si ves un coche abierto y el duenho no te coge el telefono no le dices donde esta el coche a todo el mundo para que el duenho aprenda lo que es bueno no? es que hay que ser cabron :)".
Es buena comparacion. Supongamos que el coche abierto esta en el estacionamiento de un estadio de futbol. Y veo que otros ya vieron que el coche estaba abierto, no fui yo el unico. Entonces aviso al locutor del estadio para que anuncie por los parlantes sobre el problema. Eso causara que el dueño lo solucione. Si causa que alguno lo robe, bueno, es culpa del ladron y responsabilidad de quien dejo la puerta abierta, pero no mia que avise, porque robar podian robar igual desde que dejan la puerta abierta y desde que ya existia gente que sabia del problema.


Reflexión final:

Como dije en el primer mensaje, aca hay una cadena de errores para llegar a esto. No soy quien para juzgar lo que a primera vista es una gran incompetencia del Ministerio de Educacion. Si puedo evaluar mi responsabilidad o mi manera de actuar. Si bien el problema fue resulto gracias a mi mensaje en BarraPunto, no hay duda podria haber hecho las cosas de mejor manera, como por ejemplo, avisando al ArCERT cuando el ME no respondio a mis mensajes. Creo que tambien hay algunas fallas de parte del estado. Porque problemas de seguridad, siempre va a haber. En todos lados. Lo que podrian mejorar es el aspecto de comunicacion. Si ponen un formulario para contacto en una pagina, lo menos que tienen que hacer es leer lo que envian por ese formulario. Sino, para que esta ese formulario? Obviamente es para aparentar que escuchan a los ciudadanos. A menos que quieran creer que lo leyeron y no les importo, lo que seria peor. Y si no van a leer eso (porque llegan muchos mensajes me han dicho por ahi), deberian habilitar un link o un email especial para reportar problemas de seguridad. Por otra parte el ArCERT deberia tener un poco mas de publicidad, apostaria que el 99,99% de los argentinos no saben que eso existe. Ni siquiera quienes trabajan con computadoras (salvo algunos en seguridad informatica). Tambien la gente del ArCERT podria firmar electronicamente sus emails y sobre todo, dar un nombre, al menos a mi me gusta saber con quien estoy hablando. No creo tener la razon en esto, pero al menos creo que si hace falta un debate o al menos un intento de reglas claras sobre que hacer en estos casos. Si veo un delito, tengo que informar a la policia, si veo un incendio, a los bomberos, pero si veo una filtracion de datos en una pagina del estado, a quien hay que llamar? Lo logico es llamar a la reparticion afectada, pero si no responden, como este caso, a quien? Aparentemente, es al ArCERT, pero eso deberia, para mi, estar notificado en algun lado.

publicadas por Sebastian @ Link to this post3:06 p. m.