viernes, 27 de marzo de 2015

CHINA ESTÁ LISTA PARA ADMITIR QUE TIENE UN CIBEREJERCITO

Hoy en día casi está mal visto no tener unidades militares centradas en el mundo cibernético con plena capacidad operativa. Parece una debilidad que no se debe permitir ningún país moderno porque esta guerra encubierta que comenzó hace años parece que ya no es "encubierta" nunca más. Hoy en día es más como un juego de "alguien ha owneado a alguien", donde el gran problema sigue siendo la atribución de quién te ha atacado, pero que te han atacado y lo están haciendo ahora mismo es un hecho. Equipos Rojos de ataque y Equipos Azules de defensa son fundamentales en los ejércitos de los principales países que deben ocuparse de proteger la tierra, el mar, el aire, el espacio y el ciberespacio de su patria.

Figura 1: China está lista para admitir que tiene un Ciberejercito
Una de las naciones que primero contó con un ciberejercito fue China, o así lo declaraba el informe APT 1 de Mandiant, donde se llegaba a citar la posición exacta en la que se encontraba dentro de la escala militar del Ejercito de Liberación del Pueblo.

Figura 2: La unidad de ciberguerra es la Unidad 61398 dentro del PLA (People Liberation Army)

Cuando aquel informe se hizo público, con el objetivo de conseguir un impacto en los medios de comunicación, en la sensibilidad de la sociedad y, quien sabe si también, en los presupuestos que le podrían caer al Departamento de Defensa Americano, desde China hubo un vídeo de ridiculización del informe que me encantó. La propaganda al servicio delInfoSec para viralizar por las redes una idea ridiculizando el informe, algo que han utilizado los países largo tiempo, incluso los USA como vimos en el hackeo de HBGary. El vídeo pretende mostrar de forma ridícula y humorística que lo que elinforme APT 1 de Mandiant dice no tiene ningún sentido. ¿Cómo iban a reclutar a jóvenes fumadores gamers para meterlos en el ejercito Chino? 


Hoy ya, según plantea un libro que va a ser publicado por un investigador del Center for Intelligence Research and Analysis, parece ser que China ha admitido en varios documentos que tiene capacidad militar operativa en el ciberespacio, con grupos dentro del ejercito militar, grupos dentro de las fuerzas civiles y organizaciones terceras que colaboran en caso de necesidad.
Después de que se pasaran años negándolo, parece que ya no tiene mucho sentido negar lo evidente, y menos después de que Edward Snowden desvistiera las operaciones de espionaje de su gran oponente por la supremacía mundial hoy en día. Hora de quitarse las máscaras, comienza una nueva fiesta.

FUENTE: Chema Alonso

EL DERECHO INFORMÁTICO EN VENEZUELA 2da PARTE

La Ley Especial contra Delitos Informáticos, representa un gran aporte para el Marco Jurídico Venezolano, en virtud de que primeramente conceptualiza una serie de térmico informáticos del argot popular que jurídicamente no estaban definidos, así como la Responsabilidad de las Personas Jurídicas. Así mismo están tipificados los delitos informáticos y los medios de sanción; donde destacan entre otros aspectos: espionaje informático, difusión y exhibición de material pornográfico, apropiación de propiedad intelectual, acceso a información privada, espionaje informático, falsificación de documentos, manejo fraudulentos de tarjetas inteligentes, entre otras cosas que hasta entonces no estaban consideradas como pena. 
    Es así como se puede apreciar la Impacto Jurídico que tiene el Derecho Informático en la Sociedad y en el resto de las Ciencias del Derecho, donde destaca el Derecho Penal, ya el Código Orgánico Procesal Penal anterior y el que recién se aprobó hace un mes, no considera aspectos directamente vinculantes al delito informático pero si regula   las sanciones para determinados hechos que están considerados como   una violación a las normas del derecho,   y por ende, la     Ley Especial contra Delitos Informáticos es el marco legal referencial por excelencia para dicha área. El Estado más allá de la creación de la Ley, ha establecido y creado unidades administrativas para resguardar la seguridad del público ante delitos informáticos, tal es el caso de la División contra Delitos Informáticos del CICP; unidad que fue creada única y exclusivamente para realizar las investigaciones sobre los delitos informáticos.
       En cuanto al Derecho Mercantil hay que destacar que el desarrollo de las TIC´s ha beneficiado en gran medida el intercambio comercial entre las partes; y esta rama del Derecho se encarga de regular las operaciones jurídicas comerciales y no comerciales; así como compra, permuta o arredramiento de cosas muebles, además del transporte de personas o cosas por vía terrestre, acuática o aérea; por mencionar solo algunas de las áreas de Influencia del Derecho Mercantil.   Por ende, muchas actividades comerciales son desarrolladas a través de la red como lo son: compra de boletos aéreos, bienes, transportes de cargas nacionales e internacionales; y gracias a la Informática se han optimizado mucho las actividades comerciales, brindando confianza entre los usuarios y una mayor dinámica e impacto a los comercios que se apoyan en esta tecnología. El mismo Estado Venezolano se apoya en la red para que los ciudadanos puedan hace consultas electrónicas de trámites administrativos; pagos de patentes, por mencionar solo algunas cosas. 
    En cuanto a su impacto con el Derecho Constitucional, ya se mencionó con anterioridad el gran avance que representó para esta rama del Derecho, la promulgación de la CRBV de 1999, puesto que en su Capítulo VI (De los Derechos Culturales y Educativos),   Articulo 108 considera que el Estado debe garantizar el acceso universal a la información, lo cual ha permitido el desarrollo de todas las Políticas de Estado posteriormente establecidas para fomentar dicha área. De igual modo, por ser el Maro Jurídico principal de la Nación, es el que perite la articulación con el resto de las ramas del Derecho y las distintas Leyes e instancias   que deberán crearse para poder regular una determinada área.
    El impacto del Derecho Informático en el Derecho Civil viene dado por el hecho de que en negociaciones de tipo Informático se da el caso de una persona natural o también jurídica que pueden celebrar contratos a través de esta vía. Ejemplos como: Suscripción a paginas especializadas; compra de dominios en red para publicación de información, entre otras actividades; las cuales son vinculantes al Derecho Civil por la connotación de la persona en dicho proceso.
    Por su parte, el Derecho Administrativo al ser entendido como el conjunto de normas jurídicas que regulan la organización y funcionamiento del Poder Ejecutivo, presenta una gran incidencia en el Derecho Informático en virtud de que toda la estructura pública o mejor llamada la Administración Pública del Estado a nivel Nacional, Estadal y Municipal reposan en bases de datos que permiten desarrollar las actividades públicas de forma coordinada desde el nivel central al resto de las regiones. 
    En otro orden de ideas, considerando que el Derecho del Trabajo o Derecho Laboral, es entendido como el conjunto de principios jurídicos reguladores de las relaciones jurídicas que tienen por causa el trabajo por cuenta y bajo la dependencia con objeto de garantizar a quien lo ejecuta en su pleno desarrollo como persona humana; tiene impacto directo con el Derecho Informático de que en las últimas décadas con la evolución de las TIC`s se han creado nuevas formas de trabajo que no precisamente consideran presencialidad   ni mucho menos cumplimiento de horarios de trabajo; son empresas virtuales que contratan servicios de personas por la red para la ejecución de actividades especificas y por las cuales son remuneradas. También se consideran dentro de estas áreas de la tecnología, la diversificación de la compañía en distintas zonas geográficas peo que permiten el desarrollo de la misma a través de las telecomunicaciones; también se pueden encontrar organizaciones que si cuentan con sedes físicas pero con empleados en zonas remotas y que reportan su cumplimiento de tareas a través de teleconferencia o reuniones virtuales con sus superiores. Es decir, con la diversificación del trabajo el Derecho Informático juega un rol de importancia puesto que debe desarrollar reglas que permitan garantizar la legitimidad d estas actividades.


    Finalmente, con el Derecho Internacional, el impacto del Derecho Informático es bastante importante en virtud de que gracias a las Tecnologías los Estados logran un mayor acercamiento con Estados Socios y/o Vecinos que les permiten lograr un mayor desarrollo político, económico y social entre la partes. Más allá de las representaciones Diplomáticas que un Estado puede tener en otras Naciones, las TIC´s son de gran importancia ya que optimizan la dinámica en lo que a política internacional se refiere entre las partes, bien sea en la redacción o adelanto de Acuerdos, Tratados Comerciales, o cualquier documento oficial que puede ser inclusive tramitado vía web con el fin de mejorar los tiempos de respuestas, envió, etc., pero bajo la más estricta confidencialidad y garantía jurídica que dicho acto representa.
    En conclusión se puede demostrar la importancia que representa el estudio y pertinencia del Derecho Informático como una rama de apoyo a todas las ramas ya existentes del Derecho, dada su capacidad de integración y lo dinámico que pudiese ser dependiendo de la rama del Derecho que está apoyando. Así mismo, aun falta mucho por desarrollar en este contexto jurídico puesto que la Ciencia del Derecho es muy amplia, compleja y sobre todo en esta era Informática la costumbre juega un rol determinante para el desarrollo y evolución del mismo. 

Abg. CARLOS TUDARES T.

domingo, 22 de marzo de 2015

35.000 APPS EN ANDROID CON ENLACES DE LOGIN SIN CIFRAR

En esta oportunidad traemos una información del amigo Chema Alonso, quien dirige la página "Un informático en el lado del mal". Artículo por demás interesante.

Aprovechando que contamos con Tacyt, los debates internos sobre las cosas que se pueden encontrar son bastante altos, así que cada vez que alguno del equipo lee una noticia, se le ocurre alguna forma de sacar partido a esta base de datos que nos hemos montado acumulando apps y esta es la historia de uno de esos casos. Concretamente el caso se produjo después de que se publicara la noticia sobre que TyniChat for iOS hacía login de forma insegura y a un compañero se le ocurrió buscar más en nuestra plataforma para acabar con:

Figura 1: 35.000 apps en Android con enlaces de LOGIN sin cifrar

Dentro de los 10 riesgos de seguridad más comunes que se recogen en el proyecto OWASP Top Ten Mobile Risks se encuentra en la posición número 3 el de utilizar una capa de conexión contra el backend insegura. Es decir, que el envío de información sensible entre la app que utiliza el usuario y el servidor se haga por HTTP y no por HTTPS. Al margen quedan los fallos que puedan tener los certificados del lado del servidor, como que sean vulnerables a PoodleHeartBleedBeast o CrimeFreak, o similar ya que estamos hablando de conexiones que no utilizan ningún tipo de cifrado. 

Figura 2: OWASP Top Ten Mobile Risks

De vez en cuando salen análisis de apps, tanto en Android como en iOS, que marcan entre sus debilidades alguna conexión insegura, como cuando se hace un login, se hace el registro de los datos con algún proceso de singup o cuando se mantiene viva la sesión entre el cliente y el servidor permitiendo un hijacking de sesión. Esto está tipificado como un fallo de seguridad alto y debe ser atajado de raíz.

Figura 3: M3 - Insufficient Transport Layer Protection

Utilizando Tacyt (codename Path 5), es fácil encontrar apps que tengan esta debilidad. Basta con hacer una consulta que busque todos los enlaces que tengan un login en la URL y cuyo protocolo sea HTTP en lugar de HTTPs. En este ejemplo se puede ver como aparecen unas 40.000 apps en nuestra base de datos, de las cuales un porcentaje de las mimas ya no están en Google Play, ya que han sido retiradas.

Figura 4: Consulta en Tacyt sobre enlaces a login en HTTP

Solo con mirar login en la URL, y mirando las apps que salen, se puede ver cómo el número de apps que aún caen en esta práctica insegura es alto. Y como son enlaces server-side, se pueden comprobar fácilmente, haciendo una conexión contra él y ver qué devuelve.

Figura 5: Resultado de un login por HTTP 

Al final, si extendemos los patrones de búsqueda, y sacamos enlaces inseguros con palabras clave como singup, register, registro, alta, etcétera, la cantidad de apps inseguras que se pueden encontrar, vulnerables a robo de credenciales, fugas de información o ataques de man in the middle es altísimo, así que hay que tener mucho cuidado con en qué apps introduces tus datos desde qué redes.

EL DERECHO INFORMÁTICO EN VENEZUELA (1ra PARTE)

Para poder establecer un análisis que permita comprender el impacto jurídico que ha tenido el Derecho Informático en las distintas ramas del Derecho, es necesario primero definir que es este tipo de Derecho, el cual es entendido como el conjunto de normas y principios que se han creado con el fin de regular todo aquel efecto jurídico generado por la interrelación de la Informática y el Derecho.   Por tal motivo, se basa en definir, interpretar, reglar, estudiar todo lo vinculante de la Informática a las Ciencias del Derecho en sus distintas expresiones.
    Wikipedia (2012) lo define de una manera bastante sencilla al considerar que es una “rama del derecho especializado en el tema de la Informática, sus usos, sus aplicaciones y sus implicaciones legales”.   Este concepto ilustra de manera clara la importancia que representa para la Sociedad desarrollar parámetros jurídicos que permitan regular los delitos informáticos que cada día son más comunes en la Sociedad.
    Es decir, la creación de esta rama del Derecho es bastante nueva en comparación a las demás pero viene a representar un rol de gran importancia debido al marco de regulación que considera; es decir, como parte de la Sociedad y la evolución que ésta constantemente mantiene, no deja de ser menos importante el poder regular todo lo concerniente a las Tecnologías de Información   desde el ámbito jurídico.
    En tal sentido, el Siglo XX y ahora en el Siglo XXI es cada vez más determinante el impacto del intercambio de las tecnologías y el uso de estas, es por ello que el término
Sociedad de la Información ha arropado todos los aspectos de la cotidianidad social, donde el uso de los teléfonos, computadoras, laptops, celulares, tabletas, etc., son parte del medio de comunicación, beneficiando las cercanías entre personas a pesar de las distancias reales. 
    Ámbitos como el educativo nos ha permitido lograr aprender a través del ciberespacio y para muestra esta asignatura; la banca electrónica es otro gran modelo de desarrollo y las llamadas tiendas virtuales, por mencionar solo algunas de las áreas de alto impacto. No obstante, no deja de ser menos cierto que con el pleno avance de las TIC`s en gran parte de las conductas dentro en su medio de socialización, las personas también ha buscado vulnerar la confidencialidad y se ha caído en el delito informático, el cual es definido según Zaric (2005) citado por Wacker y otros   como “aquellas conductas desvaliosas socialmente y reprochables desde el punto de vista penal que concretadas mediante instrumentos y sistemas informáticos y virtuales, puede tener como objeto la violación de cualquiera de los bienes jurídicos tutelados por la ley, en un momento dado”.
    A través de este concepto de delito informático,   se puede apreciar la sinergia entre la Informática y el Derecho y la importancia que este representa para reglar y/u ordenar tales comportamientos desleales en las personas. Sin embargo, el Estado Venezolano a partir de la Constitución vigente de 1999, en s Art. 108, da importancia a las tecnologías de Información al considerarlas “Servicios de Información de interés
público” para el desarrollo de la Nación tanto en lo político, como lo económico y social; y por ende, para resguardar la Seguridad y la Soberanía Nacional.
    Es decir, el Estado Venezolano como garante de la estabilidad y cumplimiento de las normas que rigen al colectivo dio carácter jurídico al uso de las TIC`s y es por ello que se han aprobado varias Leyes que permiten regular en cierto modo dicha actividad.
    En este orden de ideas, desde entonces se han creado Leyes con el fin de regular esta área del Derecho; donde destacan: Decreto con Rango de Ley sobre Mensajes de Datos y Firmas Electrónicas (2001); Ley Orgánica de Telecomunicaciones (2000); Ley Orgánica de Ciencia, Tecnología e Innovación (2008); Ley Especial contra Delitos Informáticos (2008), entre otras Leyes.