Susto o muerte: Hacking ético o Intrusión

Habeis realizado alguna notificación a terceros de una vulnerabilidad de su web, su

aplicación o servidor ? En mi caso, lo he hecho en dos ocasiones. La primer vez fue tras visitar la web de un grupo de música. Lo primero que me llamo la atención fue la tienda online. Esta tienda permitía comprar productos del grupo ya que la música es gratuita.

Al ver el formulario, ya vi que la seguridad no era su fuerte. Permitía sin casi conocimientos de hacking:

• Fijar tu el precio de los productos mediante manipulación de parámetros (Proxificando).
• Revisar las compras de terceros.
• Ver los pedidos anteriores
• Manipular todo el código de la web para inyectar 

Bien, vista la gravedad de los problemas identificados pensé como notificarlo. Evidentemente no había ninguna opción para notificar un problema de seguridad. De forma que decidí enviar un correo que me respondieron sorprendidos pero agradecidos.

La segunda vez que he notificado vulnerabilidades graves, mi sorpresa ha sido identificarlo en una organización grande con reputados expertos. Evidentemente estos expertos no han participado en el ciclo de desarrollo seguro, ni han realizado ninguna auditoría de seguridad de caja gris.

El asunto es bastante grave porque la información que gestiona tiene precio en el mercado, existe una canal B donde venderla y la impunidad para hacerlo es absoluta. Por otra parte, las diferentes brechas permiten acceder a información critica por una parte pero sobretodo a información especialmente protegida por la agencia española de protección de datos. Aspectos como personas que han sufrido violencia de género, bajos ingresos, minusvalias... Etc.

La respuesta a la notificación, que moralmente debía hacer, pero que sabia que iba a causar malestar en la organización, fue políticamente correcta inicialmente. No proporcione los posibles vectores de ataque y el resultado hasta que estuve seguro que proporcionaba la información a personal interno y no a una tercera empresa que gestionaba el contacto center.

La respuesta a este segundo mensaje tardo en llegar. Además de la respuesta institucional, incluía un aviso para navegantes. En concreto me recordaba la política de uso y que existían sanciones para los infractores. Supongo que era una forma de solicitar que no comprobase ningún vector adicional. En uno de esos paragrafos hacia mención de que tenían identificados los vectores menos importantes y minimizaban los graves con un argumentaría propio de tertulianos de un canal de entretenimiento.

http://www.fbi.gov/news/stories/2014/june/gameover-zeus-botnet-disrupted

Resumen: Es cuestión de tiempo que tengan un incidente grave de seguridad al tener muchos atacantes con motivación económica que pueden acceder a sus plataformas y en segundo lugar, por la gravedad de las brechas y la facilidad de explotarlas (5 minutos).

Como sobrevivir (legalmente) a la contratación de servicios Cloud

Todo el mundo tiene en mente la nueva panacea, aquello que acaba con los problemas de los departamentos IT. Pago por uso, recursos hardware ilimitados, operación 24x7, backups, monitorización y cualquier requerimiento técnico que se nos ocurra. Pagas y lo tienes

http://sdtheory.s3.amazonaws.com

inmediatamente. ¿Pero donde está el truco? Si compro una infraestructura la amortización es muy corta, y luego no tengo coste, pero no tienes flexibilidad para adaptarte a nuevas demandas, recortas al máximo en servicios, el mantenimiento es reactivo y plazos de proyectos muy largos. 

Ahhh! entonces los SaaS, IaaS, PaaS,  y lo que se te ocurra, como Service no tiene contrapartidas?

Si no pagas se acaba la fiesta, pagas por todos y cada uno de los servicios extra, y muchas veces al tratarse de infraestructura compartida te pueden estrangular el tráfico o verte afectado por problemas de terceros.

Pero lo peor (también te puede pasar en tu infraestructura) son las Transferencias de Datos Internacionales con infracciones punibles y perseguidas por la Agencia Española de Protección de Datos(AEPD). Las multas pueden llegar a 600.000€

¿Que son las TDI?, cualquier tipo de información que viajen fuera de España. Eso incluye desde servicios como gmail, amazon, Office 360, pero también un CPD operado desde India, aunque los datos estén en España. Pero existen excepciones y acuerdos que nos permiten notificar que datos se van a transmitir, pero no es necesario esperar autorizaciones. Os adjunto las principales excepciones:

* Requieren de registro de los ficheros pero no petición de autorización Artículos 26 Directiva 95/46 y 34 LOPD)
*Servicios médicos
*Auxilio judicial
*Tratados o convenios internacionales.
*Transferencias dinerarias de acuerdo a su legislación
* Consentimiento inequívoco. (No confundir con expreso)
*Solo si lo acepta ambas partes.
*Aplicación típica en los empleado propios, que no necesariamente es por escrito.
*Información artículo 5 LOPD articulo 27 LOPD    
*Se debe informar expresamente que se va a ceder a un tercer país que no asegura la protección de sus datos. Artículo 44 del nuevo borrador.
*Se piden por escrito, locución o cualquier soporte duradero.    
*Consentimiento libre y revocable (No confundir con una información cualificada).
* NO PUEDE SER CASILLA PREMARCADA (o equivalente) porque requiere una acción simple por parte del usuario.
*Celebración o ejecución contrato celebrado o por celebrar
*Interés público necesario o legal (Legal o aduanero)
*Reconocimiento, ejercicio o defensa de un derecho en proceso.
*Desde un registro público a petición personas con interés legítimo
*País adecuado a nivel de protección