Uno no se conoce a sí mismo hasta que atrapa el reflejo de otros ojos
que no sean humanos"
[ Loren Eiseley - Antropólogo y científico estadounidense - 1907-1977 ]
198 - Herramientas de Vulnerability Assessment y Gestión de Incidencias - 04/05/2014
Si todavía no has oído de HeartBleed o simplemente deseas actualizarte sobre el tema, consulta todo lo que hemos publicado en nuestro Blog:
- Seria vulnerabilidad en biblioteca OpenSSL #Heartbleed compromete muchos servicios
- Heartbleed en el Blog de Segu.Info
- Sitio oficial con información sobre Heartbleed
En este Boletín, publicamos la opinión sobre el "Registro No Llamar y la Protección de Datos Personales", en el ámbito de la Provincia de Buenos Aires, Argentina.
Además, publicamos un completo informe sobre Herramientas de Vulnerability Assessment y Gestión de Incidencias y cómo las mismas pueden ser utilizadas para asegurar una infraestructura tecnológica.
1. Herramientas de Vulnerability Assessment y Gestión de Incidencias
2. Registro No Llamar y la Protección de Datos Personales
3. Segu-Info busca autores
4. Desafío de la semana
1. Herramientas de Vulnerability Assessment y Gestión de Incidencias
El presente artículo ha sido desarrollado por Ramiro Caire, quien se desenvuelve como Consultor en Seguridad Informática y puede ser contactado en Twitter como @rcaire.
Mucho se ha escrito ya sobre las diferencias y preferencias en cuanto a un Penetration Test o Vulnerability Assessment (VA). Básicamente, un VA identifica, cuantifica y clasifica vulnerabilidades comunes y conocidas de una red, aplicación o infraestructura, por lo general de manera automática y no invasiva, es decir, no se explotan las potenciales vulnerabilidades que puedan encontrarse. Este último punto es una de los principales diferencias entre VA y Penetration Test, y es por eso que muchas compañías prefieren el VA ya que están evaluando sistemas que están en ambientes productivos y no desean disrupción alguna debido a la utilización de exploits, código maliciosos, etc.
Podemos resumir a VA en estos pasos:
- Definir y clasificar el entorno (red, aplicaciones, etc.)
- Identificar mediante herramientas y técnicas de análisis todas las vulnerabilidades conocidas posibles
- Elaborar un informe priorizando los riesgos potenciales y sugerir métodos y formas de eliminar o mitigar las vulnerabilidades
En este informe se analizan varias herramientas para realizar estos procesos de forma eficiente.
Se puede acceder al documento completo en formato PDF desde nuestra sección Artículos de Terceros.
¡Gracias Ramiro!
2. Registro No Llamar y la Protección de Datos Personales
Este artículo fue desarrollado por Marcelo Temperini. Marcelo es Abogado (UNL) y actualmente se encuentra realizando un Doctorado CONICET con especialización en Delitos Informáticos. Es Co-director de la Red El Derecho Informático, Analista de Seguridad y Director de AsegurarTe – Consultora en Seguridad de la Información. Marcelo puede ser contactado en Twitter como @mgitemperini
Estabas en el medio de algo importante... suena un llamado de número desconocido (o privado), detienes el auto, dejas de trabajar, atiendes con cara de suspenso y del otro lado de la línea alguien dice... "Buen día Señor, le estamos llamando de XXXXX para ofrecerle un descuento por haber sido elegido la mejor persona de su calle". Particularmente a mi, me suele pasar algo más grave (sic), que es la interrupción de una costumbre milenaria... la siesta. Ese breve descanso tan necesario, termina muchas veces siendo interrumpido por un mensaje de texto que termina por despertarme para ver si no es alguna urgencia o cliente en apuros. Ni una cosa ni otra, resulta que fui elegido para competir por un premio de $500.000 e incluso, ganar un premio sorpresa gratis!
La publicidad no solicitada que llega a nuestros mails y teléfonos (vía llamada o vía mensaje de texto) no es novedad, sin embargo, es uno de los problemas (molestos) que aún no se ha podido combatir. La idea de los "Registros No llame" es una buena alternativa para enfrentar el desafío. Para aquellos que aún no conozcan el sistema, el sentido es obligar a todas las empresas de telemarketing (del ámbito de jurisdicción de la norma), a notificarse de la lista "negra" de números telefónicos que han optado por no recibir llamados o mensajes de publicidad no solicitada. Básicamente, un sistema de opt-out gestionado por algún nivel estatal (Municipal o Provincial), que aplican sanciones a las empresas infractoras (en principio al menos).
En el ámbito de la Provincia de Buenos Aires el "Registro no llamar" se ha generado a partir de la Ley N° 14.326 (2011), en el cuál podrá anotarse "toda persona física o jurídica titular de una línea telefónica fija o celular, que manifieste su decisión de no ser llamado o notificado por mensajes de textos, por quienes haciendo uso de 'datos personales' (comillas a cargo del autor), utilizan el sistema de telemarketing para publicitar, ofertar, vender y/o regular bienes o servicios."
En Septiembre del 2013, dicha norma fue reglamentada a través del Decreto 559/2013, en el cuál se dispusieron las condiciones para que el sistema finalmente comenzara a funcionar. Por ejemplo, en dicha reglamentación establece que las empresas de telemarketing, podrán hacer telemarketing a los usuarios de servicios telefónicos no inscriptos en el "Registro No Llamar", solamente los días hábiles de 10.00 a 12.00 y de 16.00 a 19.00 horas, y que por supuesto, su incumplimiento se considerará infracción de acuerdo a la Ley citada (Nº 14.326).
Entre los diferentes modos de sumarse a dicho registro, ya se ha habilitado el sistema online para su inscripción. Todo iba bien hasta que el sistema me pregunta si soy una persona física o jurídica... y desde allí se desata el caos (de datos personales). En el caso que seamos una persona física que intenta sumarse a esta noble idea del registro no llame, deberemos informar al sistema: Nombre y Apellido, DNI, Domicilio, Partido, Localidad y Mail. En el caso que seamos una persona jurídica, tendremos que ingresar CUIT, Razón Social, Domicilio Legal, Partido, Localidad y Mail. A estos datos, obviamente se le suman los realmente necesarios para llevar a cabo la finalidad del propio registro, es decir, el Nro. de teléfono y la Empresa de Telefonía (sobre este último, aún no estoy convencido de su pertinencia, pero puede aceptarse siempre y cuando el mismo aporte a una mejor eficacia del sistema de no llame).
Sin embargo, sobre esa primera gama de datos personales que citamos (6 campos), nos permitimos dudar (por decirlo de forma elegante) de su pertinencia en relación a la finalidad del registro. ¿Cumplen estos datos con el principio de calidad del art. 4 inc. 1 de la Ley de Protección de Datos Personales Nº 25.326? Desde mi humilde opinión, sostengo que no, que estos datos son excesivos y no pertinentes en relación a la finalidad. Uno de los razonamientos posibles sería: ¿Cabe acaso la posibilidad de negarme la inscripción al registro por algún tipo de validación con los otros datos personales? Si a fin de cuentas, la inscripción en esta "lista negra", sólo impedirá que me llamen aquellas empresas de telemarketing, pero no evitará de forma alguna que aquellas empresas con las cuáles tengo algún tipo de relación contractual (por ejemplo, donde compre una tostadora en 24 cuotas para el mundial), me llamen cuando lo crean necesario para informarme de alguna novedad sobre dicha relación.
La no validación (si es que existe) de estos datos ¿Que podrá ocasionar? ¿Que alguien decida vía web incorporar mi número de teléfono sin mi consentimiento? ¿Sería tan terrible?. A veces una idea, supera muchos problemas. El registro No llame de la Ciudad de Buenos Aires, propone sólo el ingreso del número de línea interesado en sumarse al registro. Posteriormente, alguien se comunica solicitando confirmación: problema solucionado sin necesidad de recolectar datos personales que no corresponden.
Volviendo al sistema implementado por la Provincia de Buenos Aires, así como está diseñado, lo que se puede observar a simple vista es que el administrador de dicha base de datos, tiene la posibilidad de saber con sólo un número de teléfono celular, todos los datos que identifican al titular de dicha línea, una información más que interesante para "perderse" en el mercado de la información ¿no?.
- ¿Quién tiene estos datos?
- ¿Quien es el responsable registrado ante la Dirección Nacional de Protección Datos Personales?
- ¿Cuál es el número de registro de inscripción de dicha base de datos?
- ¿Quién se hace responsable de que se adopten todos los principios (incluidas las medidas de seguridad obligatorias) que establece la normativa vigente?
- ¿Donde está la declaración de la finalidad de dicha base de datos, que me asegure como usuarios que dichos datos no serán cedidos, no serán vendidos, no serán utilizados para otros fines distintos a los nobles que tiene originalmente el "Registro No Llame"?
Muchas preguntas sin responder con claros incumplimientos a una normativa que ya no es novedad, sobre todo por tratarse de una iniciativa por parte del gobierno provincial. Como extra, cabe agregar que el "Registro No Llame" es precisamente una iniciativa de protección a los titulares de datos personales, ya que la problemática raíz se debe precisamente a un incumplimiento de esta norma por parte de las empresas que realizan este tipo de publicidad, quienes realizan un tratamiento ilegítimo de datos personales.
Para comprobar la legitimidad de estos llamados publicitarios, la próxima vez que lo llamen, con tono amable pregunte al que está del otro lado de la línea, de donde sacó su número de teléfono (el cuál muchas veces viene acompañado de su nombre y otros datos), quien le dio consentimiento para utilizar sus datos personales, y que por favor le diga quien es el responsable de dicha base de datos, a fin de poder realizar la denuncia correspondiente y ejercer los derechos que incluso están consagrados constitucionalmente (art. 43 3er párrafo). ¡Inténtelo, es divertido!
A modo de conclusión, más allá de las precisiones sobre el cumplimiento de la normativa vigente en relación al funcionamiento de los registros, celebramos la idea del funcionamiento de los Registros
No Llamen, incentivamos su buen funcionamiento, la aplicación de sanciones a las empresas infractoras, y sobre todo, ante casos de llamadas o mensajes no solicitados, fomentamos al usuario a la realización de denuncias ante los organismos correspondientes.
¡Gracias Marcelo!
3. Segu-Info busca autores
Segu-Info siempre está abierto a la publicación de documentos de interés desarrollados por la comunidad por lo que;
- si te interesan la Seguridad de la Información,
- si conoces de Legislación en Seguridad,
- o, si la Seguridad de la Información es uno de tus temas de lectura/búsqueda preferidos...
Esta propuesta es para tí.
Segu-Info busca autores/escritores/redactores independientes que deseen compartir sus escritos/pensamientos/experiencias con la comunidad.
Para que Segu-Info siga siendo un lugar en donde la información es de todos y para todos, te invitamos a que seas parte. Si quieres compartir tus creaciones, contáctate con nosotros.
4. Desafío de la semana
Solución al desafío del Boletín anterior
Se simboliza con "x" los trenes que arrancan en sentido horario y con "0" los que lo hacen en sentido antihorario:
| X | X | X | X | 0 | 0 | 0 | 0 |
| X | X | 0 | 0 | 0 | 0 | X | X |
| X | 0 | X | 0 | 0 | X | 0 | X |
| No | Si | Si | Si | No | Si | Si | Si |
Como modo rápido se podría razonar así:
Cada tren puede arrancar para adelante (P1 = 0.5) o para atrás (P2 = 0.5).
La "No Colisión" se daría cuando los 3 trenes arranquen hacia adelante (P1 x P1 x P1 = P1^3) ó cuando los 3 arranquen hacia atrás (P2^3).
P1^3 + P2^3 = 0.125 + 0.125 = 0.25
Luego, la probabilidad de no colisión es de un 25%.
Respondieron correctamente: [email protected], [email protected], [email protected]
Desafío de esta semana:
Considerado un polígono regular de 90 vértices numerados al azar del 1 al 90. Demostrar que siempre se puede encontrar dos vértices consecutivos cuyo producto es mayor o igual que 2014.