"El arte de vencer se aprende en las derrotas"

[ Simón Bolívar - Militar y Político venezolano - 1783 - 1830 ]

Boletín 131 - ¿Es legal buscar puertos abiertos en sistemas ajenos? - 28/02/2009

Roger Wallis (profesor universitario e investigador), declaró como experto en el juicio contra The Pirate Bay que se está llevando a cabo en Estocolmo, explicando que sus estudios no habían encontrado relación entre el P2P y las pérdidas de ventas de la industria musical. Seguimiento del juicio a The Pirate Bay en Segu-Info

La Corte Suprema de Justicia Argentina declaró inconstitucional la ley que autorizaba la intervención de las comunicaciones telefónicas y por Internet.

1. ¿Es legal buscar puertos abiertos en sistemas ajenos?
2. Análisis de un ataque de malware basado en web
3. Nuevo Blog de Segu-Info
4. Apoya a Segu-Kids, Juntos en la Red
5. Desafío de la semana

1. ¿Es legal buscar puertos abiertos en sistemas ajenos?

Esta fue una pregunta planteada en nuestro Foro días atrás y las variadas opiniones no tardaron en llegar. En ellas se destacan muchos "depende".

Ante todo hay que aclarar que lo mencionado aquí dependerá de la legislación y jurisprudencia de cada país, pudiendo variar según los casos, los abogados y los jueces en cada caso porque, como bien menciona uno de los participantes del Foro, la ley no es una ciencia exacta.

Si bien la mayoría coincide en que no hay delito en "escanear" un servidor, se debe destacar que si se plantea buscar puertos abiertos o intentar un "ataque" contra un sistema, se debería tener el consentimiento escrito y firmado o NDA (Non-Disclosure Agreement) [2] del propietario del mismo. Con esta acción se minimiza cualquier discusión al respecto. Este comportamiento es el llevado a cabo en la realización de cualquier Penetration Test o testeo de vulnerabilidades realizado por profesionales de seguridad de la información.

En cambio, si el escaneo se realiza sin el conocimiento ni consentimiento del propietario del sistema, se entra en una zona gris en donde las opiniones son muy variadas, debiendo tener en cuenta:

• Motivaciones detrás de la exploración del sistema
• El carácter e interés de estas acciones
• Acciones posteriores con la información obtenida
• Responsabilidad de quien realiza el "ataque"
• El atacante es personal interno o contratado de la organización o no
• Hay dolo en el ataque o fue un error (por ejemplo al escribir la
  dirección IP del sistema afectado)
• Sensibilidad del sistema afectado. Por ejemplo podría almacenar información personal, financiera, de salud, etc.
• Jurisprudencia al respecto
• Intención de quien ingresa (punto principal de discusión)

Si se lleva esta situación al mundo físico (generalmente no recomendable por las diferencias más que evidentes), el escanear puertos de un sistema se podría equiparar a golpear la puerta de una casa (sin ingresar a la misma), con el simple objetivo de conocer, por ejemplo, si el ocupante responde al llamado.

Si bien este "golpe" puede ser considerado tentativo por un juez o bien como la acción de preparación para cometer un delito posterior, la legislación vigente [en Argentina] estipula que el escaneo de un server ajeno no es punible ya que el Código Penal Argentino, modificado el pasado año por la Ley 26.388 [5], en su Artículo 153 Bis estipula:

"Será reprimido con prisión de quince días a seis meses, si no resultare un delito más severamente penado, el que a sabiendas accediere por cualquier medio, sin la debida autorización o excediendo la que posea, a un sistema o dato informático de acceso restringido"

Desde el punto de vista netamente jurídico penal, este artículo esta relacionado con la privacidad de las personas y consiste básicamente en el ingreso no autorizado a sistemas y datos informáticos privados por medio de los cuales se afecta la privacidad; como por ejemplo el acceso a una computadora o teléfono para obtener fotos personales.

Con respecto al mero intrusismo informático, su prohibición está discutida y en principio esto chocaría de lleno con actividades como las descriptas anteriormente, por ejemplo el testeo de vulnerabilidades. El Convenio Internacional de Cibercriminalidad (sancionado en Budapest en 2001 y firmado por 55 estados a la fecha de hoy) pide que se sancione el acceso indebido y con dolo, pero permitiendo que cada país decida si la mera intrusión será delito o no.

En este sentido, se abre una nueva pregunta: si alguien por error encuentra una vulnerabilidad en un sistema y lo informa, ¿está cometiendo y asumiendo un delito? Por ejemplo, tomando el caso descripto en nuestro Boletín 119 Informar vulnerabilidades como parte de la responsabilidad social ¿podría la empresa haber denunciado la supuesta intrusión (que nunca existió) simplemente por haber tenido la buena intención de informarles de su error?.

En este sentido la ley es clara ya que se pena las conductas y no intenciones, aclarando en su texto la frase "el que a sabiendas accediere..." (leer el Artículo 153 mencionado).

En principio si se comprueba que no se tomó, accedió ni se observaron datos privados, no HABRÍA afectación de la privacidad, y por ende no HABRÍA delito.

Por lo pronto, en Argentina y en la mayoría de los países de Latinoamérica no existe jurisprudencia al respecto ni se han discutido casos semejantes. Seguramente el primer caso será un buen motivo para reentablar este debate, ya que si se analiza detenidamente, ni siquiera los expertos responsables del Convenio de Cibercriminalidad se pronunciaron claramente al respecto.

Gracias a todos los participantes del Foro por enriquecer este diálogo, el cual puede ser seguido desde el mismo.

2. Análisis de un ataque de malware basado en web

El presente documento ha sido desarrollado por Jorge Mieres quien se desempeña como Analista de Seguridad de una importante empresa Antivirus.

Internet se ha transformado en una aliada plataforma de ataque para los creadores de malware, quienes a través del empleo de diferentes técnicas tales como Drive-by-Download, Drive-by- Update, scripting, exploit, entre otros, y la combinación de ellos, buscan reclutar todo un ejercito de computadoras que respondan sólo a sus instrucciones maliciosas.

Estos ataques, empleando Internet como base para ejecutar cargas dañina de manera directa sobre el sistema víctima, de forma paralela, casi instantánea y transparente a la vista de los usuarios menos experimentado, se ha convertido en un latente y peligroso riesgo de infección por el simple acto de acceder a un sitio web.

En el siguiente documento se expone un ejemplo concreto que recurre a las acciones antes mencionadas para explotar e infectar un sistema víctima, describiendo también varias características extras que potencian el daño del malware.

El documento Análisis de un ataque de malware basado en web puede ser descargado desde nuestra sección de Terceros.

Gracias Jorge!

3. Nuevo Blog de Segu-Info

A partir del día de la fecha estrenamos nuevo diseño en el Blog de Segu-Info.

La intención de esta nueva interface es que la misma gane en velocidad de carga y en formas de encontrar la información ya sea a través de su organización o visualización.

Es importante para nosotros el aporte que la comunidad hace cada día a Segu-Info y por eso es nuestra intención que cada usuario aporte sus dudas, consultas, preguntas y sugerencias en el mismo.

Por supuesto siguen disponibles todas las opciones de suscripciones anteriores (RSS, correo, MSN, Skype, etc.) utilizando cualquier medio y forma para seguir las noticias que cada día son agregadas

Gracias a todos los participantes en este proceso de remodelación.

Nota: Gracias también a los usuarios que nos avisaron que nuestro Blog había sido "hackeado". Se trató de un mensaje temporal que pusimos para advertir de los cambios que estábamos realizado. Quien no haya entrado se ha perdido la broma.

4. Apoya a Segu-Kids, Juntos en la Red

Segu-Kids, pone a disposición de todos información en forma libre y gratuita y, es el primer sitio pensado con el objetivo de apoyar y acompañar a la familia y a los educadores.

El nacimiento de Segu-Kids se debe a la gran cantidad de riesgos existentes en Internet y a la necesidad de crear concientización y educación sobre las formas de prevención y protección, haciendo uso responsable de las tecnologías existentes.

Segu-Kids busca la colaboración de todas las organizaciones a quienes les importa los menores y la seguridad en línea. Por eso, si formas parte de una de estas organizaciones o conoces a alguien vinculado, no dudes en ponerte en contacto con nosotros.

Te invitamos a conocer Segu-Kids y a dejarnos tus experiencias, para que sigamos creciendo juntos en la red.

5. Desafío de la semana

Solución al desafío del Boletín anterior:

El número buscado es el 3719.

Respondieron correctamente:
enrique.ra...@, eugenia.rodr...@, rafael.gonz...@, dbonorino1@, carlos.balke...@, elvis@, serfiles@

Desafío de esta semana:

En una escalera de edificio había descendido 7 escalones cuando ví a un profesor en la parte inferior de la misma, dispuesto a subir. Sin detenerme seguí bajando, saludé al profesor al cruzarme con él y, finalmente comprobé que cuando me faltaban bajar 4 escalones, el profesor ya había llegado al rellano, desde donde yo había comenzado el descenso. Parecía el gatos con botas: yo bajo uno y él sube dos.

¿Cuántos escalones tiene la escalera?