Servicios web de la república exponen información confidencial.

Información General

Nos gustaría tomar la responsabilidad de llevar a cabo auditorias de seguridad extensivas en cada una de las infraestructuras del gobierno nacional y remediar cualquier falla de seguridad que pueda afectar a la estructura tecnológica de la nación argentina.

Creemos que es necesario realizar estas auditorias a fin, de ponerle fin, a cualquier falla de seguridad o vector que permita que se pueda extraer información sensible de nuestro gobierno, nuestra nación y los ciudadanos de la república.

Disponemos de un equipo de profesionales Argentinos, con una extensa experiencia de trabajo en organizaciones bancarias y gubernamentales de otros países, seriamente capacitados para llevar a cabo de esta tarea, y a su vez disponemos de todo el equipamiento necesario para realizarlo.

En la próxima página se presenta una lista detallada de las estructuras las cuales consideramos necesarias auditar.

A fin de llevar a cabo esta labor, proponemos hacer un análisis progresivo,  analizando una por una cada una de las estructuras mencionadas.

Al finalizar el proceso de análisis presentaremos un documento de carácter confidencial, donde se detallen cada una de las fallas de seguridad y posibles riesgos, documentando a la vez como remediar los mismos.

Luego, nos ocuparemos de trabajar a la par de los equipos correspondientes para remediar cada uno de los posibles riesgos en su totalidad.

Una vez finalizada la primera estructura, pasaremos a repetir el mismo proceso en la segunda, y así sucesivamente hasta haber completado el análisis y haber realizado todas las modificaciones y refuerzos necesarios en los sistemas y la infraestructura.

Nos gustaría, a la vez, responsabilizarnos de brindar un seguimiento anual de cada una de estas estructuras, realizando nuevamente el mismo proceso de análisis (o auditoria), presentación del informe, y corrección de cada una de las fallas, un año después de realizar el primer análisis y así sucesivamente, para mantener la infra-estructura, actualizada a cada una de las posibles fallas de seguridad, vulnerabilidades y nuevos riesgos potenciales que vayan apareciendo año a año.


Proponemos analizar cada uno de los servicios online de la nación:

Superficie a analizar

http://www.buenosaires.gob.ar
https://mapa.buenosaires.gob.ar
http://www.gba.gob.ar
http://www.uba.ar
http://www.arzbaires.org.ar
http://www.agip.gob.ar
https://www.argentina.gob.ar
http://www.afip.gob.ar
http://www.anses.gob.ar
http://www.arba.gov.ar
http://comollego.ba.gob.ar
http://www.mininterior.gob.ar
https://tramitesweb.mininterior.gob.ar
http://www.cck.gob.ar
https://www.preciosclaros.gob.ar
https://www.sube.gob.ar
https://www.minem.gob.ar
http://www.produccion.gob.ar
http://www.justiciacordoba.gob.ar
http://www.cultura.gob.ar/
http://www.cnv.gob.ar/
http://www.cba.gov.ar
http://www.nollame.gob.ar
http://inta.gob.ar
http://www.mincyt.gob.ar
http://www.msal.gob.ar
http://www.celfi.gob.ar
http://www.inti.gob.ar/
http://www.datos.gob.ar
http://www2.ssn.gob.ar
http://www.enacom.gob.ar
http://www.mardelplata.gob.ar
http://tecnopolis.gob.ar
https://cnrt.gob.ar
http://www.diputados.gob.ar
http://www.conectarigualdad.gob.ar
http://consultapublica.jusbaires.gob.ar
https://comprar.gob.ar
http://www.abc.gov.ar
http://inversiones.gob.ar
http://www.agroindustria.gob.ar
http://www.srt.gob.ar
http://www.parquesnacionales.gob.ar
http://www.visaestudiantil.gob.ar
http://consumidor.gob.ar
http://ambiente.gob.ar
http://www.desarrollosocial.gob.ar
http://www.pjn.gov.ar
https://www.justicia2020.gob.ar
http://www.pakapaka.gob.ar
http://www.cordoba.gob.ar
http://www.sssalud.gov.ar
Y muchas más…

Tiempos

Consideramos una demora de 1 mes por equipo por cada una de las estructuras anteriormente mencionadas, hasta presentar el informe. Esto significa que comenzando por la primer estructura, tomará un mes, en realizar un análisis completo de la misma y crear el informe, informando cada una de las posibles fallas de seguridad.

No nos es posible calcular con precisión la demora estimada para remediar las fallas de seguridad y los riesgos presentes en las mismas infraestructuras, ya que en gran parte, estaremos sujetos a los tiempos y la cooperación de cada uno de los equipos técnicos responsables del desarrollo y la producción de cada una de las mismas. Sin embargo, consideramos que el proceso de corrección de las fallas de seguridad, podría demorar un máximo de 2 a 3 semanas adicionales, luego de presentar el informe.

Descripción gráfica del proceso

Se firma una aprobación oficial para realizar el análisis de www.buenosaires.gov.ar
Se comienza el proceso de análisis de la web y la infraestructura subyacente
Se crea un informe detallado de todos los posibles riesgos y fallas de seguridad
Se organiza una reunión con el equipo técnico responsable a fin de comenzar a remediar cualquier posible riesgo.
Se realizan las modificaciones necesarias, asegurándonos de que cada una de las fallas sean mitigadas en su totalidad.
Opcional: se brindará un informe final donde se expliquen los procesos realizados a fin de remediar las fallas de seguridad.
Para esta instancia la aplicación se encuentra completamente segura.

El mismo proceso se ha de llevar a cabo para cada una de las estructuras mencionadas en la página anterior. Logrando así, al finalizar, garantizar que toda la información gubernamental y de cada uno de los ciudadanos de la nación se encuentre segura.

Posibles dudas

Ya hemos realizado un análisis de seguridad en las webs y aplicaciones nacionales y no hay fallas.

La razón por la cual les hacemos llegar esta propuesta es porque ya hemos informado diversas fallas en las aplicaciones y páginas web de la nación, y hemos localizado, no solo simples fallas de seguridad, sino fallas de seguridad las cuales podrían exponer la nación a riesgos. No solo eso, sino que al ser aplicaciones web, son accesibles desde cualquier país o lugar del mundo, haciendo posible que una persona viole la seguridad de la infraestructura nacional desde cualquier parte del mundo. Consideramos que la nación no posee una seguridad web alguna. Cualquier agresor podría ser capaz de sacar, modificar o eliminar información del gobierno nacional.

¿Por qué es necesario analizar aplicaciones web que no son de mayor relevancia?

Una de las razones principales por las cuales se incluyen en la superficie de análisis diversas aplicaciones y web que han sido creadas sin un fin demasiado específico, es que muchas veces las páginas o aplicaciones web se ubican en servidores, los cuales, a su vez son usados por aplicaciones web de mayor relevancia. Violar la seguridad de una sola aplicación web menor, le podría dar lugar al agresor a acceder a la red de servidores, donde podría sacar y/o manipular información de una aplicación web de mayor relevancia ubicada en el mismo servidor o incluso en la misma red.

¿Es la primera vez que se proponen analizar la seguridad de las aplicaciones web nacionales?

No, nos hemos ofrecido a analizar y reforzar la seguridad de cada una de las aplicaciones web de la nación más de una vez, pero no hemos sido escuchados. Creemos que la seguridad web de una nación no es algo menor y el análisis y reparación de las fallas de seguridad debería de ser conducido con urgencia. No es verdaderamente importante quien realice estas auditorias, pero consideramos crucial que alguien finalmente se haga responsable y se lleven las mismas a cabo.

¿Cuán grabes son las fallas que dicen haber localizado en aplicaciones web de la nación?

Solo para usar como referencia, la web www.sssalud.gov.ar la cual corresponde a la superintendencia de servicios de salud, posee vulnerabilidades clasificadas como inyecciones SQL, las cuales hacen posible sacar, eliminar o modificar información, consideradas una falla de seguridad crucial.

En segundo lugar, podríamos mencionar www.buenosaires.gob.ar donde hay diversos errores de validación en los mecanismos de búsqueda, donde desde ya, podríamos informar, que dan lugar a una falla de seguridad conocida como XSS:

Del mismo modo que las dos aplicaciones web mencionadas a priori, la mayoría de páginas y aplicaciones web nacionales poseen grabes fallas de seguridad las cuales deberían de ser corregidas.

¿Cuáles son las aplicaciones web que habría que analizar? ¿Qué aplicaciones web hay con dominio .gob.ar?

A fin de descubrir que páginas, o aplicaciones web poseen dominios .gob.ar y/o corresponden al gobierno de la nación, lo ideal sería organizar una breve reunión con el equipo de nic.ar, una organización nacional cuya responsabilidad es la de ordenar, disponer, organizar y comercializar los nombres de dominio nacionales. Ellos son capaces de darnos la información  de manera precisa. Sin embargo, en caso de no disponer de la cooperación de ellos, no sería, de mayor complicación conseguir la información precisa por medios propios.

¿Por dónde proponen comenzar?

Proponemos comenzar, con los recursos (aplicaciones o páginas web) aquellos los cuales, podamos disponer de manera más fácil los debidos permisos para realizar el análisis. De alguna manera, proponemos comenzar a analizar, por donde sea más fácil y rápido comenzar a analizar, para luego ir sumando los debidos permisos para el análisis de las aplicaciones o páginas web que corresponden a organizaciones nacionales exógenas, como podría ser, la web nacional del gobierno de córdoba (www.cordoba.gob.ar).

En caso de ser posible conseguir un solo permiso, el cual incluya el análisis de cada una de las aplicaciones y web nacionales, en ese caso, nos sería mucho más fácil la organización de los diversos análisis, ya que no sería necesario realizar una reunión de aprobación inicial con cada una de las organizaciones responsables.

Conclusión:

Al finalizar los análisis y las modificaciones de cada una de las estructuras online del gobierno nacional, vamos a haber logrado que la web nacional, por así decirlo, cada una de las páginas y aplicaciones web del gobierno de la república, sean de las más seguras del mundo. Tan seguras como las páginas, y aplicaciones webs del gobierno de USA o cualquier país de Europa.

Nuevas formulaciones:

Hemos recibido algunas formulaciones adicionales que han de ser aclaradas:

  1. ¿Cuál es la razón por la cual el análisis debería de ser llevado a cabo por una organización privada?
  2. ¿Quién llevará a cabo los análisis y cuál es la experiencia previa de la empresa?
  3. ¿Cuáles son los riesgos a los cuales las aplicaciones y páginas webs nacionales se hayan expuestos?
  4. ¿Cuáles podrían ser las consecuencias del abuso de las fallas de seguridad?
  5. ¿Cómo el análisis y corrección de la web del gobierno de la nación ayudarían a la seguridad nacional y la de los ciudadanos?
  6. ¿De qué manera el análisis de las aplicaciones y páginas web de la nación, haría más segura la comunicación confidencial?
  7. ¿Por qué consideran que la condición de seguridad de la web nacional al día de la fecha da la impresión que nadie se hace cargo?
  8. ¿Se podrían dar algunos casos modelos donde se vea la ineficiencia de la seguridad?
  9. ¿Cuáles son las responsabilidades de la empresa que llevará a cabo los análisis?
  10. ¿Cuál es el alcance de las mismas responsabilidades?
  11. ¿Qué pasaría si surge alguna una emergencia una vez firmado los acuerdos y luego de comenzar los análisis?
  12. ¿Cómo se propone resolver esas emergencias y cómo se definen los responsables?
  13. ¿Qué se requiere del Gobierno a fin de comenzar?
  14. ¿Cuáles son los precios para realizar el análisis?
  15. ¿Cuál es el plan de acción, por donde se comenzaría?
  16. ¿Qué clase de acuerdos se firmaría previo a comenzar los análisis?

(1) ¿Cuál es la razón por la cual el análisis debería de ser llevado a cabo por una organización privada?

Diversas organizaciones y organismos, públicos y privados realizan auditorias de seguridad informática sobre sus sistemas cada año y en la mayoría de los casos, estas auditorías son realizadas por organizaciones privadas, dado que disponen de mayores recursos económicos y personal especializado que las organizaciones públicas creadas para el mismo fin.

Una de las organizaciones privadas más conocidas es la empresa estadounidense normalmente conocida como Booz Allen, con su sede central en Fairfax, Virginia. De acuerdo con Wikipedia he información de acceso público:

“Su negocio principal gira en torno a la prestación de servicios de consultoría, gestión, tecnología y seguridad, servicios que presta sobre todo a agencias gubernamentales civiles como contratista del gobierno y a agencias de defensa e inteligencia como contratista de defensa.”

“Sus servicios incluyen planificación estratégica, educación, comunicaciones, mejoras operativas, gestión de capital humano, ingeniería de sistemas, gestión de programas, seguridad y capacidad de recuperación y análisis económico”

“En 2013 la empresa adquirió notoriedad mediática cuando uno de sus empleados, Edward Snowden, cometió el quizás mayor robo de documentos secretos en la historia de Estados Unidos, que sacó a la luz la red de vigilancia mundial que poseen las agencias de inteligencia de varios países y la colaboración en ella de la propia empresa.”

Booz Allen dispone de más de 22,000 profesionales y un market capital de $4.53 mil millones de dólares estadounidenses. Sus ingresos anuales rondan los $5480 millones de dólares.

Sin embargo, la realidad es que no hay ninguna razón para que las auditorías de seguridad y las reformas en las aplicaciones sean llevadas a cabo por una organización privada, o bien por nosotros mismos. Lo que es en verdad importante, es que las mismas sean realizadas, que sean realizadas por profesionales que verdaderamente sepan realizarlas y que sean hechas con urgencia.

(2) ¿Quién llevará a cabo los análisis y cuál es la experiencia previa de la empresa?

Las aplicaciones y páginas web de la nación serán analizadas y remediadas por un equipo de profesionales de seguridad, a quienes consideramos apropiados para llevar a cabo la labor.

Dado que la mayoría de los mismos profesionales brindan servicios de seguridad a diversas organizaciones alrededor del mundo, de manera independiente o bien, por medio de sus propias compañías; proponemos la formación de una nueva organización privada la cual agrupe a los mismos profesionales quienes consideramos más apropiados para realizar la labor.

En lo personal creo que el país dispone de varios, sino muchos profesionales en verdad con años de experiencia en el campo de la seguridad, y a quienes conozco de manera personal y ya hemos realizado esfuerzos en equipo.

Como experiencias previas, en lo personal, si bien, muchos de los casos implican acuerdos de confidencialidad que no permiten revelar información, se podría mencionar:

  • 7 vuelos a India donde he conducido cursos y charlas de seguridad para diversas áreas del Gobierno de India
  • Incluyendo la cámara de comercio, desde el 2010 al día de la fecha.
  • Alrededor de un año y medio brindando servicios para organizaciones bancarias y financieras en Saudi Arabia.
  • Varias informes a compañías y empresas alrededor del mundo sobre riesgos cruciales y fallas de seguridad.
  • El desarrollo de diversas aplicaciones que realizan pruebas de seguridad avanzadas.

(3) ¿Cuáles son los riesgos a los cuales las aplicaciones y páginas webs nacionales se hayan expuestos?

Es imposible especificar con precisión a qué riesgos las aplicaciones se encuentran actualmente expuestas, sin realizar un análisis adecuado primero, y para eso es necesario disponer de permisos y aprobaciones.

Sin embargo, en lo personal, creo con sinceridad que varias de las aplicaciones y páginas web nacionales podrían ser “hackeadas” ahora mismo, a la hora que escribo el informe. Los riesgos implican: la posibilidad de robar y hacer pública cualquier información confidencial que se ubique en los servidores, modificar la información con cualquier fin, remplazar o manipular la información…

Cualquier persona que logre acceso a los servidores, sería capaz de realizar lo que quisiera con la información disponible en los mismos, desde copiarla y salir sin realizar ningún daño, a remplazar la página principal colocando imágenes ofensivas o de cualquier índole.

(4) ¿Cuáles podrían ser las consecuencias del abuso de las fallas de seguridad?

Considero que ya han sido nombradas algunas de las posibles consecuencias. Pero podríamos expandir mencionando algunos casos donde fallas de seguridad en aplicaciones y servicios web hayan causado consecuencias a nivel nacional:

(5) ¿Cómo el análisis y corrección de la web del gobierno de la nación ayudarían a la seguridad nacional y la de los ciudadanos?

Pido disculpas por la comparación de la cual haré uso. Pero de alguna manera sería como decir “¿Cómo analizar y corregir edificios que podrían derrumbarse ahora mismo en el medio de la ciudad podría ayudar a la seguridad nacional y la de los ciudadanos?”

La seguridad de las aplicaciones web de cada uno de los gobiernos de la república no es un problema menor. Las mismas poseen información confidencial, información económica sobre cada uno de los ciudadanos de la república. El hecho de que se pueda considerar la posibilidad de que la seguridad de las mismas no sea buena, requiere, en mi humilde opinión una acción rápida y con urgencia para remediar las condiciones.

Considero que una sola falla de seguridad en la infraestructura de organizaciones como la AFIP, o la ANSES, por nombrar dos, podrían exponer y conllevar un riesgo para cada uno de los ciudadanos de la república.

(6) ¿De qué manera el análisis de las aplicaciones y páginas web de la nación, haría más segura la comunicación confidencial?

El análisis de las aplicaciones y páginas web de la nación no haría más segura la comunicación confidencial, sino la información confidencial de cada uno de los ciudadanos de La nación.

(7) ¿Por qué consideran que la condición de seguridad de la web nacional al día de la fecha da la impresión que nadie se hace cargo?

Quizás sea una de las más complicadas de responder. Comencemos por una observación: el hecho de que la página web del gobierno de la ciudad de Buenos Aires (www.buenosaires.gob.ar) no haga uso de manera global de comunicaciones seguras (conocido como HTTPS), desde ya no es un buen indicio. Es claro que la página web del gobierno de la ciudad de Buenos Aires, es una de las páginas web con mayor frecuencia de revisiones y modificaciones en la república, por lo cual, una falla de seguridad en www.buenosaires.gob.ar implicaría o daría lugar a deducir que varias de las demás aplicaciones del gobierno nacional se hayan en condiciones iguales o peores.

Luego de realizar algunas pruebas básicas y no ofensivas, se pueden observar fallas de seguridad conocidas como XSS en www.buenosaires.gob.ar, lo cual hace que las cosas sean ya un poco más serias. La presencia de una falla clasificada como XSS implica que los ingenieros a cargo de la aplicación no revisaron por lo menos uno de los campos donde hay información enviada por el usuario.

Si bien una falla de seguridad como XSS es clasificada una falla de seguridad mayor, o de riesgo elevado, lo que en verdad es peor, es que las condiciones para que se genere una falla de XSS son las mismas, que para una segunda clasificación o grupo de posibles fallas de seguridad conocidas como “inyecciones SQL”, dado que ambas fallas comienzan en el mismo principio: La aplicación no realiza las validaciones necesarias, previo a operar con información enviada por el usuario.

La página web del gobierno de la ciudad de Buenos Aires, realiza decenas de operaciones online, incluyendo operaciones financieras donde se pueden realizar pagos por medio de Visa, American Express, y más. A la vez, la página web del gobierno de la ciudad de Buenos Aires, posee una larga sección denominada “TAD” la cual da la posibilidad de realizar operaciones online. Por lo cual, se puede asumir que la red almacena grandes volúmenes de información clasificada. Considerando eso, el abuso de una falla de seguridad como una inyección SQL sería un problema serio de nacional.

(8) ¿Se podrían dar algunos casos modelos donde se vea la ineficiencia de la seguridad?

  1. http://www.buenosaires.gob.ar/bweb/search?keys=asi%20es%20como%20deber%C3%ADa%20de%20responder
  2. http://www.buenosaires.gob.ar/bweb/search?keys=asi%20es%20como%20%3Ch1%3Eno%3C/h1%3Edeber%C3%ADa%20de%20responder!

Como podemos ver en el primer caso, la aplicación funciona de forma normal. Devuelve información sobre diversas páginas con información sobre la búsqueda, devuelve la posibilidad de seleccionar una fecha para refinar los mecanismos de búsqueda, devuelve una paginación al final de la columna principal. Y podemos observar como al comienzo, la búsqueda del usuario aparece en una medida especificada.

En el segundo caso, se puede observar lo que se conoce o denomina XSS, una falla de seguridad sería que podría ser abusada de diversas maneras. Para comenzar, podemos ver que la palabra “no” es más grande, ya que la dirección (la URL pedida por medio del buscador de la aplicación) realiza una inyección de HTML. La inyección de HTML es inocua, pero inofensiva, y alcanza para probar la presencia de un XSS. La información enviada por el usuario no es analizada en lo más mínimo previo a ser procesada, lo cual da lugar a cualquier usuario con experiencia a realizar modificaciones, acciones e inyecciones de mayor volumen y más agresivas sobre la aplicación.

Veamos un caso un poco más avanzado, de la misma falla:

http://www.buenosaires.gob.ar/bweb/search?keys=%3Ca%20style=%22font-size:90px;%20color:%20red;%20line-height:60px;%20text-transform:uppercase;%22%3Easi%20es%20como%20no%20deberia%20de%20responder%3C/a%3E%3Cbody%20style=%22background:%20black;%20color:%20white;%22%3E&q=bweb/search&facet_year=2014%22%20ORDER%20BY%2012123&page=1

Eso es una inyección un poco más armada, pero a la vez inofensiva, ya que no realiza cambios cruciales en la aplicación (los cuales podrían realizarse en caso de que eso fuera lo que se desee). En el caso final, podemos observar como el usuario puede manipular el color de fondo de la aplicación y colocar información a su disposición.

Pueden pasar por desapercibidos, quizás, dos de los ángulos más peligrosas del caso:

1) El parámetro &facet_year, lleva asignado el valor 2014″. El uso de comillas dobles al final del valor, genera lo que arriba se puede observar como un simple error, “Server not available”, ese error, para los buenos observadores, es la única frase en inglés visible en la web oficial del gobierno de la ciudad de Buenos Aires, y no es generado por la falla la cual mencionamos como XSS, sino que es el posible comienzo de una falla aún mayor, clasificada como “inyección SQL”, en caso de ser así, podría dar lugar a acceder a la información de cada una de las operaciones realizadas por “TAD”.

2) Y para el final, en mi experiencia, lo más peligroso: las 2 fallas acá informadas, el XSS y lo que podría ser, (muy probable) una inyección SQL o al menos, una falla de seguridad relacionada la base SQL, ¡se hayan al comienzo de la aplicación! En el mismo campo de búsqueda de la página de inicio de la web oficial del gobierno de la Ciudad de Buenos Aires (www.buenosaires.gob.ar). En mi experiencia personal, si es posible localizar una falla de seguridad en las secciones de acceso de una aplicación web (donde los ingenieros y programadores suelen asignar mayor volumen de horas para la creación y el análisis), es deducible que podríamos observar muchísimos más casos aún más graves y con mayores riesgos (aunque ya no es posible que sea mucho más riesgoso) en las secciones menos usadas de la aplicación.

Ahora, habiendo realizado un breve análisis solo de la primera sección, de buenosaires.gob.ar, la cual sea, quizás una de las páginas más cruciales y desarrolladas de la republica hemos localizado una posible inyección SQL y XSS. ¿Qué podríamos esperar de las secciones menos usadas de la misma y qué podríamos esperar de las aplicaciones web menos usadas?

Es por eso que podríamos deducir con facilidad que la seguridad de las aplicaciones web nacionales es simplemente inaceptable.

(9) ¿Cuáles son las responsabilidades de la empresa que llevará a cabo los análisis?

La responsabilidad de la empresa es la de resolver con urgencia y de manera adecuada y profesional, cada una de las fallas de seguridad en las aplicaciones del gobierno nacional. Llevando a cabo cada uno de los procesos mencionados en la página 6.

(10) ¿Cuál es el alcance de las mismas responsabilidades?

La empresa llevará a cabo una por una las auditorías de seguridad, para luego resolver los problemas de seguridad en equipo (o no) con los ingenieros a cargo de la web de la organización responsable. Al cabo de un año, la empresa propone volver a analizar cada una de las estructuras a fin de corregir posibles nuevas fallas de seguridad, manteniendo así la seguridad actualizada. Si bien, muchas organizaciones y empresas consideran realizar auditorías de seguridad cada 6 meses, no consideramos que sea necesario.

(10) ¿Cuál es el alcance de las mismas responsabilidades?

La empresa llevará a cabo una por una las auditorías de seguridad, para luego resolver los problemas de seguridad en equipo (o no) con los ingenieros a cargo de la web de la organización responsable. Al cabo de un año, la empresa propone volver a analizar cada una de las estructuras a fin de corregir posibles nuevas fallas de seguridad, manteniendo así la seguridad actualizada. Si bien, muchas organizaciones y empresas consideran realizar auditorías de seguridad cada 6 meses, no consideramos que sea necesario.

(12) ¿Cómo se propone resolver esas emergencias y cómo se definen los responsables?

Bien, la resolución de emergencias, conocido en inglés como “DRP” no es nada nuevo, ni para nada difícil. El proceso se realiza así:

  • Se realiza una copia de cada una de las aplicaciones web, bases de información, servidores, y aplicaciones las cuales se desea salvar.
  • Las réplicas, se conservan siempre offline y sincronizadas con las versiones originales. Por lo cual no es posible acceder a las mismas.
  • Pero poseen siempre la misma información que la versión online y accesible del modelo original.
  • Un agresor logra acceder a un servidor del gobierno y elimina información o remplaza algo.
  • Se inicia la secuencia de recuperación de emergencias.
    • Se suspende el servicio/servidor/aplicación, para prevenir que el agresor robe información o siga violando la seguridad.
    • Se revisa la información de acceso en el servidor para ver de qué manera el agresor logró ganar acceder.
    • Se modifica la réplica corrigiendo las fallas de seguridad que le dieron acceso al agresor, y/o remplazando los passwords de acceso.
    • Se crea una nueva réplica del servicio/servidor/aplicación basada en la versión recién modificada de la misma.
    • Se remplaza el servicio, servidor o aplicación original por la réplica segura del mismo.
  • Con eso se considera finalizado el proceso de recuperación de emergencias y se comienza el proceso forense a fin de localizar al responsable.

Cómo podemos ver, de muchas maneras la resolución de emergencias en IT se lleva a cabo realizando un remplazo rápido de la unidad damnificada, disponiendo siempre de una copia de emergencia. Previo a colocar la nueva “unidad” la misma es corregida, remediando así el error o la falla de seguridad que le dio acceso al agresor en primera ocasión.

(12) ¿Cómo se definen los responsables?

El responsable es sin lugar a dudas la persona que viola la seguridad del servidor  fin de acceder a información clasificada con cualquier fin, de acuerdo a leyes nacionales. Del mismo modo podríamos comprar el caso de un ladrón y un policía. El policía posee el compromiso de llevar a cabo cualquier medida que su físico y la ley aprueben a fin de frenar un crimen. Sin embargo, en caso de lograr frenarlo o no lograr frenarlo, el responsable del crimen es quien lleva a cabo el mismo.

 (13) ¿Qué se requiere del Gobierno a fin de comenzar?

A fin de comenzar, realizar los análisis y las modificaciones necesarias, lo único requerido es la firma del acuerdo comercial y los permisos necesarios para llevar a cabo los análisis de seguridad y las modificaciones que serán necesarias a fin de remediar la seguridad de los servicios, aplicaciones y servidores.

(14) ¿Cuáles son los precios para realizar el análisis?

Proponemos un precio de $100,000 (ARS) + IVA por cada uno de los servicios, aplicaciones y/o páginas web a ser analizadas y remediadas. El precio por análisis se divide por dominios. Por lo cual, el análisis de www.buenosaires.gob.ar, se cobraría $100,000, incluyendo a su vez, cada uno de los subdominios de la aplicación, como:

  • bapc.buenosaires.gob.ar
  • turismo.buenosaires.gob.ar
  • bienal.buenosaires.gob.ar
  • boletinoficial.buenosaires.gob.ar

Queremos mencionar que hemos reducido de manera considerable los precios del mercado a fin de realizar los análisis, y de ser necesario, queremos que sepan, que nos disponemos a llegar a un acuerdo más allá del precio, dado que lo que en verdad queremos, es poder corregir las fallas de seguridad a nivel nacional. Sabemos que podemos hacerlo, y de alguna manera, en un país donde disponemos en verdad de muchos profesionales de seguridad, no hay razón alguna para que los servicios online, servidores y aplicaciones web del gobierno se hallen en las condiciones mencionadas.

(15) ¿Cuál es el plan de acción, por donde se comenzaría?

En la página 9 se hace referencia al plan de acción y por donde se comenzaría:

“Proponemos comenzar, con los recursos (aplicaciones o páginas web) aquellos los cuales, podamos disponer de manera más fácil los debidos permisos para realizar el análisis. De alguna manera, proponemos comenzar a analizar, por donde sea más fácil y rápido comenzar a analizar, para luego ir sumando los debidos permisos para el análisis de las aplicaciones o páginas web que corresponden a organizaciones nacionales exógenas, como podría ser, la web nacional del gobierno de córdoba (www.cordoba.gob.ar).”

“En caso de ser posible conseguir un solo permiso, el cual incluya el análisis de cada una de las aplicaciones y web nacionales, en ese caso, nos sería mucho más fácil la organización de los diversos análisis, ya que no sería necesario realizar una reunión de aprobación inicial con cada una de las organizaciones responsables.”

(16) ¿Qué clase de acuerdos se firmaría previo a comenzar los análisis?

Previo a comenzar es necesario firmar acuerdos convencionales:

Un acuerdo comercial: donde se especifica la labor a realizarse, se brindan los permisos para hacerlo y se nombran las responsabilidades de las organizaciones y un convenio de confidencialidad y no divulgación: el cual ampara a ambas organizaciones dada la confidencialidad de la información de los servidores y los mecanismos (Técnicas de seguridad) a ser usadas.

Proceso a llevar a cabo, incluyendo precios y demora:

A fin de sacar las dudas sobre el proceso, los precios y como se llevaría a cabo, se ha creado un nuevo cuadro, usando como referencia www.buenosaires.gov.ar:

Proceso Tiempo Dinero
Se firman acuerdos y aprobaciones para analizar www.buenosaires.gov.ar y cada uno de sus subdominios. 1 día
La empresa comienza el análisis de la aplicación o servicio y servidores, se incluye el análisis de subdominios. 4 semanas
La empresa crea un informe con cada una de las vulnerabilidades y riesgos localizados y como remediarlos. 2 días
Se lleva a cabo una reunión con el equipo responsable a fin de comenzar a remediar las fallas. 1 día
La empresa realiza las modificaciones necesarias, asegurándonos de que cada una de las fallas se remedie. 3 semanas
La empresa crea  un informe final donde se expliquen los procesos realizados a fin de remediar las fallas de seguridad. 2 días
Al llegar acá, se considera que www.buenosaires.gov.ar y sus subdominios no poseen más riesgos. $100,000

Calculamos que el proceso demoraría un aproximado de 2 meses como máximo, en los cuales, los servicios web de www.buenosaires.gov.ar no se verían de ninguna manera suspendidos y funcionarían con normalidad. Al finalizar el análisis de www.buenosaires.gov.ar y cada uno de sus subdominios, se comenzaría a analizar y remediar el segundo servicio, podríamos asumir www.minseg.gob.ar, para el cual, se haría de nuevo el mismo proceso:

Comments

comments

chris

Programo, escribo, leo, cuido animales, colecciono flora, fauna, perfumes y oleos, reviso e informo fallas de seguridad para organizaciones y empresas.