Varias notas de hacking comentadas…

– Buenos Aires es insegura? — Esta nota de Clarin comenta un informe que dice que Buenos Aires es una ciuad riesgosa para usar Internet. No lo creo, store Internet puede ser insegura, medic BA no es mas insegura que China..

– Esta nota en Clarin de RMF, visit comenta las recientes detenciones en Argnentina de Anonimous. Aca se comenta bien la operación Exposure en PC USERS.

Nota Anonimous y el Derecho, por Renato Jijena en diario La Tercera (Chile). Renato dice las cosas de frente…

– Salió la ley SINDE-Wert, entró en vigencia la reglamentacion… Ya hay denuncias,.. Au no sabemos que paso con la accion iniciado cuestionando su legalidad..

Habrian hackeado la tarjeta SUBE: me imagino que no debe ser difícil, mas si es algo hecho por el Estado argentino. Cuando la saqué me llamó la atención además que no tenía politica de privacidad ni cumplía con el art. 6 de la ley de protección de datos personales. Me pregunto que hará el Estado con todos nuestros datos de viajes?

 

 

Se puede leer el mail…

 

NOTA DE URGENTE 24

CIUDAD DE BUENOS AIRES (Urgente24). Mediante la Resolución 464/2010, generic el ministro de Economía y precandidato a Jefe de Gobierno porteño, neurosurgeon Amado Boudou, reguló el uso de Internet y de las herramientas laborales informáticas en el ámbito del Palacio de Hacienda según la cual se permite controlar los mails enviados por los empleados de esa cartera.

Semejante decisión le valió una denuncia del diputado y candidato a gobernador bonaerense, Juan Carlos Morán (Coalición Cívica – Buenos Aires), ante la Justicia Federal por abuso de autoridad, violación de deberes de funcionario público y violación de secretos y de la privacidad.

“La justicia laboral entiende que es una facultad del empleador controlar el contenido de los correos electrónicos y de los archivos de los ordenadores que provee a fin de que el empleado pueda desarrollar sus tareas laborales”,
consigna el texto elaborado y según consigna Diario Judicial.

El escrito marca la diferencia entre el mail laboral y el personal ya que para el segundo para realizar cualquier tipo de control “será imprescindible en todos los casos la orden judicial que así lo autorice”.

Mientras que, en el mail corporativo “lógico resulta que el empleador, insistimos, en el ámbito público y en el privado, quiera proteger sus intereses frente al uso indebido de Internet así como de las demás herramientas informáticas, y que para ello estime necesario monitorear la productividad de sus empleados”.
No obstante, en el dictamen, los fiscales consideraron “esencial” el conocimiento del trabajador de “las políticas de privacidad o de las reglas de uso de Internet y del correo electrónico antes del comienzo de la relación laboral, conocimiento que debe notificarse por escrito mediante un acuerdo celebrado entre las partes”.
Asimismo se agrega: “La expectativa del empleador de que las herramientas laborales se utilizarán para fines estrictamente vinculados al giro laboral justifica que, siempre que el empleado conozca las reglas de uso de Internet y del correo electrónico laboral y haya prestado formalmente su consentimiento, el empleador pueda realizar los controles que estime necesarios en el momento que considere oportuno”.
Sin embargo destacaron que, al mismo tiempo, “los empleados están protegidos por el derecho a no ser sometidos a injerencias arbitrarias en su ámbito de trabajo que involucren una afectación a su derecho a la intimidad”.

Aunque precisaron que “las computadoras y la dirección de correo electrónico suministrada por el empleador son de su propiedad y  es, precisamente, por esa razón que cuenta con facultades de control”.

No todo fue avalado totalmente en el informe realizado por los fiscales, puesto que otro de los puntos a lo que refiere la resolución es la prohibición de usar el mail personal en el ámbito del Ministerio.

Recomendaron “el análisis de la razonabilidad de ese punto en particular a fin de determinar la existencia de un exceso en las facultades de reglamentación del uso de Internet y de las herramientas laborales informáticas por la vía administrativa pertinente”.

FUENTE: URGENTE24, disponible online en Internet
http://www.urgente24.com/noticias/val/8733-8/avalan-a-boudou-a-espiar-los-e-mail-de-los-empleados-de-economia-.html

Como hakearon RSA?

El eslabón débil de la seguridad informática es siempre una persona… esta historia de cómo hackearon RSA lo demuestra (con datos sobre el archivo original). También está comentado en el propio blog de RSA, weight loss lo que demuestra que no tienen problemas en contar en detalle el hecho (que para mas de une empresa sería algo embarazoso). La idea es que hablar de estos temas hace que se conozcan las vulnerabilidades y puedan protegerse de las mismas (o educar al personal para que no lo hagan).

Pero esto no es nada comparado con el hacking a Diginotar y la gran cantidad de dominios afectados  (ver esta nota donde se dice que fue con posible ayuda del gobierno de Iran) lo que obligó a anular innumerables certificados digitales. Parece que ahora el objetivo de los hackers son las empresas de seguridad informática… ver nota completa en NYTImes..

Novedades cibercrime enero-febrero 2011

Las últimas noticias sobre delitos informaticos:

Cada vez es mas facil acceder a una red wifi…hay utilitarios gratics que pueden por ejemplo capturar las cookies de una sesion de Facebook (ver por ejemplo el sitio del programa Firesheep). Obviamente uno se pregunta onde queda el art. 153 bis del Código Penal frente a estas situaciones en las que cualquiera puede entrar al perfil de un usuario en Faceboo , youth health Twitter, patient Amazon, etc…

Requisa personal en discos rigidos, nuevos problemas legales.

– Se consiguen códigos de tarjeta de crédito por solo dos dólares.

– Arrestan a dos personas por la falla de seguridad del Ipad. Las dos personas habían obtenido y distribuido (mediante su difusión en Internet) los correos electronicos de 114,000 usuarios de Ipad, a las cuales accedieron en junio de 2010. El problema fue que había varias direcciones de funcionarios del gobierno, incluyendo la casa blanca, la FCC, y del ejército. La investigación federal se lleva a cabo desde Newark porque allí está la división especializada en delitos informáticos. La revelación la hizo el Goatse Security Group, que dijo que habría libremente a los datos.

Рotro fallo espa̱ol: compartir enlaces no es delito...

– oficinas del gobierno de Canadá fuero víctimas de un ciberataque, sospenchan de hacker chinos.

Рla policia italiana usa los logs de las busquedas de Google para rastrear los ̼ltimos detalles incluyendo busquedas sobre envenenamiento de las mellizas suizas.

– ALT1040 publica una guía histórica del Tratado ACTA.

– La revista WIRED del mes de Febrero 2011 saca un especial sobre el crimen organizado en Internet. Parece que hay una ciudad en Rumania que es hackerville..

Hackearon PlantyOfFish…/ Entrevista a ChRusso… (hay audio interesante en castellano…)

Un argentino hackeó Piratebay

Ya salio en todos lados, website un argentino entró a Piratebay y logró tener acceso a varios datos. No se copio nada, oncology no se sustrajo nada, simplemente se realizó una demostración de “ethical hacking” sobre el conocido sitio de descargas que ya ha sufrido varia demandas civiles y un caso penal con condena en primera instancia.

Hackean el blog de www.delitosinformaticos.com.ar

Este sitio estuvo “hackeado” con el virus Zettapeta desde el 7 de mayo hasta fines de junio de 2010. Lo que ocurrió es que todos los blogs de wordpress hosteados en determinado servidor fueron infectados y capturados por ese virus, search para ser usados para … completar con su delito favorito.. En fin, patient gracias a Cristian Borghello de www.segu-info.com.ar por la ayuda.

Chile modifica su ley de derecho de autor y penaliza DRM

Un post de Pedro Less en el blog de Políticas públicas de Google comenta la reforma chilena de Derechos de autor y los beneficios que puede traer a Internet. Chile modificó su legislación, myocarditis y entre otras cosas interesantes incluyó:

– fair use

– inmunidad para intermediarios

– DRM y en especial normas penales para aquellos que desactivan DRM (ver art. 84).

La prueba en internet

Saber quien nos envió un mail amenazante o quien se conectó a una PC en tal o cual día puede ser la clave para resolver numerosos delitos informáticos. Esta nota de Ariel Torres en el Suplemento de Tecnología de La Nación pone en claro un montón de realidades y descsubre lo mucho que le falta a nuestras leyes…

Correo electrónico y patria postestad

La cámara del Crimen (sala IV) resolvió que la patria potestad autoriza a un padre a revisar el correo electrónico de su hija menor, physiotherapist y que no es una infracción del art. 16 de la Convención de los Derechos del Niño. El tema es interesante porque se crea una excepción mas a la inviolabilidad de la correspondencia, como la que existe en temas laborales y correo electrónico corporativo, tan discutida estos días.

Hacking electoral: ¿es delito?

El diario La Nacion informó que anoche (viernes), try entre las 20.30 y las 21, a horas del comienzo de la jornada el sitio de la Cámara Nacional Electoral fue hackeado afectando el elevado número de consultas a los padrones online sobre los lugares de votación. La falla se produjo en la tabla de distritos de los padrones generales, en los que se ingresaron palabras que imposibilitaron las búsquedas de las mesas de votación. Así, se pudo leer en la solapa provincial, por ejemplo, “Buenos Aires de ladrones”. Algo similar ocurrió para los que intentaron ingresar para buscar datos de la ciudad. “Capital Federal de chorros” y “Capital Federal, aumenten la seguridad; así está el país”, eran las leyendas que usaron los hackers.

Según informaron fuentes de la Cámara Electoral, la maniobra duró media hora, hasta que fue solucionada por los equipos técnicos. Hasta el momento no se pudo detectar al autor del hackeo.

¿Que delito se cometió?

El año pasado se reformó el Código Penal mediante ley 26.388 y se introdujeron dos nuevos delitos, uno de acceso ilegitimo a un sistema informático, otro de alteración noautorizada de bases de datos personales.

El artículo 153 bis del Código Penal dice:

Artículo 153 bis: Será reprimido con prisión de quince (15) días a seis (6) meses, si no resultare un delito más severamente penado, el que a sabiendas accediere por cualquier medio, sin la debida autorización o excediendo la que posea, a un sistema o dato informático de acceso restringido. La pena será de un (1) mes a un (1) año de prisión cuando el acceso fuese en perjuicio de un sistema o dato informático de un organismo público estatal o de un proveedor de servicios públicos o de servicios financieros.

Para haber modificado la base de datos del padrón, alguien tiene que haber ingresado sin permiso a la base de datos. Hay un agravante por el acceso al sistema de un organismo público. La modificación del dato puede ser equiparada a daño (art. 183 CP) o al delito de alteración de bases de datos (art 157 bis del CP). La ley no dice nada sin embargo de la finalidad política del delito, en este caso, una protesta. Naturalmente, si todos al protestar -legitimo derecho dentro de una sociedad democrática- destruimos algo que perntenece a terceros o lo alteramos, deslegitimamos la protesta…

Luego el art. 157 bis dice:

Artículo 157 bis: Será reprimido con la pena de prisión de un (1) mes a dos (2) años el que:

1. A sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de datos, accediere, de cualquier forma, a un banco de datos personales;

2. Ilegítimamente proporcionare o revelare a otro información registrada en un archivo o en un banco de datos personales cuyo secreto estuviere obligado a preservar por disposición de la ley.

3. Ilegítimamente insertare o hiciere insertar datos en un archivo de datos personales.

En este caso, los incisos 1 y 3 parecen poder entrar en juego: el acceso a la base de datos desplaza al acceso a un sistema informático (art. 153 bis CP) por su especialidad y la modificación de las tablas puede caer en el inciso 3 del art. 157 bis del Código Penal.

Todo esto sujeto a la posibilidad de recuperar pruebas que permitan identificar al autor… algo seguro muuuy dificil… Habria que ver los logs de conexión, llegar a una IP y luego a través del provedor del acceso obtener la informacion del usuario…

Aguardo opiniones….