Noticias
Cierre de páginas webs: ¿Futura ley reguladora de la descarga de contenidos no autorizados?
El Gobierno ha elaborado un Anteproyecto de Ley denominado ANTEPROYECTO DE LEY DE ECONOMÍA SOSTENIBLE que pretende ser, entre otras cosas, la futura ley reguladora de las descargas de contenidos no autorizados en la Red.
A través de esta Ley se pretende impulsar la industria española de contenidos y articular mediante un mismo documento todos los proyectos del Gobierno ideados para contrarrestar los efectos de la crisis.
El Secretario de Estado del Ministerio de Justicia ha remitido al Fiscal General del Estado dicho Anteproyecto para que emita un informe al respecto.
A lo largo del presente documento, procederemos a analizar parte del Anteproyecto y a contrastarlo con el mencionado Informe de fecha 12 de febrero de 2010.
Análisis
La DISPOSICIÓN FINAL PRIMERA del Anteproyecto, se organiza de la siguiente manera:
· Apartados 1º y 2º: Modifican la Ley 34/2002 de Servicios de la Sociedad de la Información y del comercio electrónico. (en adelante LSSI)
· Apartados 3º y 4º: Modifican el Texto Refundido de la Ley de Propiedad Intelectual (en adelante LPI)
· Apartados 5º a 8ª: Modifican la Ley 29/1998 de la Jurisdicción Contencioso-Administrativa. (en adelante LJCA)
Estas modificaciones legales tienen como finalidad reforzar las medidas de protección de la propiedad intelectual en el ámbito de la Sociedad de la Información.
A continuación analizaremos los apartados 1º a 4º:
Apartado 1º:
Se introduce una nueva letra e) en el art. 8.1. LSSI, que regula las restricciones a la prestación de servicios, con el siguiente tenor:
e) La salvaguarda de los derechos de propiedad intelectual.
El Anteproyecto pretende igualar “la salvaguarda de los derechos de propiedad intelectual” al resto de bienes jurídicos protegidos por el Art. 8.1 LSSI. Sin embargo el Informe mantiene que no es lo mismo la producción y creación literaria, que si son derechos fundamentales recogidos en el art. 20.1.b CE, que los derechos de propiedad intelectual regulados en la LPI, que no disponen de dicho carácter constitucional.
Apartado 2º:
Introduce un nuevo apartado segundo del art. 8 LSSI
2. Los órganos competentes para la adopción de las medidas a que se refiere el apartado anterior, con el objeto de identificar al responsable del servicio de la sociedad de la información que está realizando la conducta presuntamente vulneradora, podrán requerir a los prestadores de servicios de la sociedad de la información la comunicación de los datos que permitan tal identificación a fin de que pueda comparecer en el procedimiento. Los prestadores estarán obligados a facilitar los datos de que dispongan.
Se hace necesario enlazar este apartado con la modificación introducida en el artículo 158 de la LPI:
“Artículo 158. Comisión de Propiedad Intelectual
1. Se crea en el Ministerio de Cultura, la Comisión de Propiedad Intelectual, como órgano colegiado de ámbito nacional, para el ejercicio las funciones de mediación y arbitraje y de salvaguarda de los derechos de propiedad intelectual que le atribuye la presente Ley.
La introducción de este apartado segundo del art. 8 LPI está dirigido a identificar al responsable del servicio de la sociedad de la información, es decir, al titular de la web que supuestamente esta vulnerando los derechos de propiedad intelectual. Sin embargo, es muy usual que los datos aportados pueden ser ficticios, por lo que sería necesario que los proveedores de servicios aportaran mas datos que los meramente identificativos del titular registrado, lo cual, según el Informe, entraría en contradicción con lo que recoge la Ley 25/2007 de conservación de datos relativos a las comunicaciones electrónicas, que exige en su artículo 6.1 previa autorización judicial para la cesión de datos tales como los de tráfico y localización sobre personas físicas o jurídicas, y datos relacionados necesarios para identificar al abonado o usuario registrado.
El Informe sugiere que se modifique la Ley 25/2007, en el sentido que de no sea necesaria autorización judicial para la cesión de datos relativos a la identidad de abonados o usuarios de las comunicaciones electrónicas siempre que no estén amparados por el secreto de las comunicaciones del artículo 18.3 CE.
Para aquellos datos relativos a la identidad de abonados o usuarios de las comunicaciones electrónicas que estén amparados por el derecho a la intimidad del art.18.1 CE se estará a lo establecido jurisprudencialmente, valorando la proporcionalidad de la medida.
Según el Informe, lo que en ningún supuesto puede recabar la Comisión ni puede ser proporcionado por los prestadores de servicios de la sociedad de la información son informaciones referidas a comunicaciones privadas que puedan afectar al derecho fundamental al secreto de las comunicaciones, que requieren ineludiblemente autorización judicial.
Apartado 3º:
El Anteproyecto introduce una Disposición Adicional Quinta en la LPI:
El Ministerio de Cultura, en el ámbito de sus competencias, velará por la salvaguarda de los derechos de propiedad intelectual frente a su vulneración por los responsables de servicios de la sociedad de información en los términos previstos en los artículos 8 y concordantes de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información
Se refiere a la posibilidad de adoptar medidas restrictivas de interrupción de la prestación del servicio o de retirada de contenidos respecto a la prestación de servicios provenientes de prestadores establecidos en España o en otro Estado de la Unión Europea o del Espacio Económico Europeo.
Se trata este del apartado mas conflictivo y discutido del Anteproyecto, debido sobre todo a la creación de una Comisión de Propiedad Intelectual, dependiente del Ministerio de Cultura, que llevará a cabo dicha labor.
Apartado 4º:
El Anteproyecto modifica el Apartado 158 LPI y crea la Comisión de Propiedad Intelectual:
1. Se crea en el Ministerio de Cultura, la Comisión de Propiedad Intelectual, como órgano colegiado de ámbito nacional, para el ejercicio las funciones de mediación y arbitraje y de salvaguarda de los derechos de propiedad intelectual que le atribuye la presente Ley.
2. La Comisión actuará por medio de dos Secciones.
La Sección Primera ejercerá las funciones de mediación y arbitraje que le atribuye la presente ley.
La Sección Segunda velará, en el ámbito de las competencias del Ministerio de Cultura, por la salvaguarda de los derechos de propiedad intelectual frente a su vulneración por los responsables de servicios de la sociedad de información en los términos previstos en los artículos 8 y concordantes de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información.
La Sección segunda velará por la salvaguarda de los derechos de propiedad intelectual frente a su vulneración por los responsables de los servicios de la sociedad de la información, pudiendo adoptar las medidas para que se interrumpa la prestación de un servicio de la sociedad de la información o para retirar los contenidos que vulneren la propiedad intelectual por parte de un prestador con ánimo de lucro directo o indirecto, o de quien pretenda causar un daños patrimonial.
La ejecución de estas resoluciones, en cuanto puedan afectar a los derechos y libertades garantizados en el artículo 20 CE requerirá previa autorización judicial.
El Informe pone de manifiesto que el introducir la expresión “de quien pretenda causar un daños patrimonial” puede inducir a confusión al considerar que se amplia a cualquier sujeto, aunque no sea un prestador de servicios o responsable de los mismos, lo cual se contradice con lo establecido en la propia Disposición Final primera al modificar la LSSI y con la Disposición Adicional Quinta de la LPI introducida por la misma.
La regulación del procedimiento a través del cual la Comisión ejercerá las funciones atribuidas se difiere a una regulación posterior, lo cual crea una gran inseguridad y desconfianza entre los afectados.
Según el Informe, la estructura realizada por el Anteproyecto de la Comisión es confusa, y carente de concreción, de manera que requiere un desarrollo legal, a tenor, sobre todo, del enorme potencial de incidencia invasiva en la esfera de los derechos fundamentales que ostenta la Sección Segunda de dicha Comisión.
Conclusiones
El Anteproyecto analizado ha creado gran alarma social entre los cibernautas y entre distintas asociaciones y colectivos, ya que consideran que esta normativa va permitir a la Comisión de Propiedad Intelectual restringir o interrumpir Internet a aquellos que permitan el acceso a sitios que atenten contra los derechos de propiedad intelectual recogidos en la LPI, derechos que se equiparan por ende a derechos tales como, por ejemplo, la seguridad pública, la dignidad de la persona en la vertiente de no discriminación por razón de raza, sexo, religión, opinión, nacionalidad, discapacidad o cualquier otra circunstancia personal o social.. (…) lo cual no debe ser admisible.
El artículo 20 CE reconoce y protege entre otros, el derecho fundamental a comunicar o recibir libremente información veraz por cualquier medio de comunicación. El ejercicio de dicho derecho solo podrá verse suspendido/limitado mediante autorización judicial, tal y como establece el apartado 5º de dicho artículo:
Solo podrá acordarse el secuestro de publicaciones, grabaciones u otros medios de información en virtud de resolución judicial.
Los cambios legislativos que afecten a derechos fundamentales han de llevarse a cabo a través de una Ley Orgánica, para cuya aprobación, modificación o derogación exigirá la mayoría absoluta del Congreso, en una votación final sobre el conjunto del proyecto.
Por todo ello, es lógico que se exista un gran debate social, ya que existen opiniones muy enfrentadas, incluso en el mismo Gobierno, como muestra el hecho de que el propio ministro de Justicia, Francisco Caamaño, asegure que el cierre de páginas web que exploten los derechos de autor sin autorización deberá contar siempre con un "control y autorización judicial", lo cual colisiona frontalmente con el polémico Anteproyecto presentado por la ministra de Cultura, Ángeles González-Sinde.
Todo se guarda...
Hola lectores,
En una conferencia en Palma de Mallorca me preguntarón si las fuerzas del estado (en España) monitorizaban tipo SITEL las conversaciones telemáticas del tipo correos electrónicos, chats, foros, etc.
Ni que decir tiene que NO. Esa información por ley Española la suelen guardar las operadoras o proveedores de servicio, que tras orden judicial proporcionan la información a las fuerzas del estado que lo requieran.
No obstante en otros países como Alemanía, los servicios secretos de este país, hasta ahora podían seguir grabando conversaciones privadas o conexiones de Internet y almacenándolas durante meses sin permiso previo de un juez, como venían haciendo hasta ahora en aras de la seguridad nacional. No obstante el constitucional de este país ha prohibido tajantemente la grabación o almacenamiento de esta información privada.
El caso es que todo o casi todos los datos que circulan por la red son almacenados en algún momento por las operadoras de servicios o empresas. Estas pueden proporcionar un 'framework' de acceso vía web o webservices para que sean las propias fuerzas policiales quienes exploten está u otra información que venga avalada por orden judicial.
La cuestión (ya planteada y exigida anteriormente por la AEPD) es que no queda claro el concepto de retención de datos ni la política de estas operadoras o empresas de servicios, tampoco que es lo que se guarda. Por otro lado la web Cryptome publicaba una especie de manual, en la que describen cómo Microsoft guarda datos privados de los usuarios que acceden a servicios 'online' como MSN Messenger, Windows Live y Xbox Live, y cómo esos datos se ponen a disposición de las autoridades de EEUU cuando son requeridos.
Esto no hizo mucha gracia a Microsoft y puso una demanda (hoy desestimada) para el cierre cautelar del sitio web Cryptome (ver noticia)
Cryptome es una web que dispone de documentos que esta prohibidos por los gobiernos de todo el mundo, en particular el material de la libertad de expresión, la privacidad, la criptografía, las tecnologías de doble uso, la seguridad nacional, inteligencia, y el gobierno secreto.
Aquí dejo algunos documentos que me han parecido interesantes desde el punto de vista forense o técnico y que cada uno saque sus propias conclusiones.
Documento de la discordia: microsoft-spy.zip
Documentos sobre Windows 7 relativos a privacidad
http://cryptome.org/isp-spy/win7-spy.zip
Otros documentos:
facebook-spy.pdfskype-spy.pdf yahoo-preserve.pdf
En una conferencia en Palma de Mallorca me preguntarón si las fuerzas del estado (en España) monitorizaban tipo SITEL las conversaciones telemáticas del tipo correos electrónicos, chats, foros, etc.
Ni que decir tiene que NO. Esa información por ley Española la suelen guardar las operadoras o proveedores de servicio, que tras orden judicial proporcionan la información a las fuerzas del estado que lo requieran.
No obstante en otros países como Alemanía, los servicios secretos de este país, hasta ahora podían seguir grabando conversaciones privadas o conexiones de Internet y almacenándolas durante meses sin permiso previo de un juez, como venían haciendo hasta ahora en aras de la seguridad nacional. No obstante el constitucional de este país ha prohibido tajantemente la grabación o almacenamiento de esta información privada.
El caso es que todo o casi todos los datos que circulan por la red son almacenados en algún momento por las operadoras de servicios o empresas. Estas pueden proporcionar un 'framework' de acceso vía web o webservices para que sean las propias fuerzas policiales quienes exploten está u otra información que venga avalada por orden judicial.
La cuestión (ya planteada y exigida anteriormente por la AEPD) es que no queda claro el concepto de retención de datos ni la política de estas operadoras o empresas de servicios, tampoco que es lo que se guarda. Por otro lado la web Cryptome publicaba una especie de manual, en la que describen cómo Microsoft guarda datos privados de los usuarios que acceden a servicios 'online' como MSN Messenger, Windows Live y Xbox Live, y cómo esos datos se ponen a disposición de las autoridades de EEUU cuando son requeridos.
Esto no hizo mucha gracia a Microsoft y puso una demanda (hoy desestimada) para el cierre cautelar del sitio web Cryptome (ver noticia)
Cryptome es una web que dispone de documentos que esta prohibidos por los gobiernos de todo el mundo, en particular el material de la libertad de expresión, la privacidad, la criptografía, las tecnologías de doble uso, la seguridad nacional, inteligencia, y el gobierno secreto.
Aquí dejo algunos documentos que me han parecido interesantes desde el punto de vista forense o técnico y que cada uno saque sus propias conclusiones.
Documento de la discordia: microsoft-spy.zip
Documentos sobre Windows 7 relativos a privacidad
http://cryptome.org/isp-spy/win7-spy.zip
Otros documentos:
facebook-spy.pdfskype-spy.pdf yahoo-preserve.pdf
AEDEL participa con el CNCCS en una mesa sobre IC
El Consejo Nacional Consultivo de Cyberseguridad celebró en Madrid una mesa redonda que reunió a los principales expertos en seguridad de Infraestructuras Críticas del país. La mesa que estuvo presidida y moderada por Xabier Mitxelena, presidente del CNCCS y director general de S21sec, contó, como invitados de honor, con:
* Fernando Sánchez (Director CNPIC)
* Manuel Escalante (Director de Operaciones de INTECO)
Y con la participación de distintos miembros del CNCCS:
* Paloma Llaneza (Presidente AEDEL)
* Igor Unanue (CEO S21sec labs)
* Carlos Jimenez (CEO Secuware)
* Joaquín Castillejo (CEO Tb security)
La seguridad en este tipo de infraestructuras sufrió un antes y un después a raíz del 11-S. El ataque a las Torres Gemelas planteó la posibilidad de un ataque cibernético a infraestructuras clave del estado como un riesgo a mitigar pero, no es hasta el año 2005 cuando se lanzan iniciativas gubernamentales para hacer frente a este tipo de riesgos en Estados Unidos y Europa. En el caso de España ha cristalizado en el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC).
La misión de esta reunión era debatir y analizar la situación actual para prevenir y actuar ante cualquier tipo de amenaza digital a las infraestructuras informáticas en sectores clave y críticos como transporte, energía, mercados financieros y telecomunicaciones que incluye escenarios como aeropuertos, estaciones de metro o terminales de tren o autobuses, seguridad vial, centros de control de compañías de agua, gas y luz o refinerías y satélites entre otras. La importancia y gravedad de un ataque a infraestructuras críticas es su impacto directo en la salud, seguridad y bienestar económico y social. Este tipo de incidentes provoca consecuencias físicas a personas o ciudades, al ser capaces de generar desde apagones multitudinarios, cambios de señalización en transportes que puedan producir posibles choques entre vehículos, hasta explosiones, inundaciones o el caos que podría ocasionar que la banca online o servicios de la e-administración no estuviesen disponibles durante un tiempo determinado, entre otros.
Pero ¿por qué de repente estas infraestructuras pueden ser consideradas más vulnerables? Existen varias razones: la primera es el aumento de la amenaza de ataques incluso desde el interior del propio país, la segunda la interconexión de los sistemas de control de las infraestructuras críticas a través de Internet, la tercera la cada vez mayor dependencia tecnológica y por último la facilidad de distribución y en cascada de un ataque a través de Sistemas de Información.
La colaboración del sector público y privado se convierte en la clave para adoptar rápidamente y con éxito una política integral para la protección de Infraestructuras Críticas. Además de esta colaboración, la concienciación y la sensibilización son fundamentales así como el establecimiento de un marco regulatorio óptimo.
En el campo de la seguridad en infraestructuras críticas queda aún mucho trabajo por realizar y por este motivo el CNCCS ha querido unir la experiencia de sus miembros en este Encuentro para poner de relieve la necesidad de acelerar la seguridad en este sector y destacar los puntos clave para poder avanzar: coordinación, concienciación, sensibilización y regulación.
Conclusiones más destacadas de los participantes en el Encuentro
Xabier Mitxelena, presidente del CNCCS y director gerente de S21sec declaró que “desde el CNCCS estamos realizando un esfuerzo de concienciación y mentalización tanto de gobernantes como de la población para empujar, fomentar y acelerar una legislación que regule la seguridad en este tipo de infraestructuras y aunar los esfuerzos y colaboración entre los distintos actores”.
“En España, las actuaciones necesarias para optimizar la seguridad de las infraestructuras se enmarcan principalmente en el ámbito de la protección contra agresiones deliberadas y, muy especialmente, contra ataques terroristas, resultando por ello lideradas por el Ministerio del Interior. Es preciso contar por tanto con la cooperación de todos los actores -administración del Estado, Administraciones Públicas y el sector privado- involucrados en la regulación, planificación y operación de las diferentes infraestructuras que proporcionan los servicios públicos esenciales para la sociedad, logrando una asociación público-privada que resulte provechosa para todos” subrayó Fernando Sánchez, director del CNPIC.
“Uno de los puntos que más favorecen los ataques es el anonimato. Es necesario identificar los ordenadores y las personas que están conectados en red para reconocer a los atacantes. El DNI electrónico será un elemento que contribuirá a confiar más en la red. Será una gran oportunidad para España si sabemos aprovechar los más de 14 millones de DNI que ya están en la calle” afirma Carlos Jiménez, CEO de Secuware.
“La investigación y el trabajo que se ha venido realizando en el área de infraestructuras críticas hasta el momento desde los diferentes organismos/instituciones es una de la principales bazas con las que contamos para evitar los fallos de seguridad en este tipo de infraestructuras. A pesar de que el trabajo en este campo ya se ha iniciado queda mucho camino por recorrer y de ahí la importancia de que todos los actores del mercado nos unamos para fomentar y acelerar una legislación y soluciones en esta área” añadió Igor Unanue, director de S21sec labs.
“Para hacer frente a las crecientes amenazas a las infraestructuras críticas, cada día más interconectadas, se requiere de una estrategia nacional, con una política y un marco legislativo sólido, en el que la gobiernos, proveedores de infraestructuras y tecnología trabajen juntos en aras del bien común” añadía Joaquín Castillejo, CEO de Tb Security.
Paloma Llaneza, presidenta de AEDEL concluía “la seguridad jurídica es un aspecto de gran relevancia en este ámbito. Además, es necesario establecer un marco regulatorio adecuado y es importante una gestión integral de todos los incidentes para proteger las Infraestructuras Críticas del país”.
El Consejo Nacional Consultor sobre CyberSeguridad (CNCCS) ha emprendido desde sus inicios distintas acciones para promover la prevención del cibercrimen e incrementar la confianza en el uso de las Nuevas Tecnologías y la seguridad de los Sistemas de Información. Hace unos meses el Consejo anunció la incorporación de 14 nuevos miembros: Cybex, Amper, Telefonica, TBSecurity, Optenet, Colegio Oficial de Ingenieros de el País Vasco, Informática 64, Kinamik, S2 grupo, Indra, Barcelona Digital Centro Tecnológico, Universidad de Deusto Laboratorio S3Lab, Colegio Oficial de Ingenieros de Telecomunicación (COIT) y AEDEL. Junto con los cuatro miembros fundadores (Panda Security, Hispasec Sistemas, S21sec y Secuware), en estos momentos el CNCCS cuenta con 18 miembros. Más información en www.cnccs.es.
Protocolo de respuesta ante incidentes
Hola lectores,
Hoy vamos a tratar los temas relacionados con la respuesta ante incidentes. Tema muy importante dentro de una organización.
En nuestro día a día es mejor prevenir que curar, y la seguridad no es una excepción. Cuando se produce un incidente de seguridad, se debe garantizar que se minimice su repercusión. Para minimizar la cantidad y repercusión de los incidentes de seguridad, debe seguir estas pautas:
Particularmente he realizado un procedimiento de comunicación que nos puede ser útil para estos casos, va por ustedes:
PROTOCOLO DE COMUNICACION
Cuando un problema o incidencia en las instalaciones, medios técnicos o recursos humanos tenga como consecuencia previsible no poder prestar alguno o todos los servicios encomendados se entrará en situación de EMERGENCIA.
Niveles de emergencia
Para establecer los protocolos de actuación se definen los siguientes Niveles de emergencia:
Nivel Descripción Ejemplos 0 (Prealerta) Detectada la incidencia pero se prevé su resolución en un periodo inferior a 15 minutos o no afecta de manera importante a los servicios prestados
1 (Básica) Fallo en las instalaciones o sistemas informáticos que dificultan de manera importante o impiden la prestación de algunos servicios Pérdida de la conexión a internet, Fallo de algún aplicativo,... 2 (General) Fallos en las instalaciones o sistemas informáticos que impiden la prestación de la mayoría de los servicios Caídas de centralita, caídas de corriente eléctrica, pérdida de las comunicaciones , intrusiones 3 (Crítico) Situaciones que exigen al abandono del puesto de trabajo por razones de seguridad Incendio, emergencias generales del edificio, ...
La valoración del nivel de emergencia en el que se encuentra el departamento de TI y, por tanto, el protocolo de actuación a aplicar será determinado por el Responsable de TI o del Call Center cuando estén presentes en el centro de trabajo ó por el operador que detecte la incidencia, si no se encuentra en el Centro ninguno de los responsables (en adelante, a esta persona la denominaremos COORDINADOR DE LA EMERGENCIA).Protocolos de actuación Las acciones a realizar en un supuesto de emergencia son las siguientes:
Identificación del problema y gestión de su resolución (Niveles 0,1,2,3) Para analizar el nivel de emergencia en el que se encuentra el departamento de TI y la celeridad con la que se deben iniciar las diferentes acciones de este protocolo de actuación, el COORDINADOR DE LA EMERGENCIA deberá evaluar los siguientes aspectos del problema:
En el caso de que estemos en situación Crítica (Nivel 3), deberá proceder a notificar la incidencia al 112 y seguir las instrucciones, en la medida de lo posible, procederá al apagado ordenado de los equipos de trabajo, siempre y cuando esto no comprometa la seguridad de los trabajadores.
En el resto de los niveles de emergencia, se procederá a informar del problema al personal encargado para su resolución:
El COORDINADOR DE LA EMERGENCIA se encargará de comprobar que los incidencia es resuelta y los servicios se vuelven a prestar con normalidad.
Comunicación a la Dirección La cadena de mando es la siguiente:
Dependiendo del nivel de emergencia, el COORDINADOR DE LA EMERGENCIA deberá actuar de la siguiente forma:
Nivel Acción 1 (Básica) Localizar mediante llamada al teléfono móvil al Responsable de TI o mandos superiores o a uno de los Directores superiores siguiendo el orden de la cadena de mando 2 (General)3 (Crítico) Localizar mediante llamada al teléfono móvil al Responsable de TI o a uno de los Directores siguiendo el orden de la cadena de mando.La persona contactada deberá informar al resto de la cadena de mando
Hoy vamos a tratar los temas relacionados con la respuesta ante incidentes. Tema muy importante dentro de una organización.
En nuestro día a día es mejor prevenir que curar, y la seguridad no es una excepción. Cuando se produce un incidente de seguridad, se debe garantizar que se minimice su repercusión. Para minimizar la cantidad y repercusión de los incidentes de seguridad, debe seguir estas pautas:
- Establecer claramente y poner en práctica todas las directivas y procedimientos. Las directivas y los procedimientos se deben probar exhaustivamente para garantizar que son prácticos y claros, y que ofrecen el nivel de seguridad apropiado.
- Evaluar de forma regular las vulnerabilidades del entorno. Las evaluaciones deben ser realizadas por un experto en seguridad con la autoridad necesaria (con derechos de administrador de los sistemas) para llevar a cabo estas acciones.
- Establecer programas de formación sobre la seguridad tanto para el personal de TI como para los usuarios finales.
- Se deben enviar mensajes. Carteles de seguridad que recuerden a los usuarios sus responsabilidades y restricciones, junto con la advertencia de que se pueden emprender acciones legales en caso de infracción.
- Comprobar con regularidad todos los registros y mecanismos de registro. Cortafuegos, IDS's, etc.
- Comprobar los procedimientos de restauración y copia de seguridad.
Particularmente he realizado un procedimiento de comunicación que nos puede ser útil para estos casos, va por ustedes:
PROTOCOLO DE COMUNICACION
Cuando un problema o incidencia en las instalaciones, medios técnicos o recursos humanos tenga como consecuencia previsible no poder prestar alguno o todos los servicios encomendados se entrará en situación de EMERGENCIA.
Niveles de emergencia
Para establecer los protocolos de actuación se definen los siguientes Niveles de emergencia:
Nivel Descripción Ejemplos 0 (Prealerta) Detectada la incidencia pero se prevé su resolución en un periodo inferior a 15 minutos o no afecta de manera importante a los servicios prestados
1 (Básica) Fallo en las instalaciones o sistemas informáticos que dificultan de manera importante o impiden la prestación de algunos servicios Pérdida de la conexión a internet, Fallo de algún aplicativo,... 2 (General) Fallos en las instalaciones o sistemas informáticos que impiden la prestación de la mayoría de los servicios Caídas de centralita, caídas de corriente eléctrica, pérdida de las comunicaciones , intrusiones 3 (Crítico) Situaciones que exigen al abandono del puesto de trabajo por razones de seguridad Incendio, emergencias generales del edificio, ...
La valoración del nivel de emergencia en el que se encuentra el departamento de TI y, por tanto, el protocolo de actuación a aplicar será determinado por el Responsable de TI o del Call Center cuando estén presentes en el centro de trabajo ó por el operador que detecte la incidencia, si no se encuentra en el Centro ninguno de los responsables (en adelante, a esta persona la denominaremos COORDINADOR DE LA EMERGENCIA).Protocolos de actuación Las acciones a realizar en un supuesto de emergencia son las siguientes:
- Identificación del problema y gestión de su resolución
- Comunicación a la Dirección de la empresa
- Comunicación a Usuarios
- Registro y documentación de la incidencia
Identificación del problema y gestión de su resolución (Niveles 0,1,2,3) Para analizar el nivel de emergencia en el que se encuentra el departamento de TI y la celeridad con la que se deben iniciar las diferentes acciones de este protocolo de actuación, el COORDINADOR DE LA EMERGENCIA deberá evaluar los siguientes aspectos del problema:
- Instalaciones y medios técnicos afectadosServicios comprometidos
- Duración previsible de resolución
En el caso de que estemos en situación Crítica (Nivel 3), deberá proceder a notificar la incidencia al 112 y seguir las instrucciones, en la medida de lo posible, procederá al apagado ordenado de los equipos de trabajo, siempre y cuando esto no comprometa la seguridad de los trabajadores.
En el resto de los niveles de emergencia, se procederá a informar del problema al personal encargado para su resolución:
- Problemas con las instalaciones (electricidad, climatización, ...)
- Medios técnicos (centralita, comunicaciones, ordenadores,...)
- Personal (accidentes, enfermedad)
El COORDINADOR DE LA EMERGENCIA se encargará de comprobar que los incidencia es resuelta y los servicios se vuelven a prestar con normalidad.
Comunicación a la Dirección La cadena de mando es la siguiente:
- Responsable del servicio de emergencias
- Director de Recursos Humanos
- Director General
Dependiendo del nivel de emergencia, el COORDINADOR DE LA EMERGENCIA deberá actuar de la siguiente forma:
Nivel Acción 1 (Básica) Localizar mediante llamada al teléfono móvil al Responsable de TI o mandos superiores o a uno de los Directores superiores siguiendo el orden de la cadena de mando 2 (General)3 (Crítico) Localizar mediante llamada al teléfono móvil al Responsable de TI o a uno de los Directores siguiendo el orden de la cadena de mando.La persona contactada deberá informar al resto de la cadena de mando
Depredadores
Una chica de 16 años contactada por Tuenti sufre una agresión sexual en cadiz.
El 'grooming' o acoso a los menores suele ser protagonizado por los adultos que, tras ganarse la amistad o confianza de aquellos a través de Internet, obtienen satisfación sexual mediante imágenes eróticas que el propio menor facilita insconscientemente o bajo amenaza.
En octubre pasado, la BIT detuvo en Cádiz a un depredador que llegó a ocasionar el suicidio de un niño Estonio de 11 años. El hijoputa de agresor se hizo pasar por una adolescente. El chantajista gaditano distribuyo las fotos de este niño ante los amigos de este. Ante la verguenza se pego un tiro con la pistola de su abuelo.
En Agosto un estudiante de 23 años tenía sometido a un bestial asedio a más de 200 adolescentes. Este personaje se pegaba más de 12 horas de caceria por Internet. Una chica de Madrid acosada por este individuo escribio una carta en la que decia "Mamá, no aguanto más. La única salida que veo es el suicidio"
El procedimiento que utilizan es muy simple, buscan un niño o niña que les encaje con sus fantasias sexuales. Les envía un mensaje haciéndose pasar por un adolescente, este solicita su dirección de correo y Messenger (en casi el 95% de los casos) para poder 'intimar' más en su confianza.
Los depredadores son expertos en informática comparados con sus victimas y visitán sitios 'underground' con el objeto de aprender a crear, utilizar y distribuir troyanos a sus victimas para tener el control absoluto. De esta forma tienen acceso a su correo, lista de amigos y demas ficheros.
Como ejemplo voy a poner unas pantallas de un caso que todavía sigue abierto, pero que por motivos etico-morales voy a exponer.
ENTRANDO AL CHAT
Parece ser que este individuo depredador 'habita' por un conjunto de chats de acceso publico y no moderado. La victima de nuestro caso es una adolescente de 16 años y de nombre Eva.
Una vez que nos han pasado sus datos y bajo tutela notarial y judicial nos hacemos pasar por la victima, estos son algunos resultados.
1.- Entramos al Chat (uno muy famoso) a la hora más o menos prevista. El sujeto en cuestión abre una sesión personal de chat conmigo y esta es la conversación. Simplemente le seguimos el juego.
2.- Me invita a una sesión personal en el Messenger. Entro antes que el y el sujeto aparecía como desconectado y con el nombre de 'Carla'. Nada más entrar lo cambia y se llama 'yo'
Comprobamos su perfil publico en Live Messenger, apenas tiene nada, tan solo confirmamos que se hace llamar 'Carla'
3.- Seguimos con la conversación y esta sube de tono...la cosa se calienta . 4.- En este punto es cuando 'me seduce'
Esta conversación la reduzco y vamos al grano. Despues de unos días de conectarnos y hablar durante horas me dice que me manda un albúm de fotos en un fichero. Este se llama "book_barna.jpg.exe.zip" . Además con objeto de obtener más información de este 'pajarrraco' vamos a obtener como minímo la dirección IP desde donde nos manda el fichero, dado que el envío de archivos no pasa por los servidores de Microsoft.
Como nota hay que decir :
EL FICHERO BOOK_BARNA.JPG.EXE.ZIP
¿Que nos ha mandado nuestro amigo?. Vamos a ver que opina virustotal.
Parece que hay un troyano que solo lo detectan dos casas de antivirus pero indetectable para todos los demas.
Y como se suele decir hasta aquí puedo hablar....
CONCLUSIONES
Hay que incrementar los esfuerzos para proteger a nuestros más jóvenes. Entiendo que con programas de formación o algo parecido. ¿Recordais cuando nuestros padres nos decían?
.- Si un señor te da un caramelo no lo cojas
.- Si te dice que te vayas con el no lo hagas
¿Tan difícil es extrapolar a internet esa concienciación?, ¿Que les pasa a los padres?, ¿saben que hacen sus hijos cuando están horas y horas conectados a internet?.
Creo que es hora de que la concienciación fluya dado que la tecnología nunca podrá solucionar este problema, mas cuando los depredadores aprenden a manejar troyanos como verdaderas pistolas de fuego y es que esta claro, las reglas han cambiado y nuestra forma de actuar también.
El 'grooming' o acoso a los menores suele ser protagonizado por los adultos que, tras ganarse la amistad o confianza de aquellos a través de Internet, obtienen satisfación sexual mediante imágenes eróticas que el propio menor facilita insconscientemente o bajo amenaza.
En octubre pasado, la BIT detuvo en Cádiz a un depredador que llegó a ocasionar el suicidio de un niño Estonio de 11 años. El hijoputa de agresor se hizo pasar por una adolescente. El chantajista gaditano distribuyo las fotos de este niño ante los amigos de este. Ante la verguenza se pego un tiro con la pistola de su abuelo.
En Agosto un estudiante de 23 años tenía sometido a un bestial asedio a más de 200 adolescentes. Este personaje se pegaba más de 12 horas de caceria por Internet. Una chica de Madrid acosada por este individuo escribio una carta en la que decia "Mamá, no aguanto más. La única salida que veo es el suicidio"
El procedimiento que utilizan es muy simple, buscan un niño o niña que les encaje con sus fantasias sexuales. Les envía un mensaje haciéndose pasar por un adolescente, este solicita su dirección de correo y Messenger (en casi el 95% de los casos) para poder 'intimar' más en su confianza.
Los depredadores son expertos en informática comparados con sus victimas y visitán sitios 'underground' con el objeto de aprender a crear, utilizar y distribuir troyanos a sus victimas para tener el control absoluto. De esta forma tienen acceso a su correo, lista de amigos y demas ficheros.
Como ejemplo voy a poner unas pantallas de un caso que todavía sigue abierto, pero que por motivos etico-morales voy a exponer.
ENTRANDO AL CHAT
Parece ser que este individuo depredador 'habita' por un conjunto de chats de acceso publico y no moderado. La victima de nuestro caso es una adolescente de 16 años y de nombre Eva.
Una vez que nos han pasado sus datos y bajo tutela notarial y judicial nos hacemos pasar por la victima, estos son algunos resultados.
1.- Entramos al Chat (uno muy famoso) a la hora más o menos prevista. El sujeto en cuestión abre una sesión personal de chat conmigo y esta es la conversación. Simplemente le seguimos el juego.
2.- Me invita a una sesión personal en el Messenger. Entro antes que el y el sujeto aparecía como desconectado y con el nombre de 'Carla'. Nada más entrar lo cambia y se llama 'yo'
Comprobamos su perfil publico en Live Messenger, apenas tiene nada, tan solo confirmamos que se hace llamar 'Carla'
3.- Seguimos con la conversación y esta sube de tono...la cosa se calienta . 4.- En este punto es cuando 'me seduce'
Esta conversación la reduzco y vamos al grano. Despues de unos días de conectarnos y hablar durante horas me dice que me manda un albúm de fotos en un fichero. Este se llama "book_barna.jpg.exe.zip" . Además con objeto de obtener más información de este 'pajarrraco' vamos a obtener como minímo la dirección IP desde donde nos manda el fichero, dado que el envío de archivos no pasa por los servidores de Microsoft.
Como nota hay que decir :
- La videoconferencia, audio, video y llamadas de PC a teléfono utilizan los puertos UDP 5004-65535 (desde el puerto UDP 5004 hasta el puerto UDP 65535).
- Compartir aplicaciones y pizarra utiliza el puerto TCP 1503
- La transferencia de archivos requiere los puertos TCP 5000-6900. Estos puertos permiten hasta 10 transferencias simultáneas por usuario.
EL FICHERO BOOK_BARNA.JPG.EXE.ZIP
¿Que nos ha mandado nuestro amigo?. Vamos a ver que opina virustotal.
Parece que hay un troyano que solo lo detectan dos casas de antivirus pero indetectable para todos los demas.
Y como se suele decir hasta aquí puedo hablar....
CONCLUSIONES
Hay que incrementar los esfuerzos para proteger a nuestros más jóvenes. Entiendo que con programas de formación o algo parecido. ¿Recordais cuando nuestros padres nos decían?
.- Si un señor te da un caramelo no lo cojas
.- Si te dice que te vayas con el no lo hagas
¿Tan difícil es extrapolar a internet esa concienciación?, ¿Que les pasa a los padres?, ¿saben que hacen sus hijos cuando están horas y horas conectados a internet?.
Creo que es hora de que la concienciación fluya dado que la tecnología nunca podrá solucionar este problema, mas cuando los depredadores aprenden a manejar troyanos como verdaderas pistolas de fuego y es que esta claro, las reglas han cambiado y nuestra forma de actuar también.
Sesiones restauradas en navegadores y (II)
Hola lectores,
Vamos a continuar con el post de sesiones restauradas.
RESTAURANDO LA SESION DE OPERA
Opera una vez instalado en el sistema, disponemos de la siguiente ruta y ficheros donde almacena las sesiones visitadas.
En Windows XP:
c:\documents and settings\Username\Local Settings\Aplicattion Data\opera\opera\sessions
En Windows 7:
c:\users\Username\AppData\Local\opera\opera\profile\sessions
Y especialmente a los ficheros 'autosave.win' y 'autosave.win.bak'
Estos ficheros están en formato RAW y es tan fácil como editar su contenido con el bloc de notas para obtener la información.
Destacamos la cabecera [session] que contiene la versión de navegador y el número de pestañas que tenia antes de cerrar la sesión.
La información que muestra es muy sugerente y si queremos restaurar las pestañas con todo su contenido podemos iniciar Opera y es el propio navegador quien nos suguiere la restauración entre otras opciones (así de sencillo).
RESTAURANDO LA SESION DE SAFARI
Una vez que este instalado el producto disponemos de las siguientes rutas
Windows XP:
C:\Documents and Settings\\Application Data\Apple Computer\Safari
Windows 7:
C:\Users\antoine\AppData\Roaming\Apple Computer\Safari
Mac OSX: /Users//Library/Safari
Disponemos de una serie de ficheros con extensión '.plist' especialmente el que se llama 'LastSession.plist' que contiene la sesión a restaurar. Este es el fichero donde se va almacenando las sesiones visitadas.
Si lo editamos con un editor podremos ver los sitios web, posición , Nombre de la ventana, marcadores, etc.
CURIOSIDADES FORENSES DE SAFARI
Ya que estamos, me he puesto a revisar un poquito la estructura de Safari y esto es lo que he visto:
Safari dispone de dos rutas alternativas que contienen los ficheros '.plist' y ficheros con extensión '.db' ambos son auditables y se puede obtener información para un posterior análisis forense. Vamos a ver algunos ejemplos:
He utilizado la utilidad de foundstone 'bintext' para poder parsear de una forma comoda los ficheros en formato binario.
En el fichero 'lastsession.plist' contiene las pestañas a restaurar con su contenido exacto.
En la ruta "C:\Users\antoine\AppData\Roaming\Apple Computer\Safari" nos encontramos con el fichero 'History.plist' como podemos apreciar ha estado en un sitio de contactos
Editando con la utilidad 'SQLite Administrator' el fichero 'database.sqlite3.db' nos encotramos con la tabla 'feeds' con lo que podemos saber a que feeds está suscrito.
Otra forma curiosa que he visto y no distingo para que lo emplea Safari, es la tabla autores que contiene el nombre y en algún caso el correo electrónico de los sitios visitados.
Estas y otras opciones también se pueden hacer desde el propio navegador una vez iniciado de forma que podemos reconstruir las páginas a las que se ha accedido, por ejemplo el top de páginas visitadas (recordamos que están en el fichero de TopSites.plist)
Y por último el historico (del fichero history.plist)
Espero que os sea de utilidad estos dos post como minímo habremos aprendido algo sobre otros navegadores que no son de la familia Microsoft, y quien sabe si en algún análisis forense nos puede ser de ayuda estos ficheros.
Vamos a continuar con el post de sesiones restauradas.
RESTAURANDO LA SESION DE OPERA
Opera una vez instalado en el sistema, disponemos de la siguiente ruta y ficheros donde almacena las sesiones visitadas.
En Windows XP:
c:\documents and settings\Username\Local Settings\Aplicattion Data\opera\opera\sessions
En Windows 7:
c:\users\Username\AppData\Local\opera\opera\profile\sessions
Y especialmente a los ficheros 'autosave.win' y 'autosave.win.bak'
Estos ficheros están en formato RAW y es tan fácil como editar su contenido con el bloc de notas para obtener la información.
Destacamos la cabecera [session] que contiene la versión de navegador y el número de pestañas que tenia antes de cerrar la sesión.
La información que muestra es muy sugerente y si queremos restaurar las pestañas con todo su contenido podemos iniciar Opera y es el propio navegador quien nos suguiere la restauración entre otras opciones (así de sencillo).
RESTAURANDO LA SESION DE SAFARI
Una vez que este instalado el producto disponemos de las siguientes rutas
Windows XP:
C:\Documents and Settings\\Application Data\Apple Computer\Safari
Windows 7:
C:\Users\antoine\AppData\Roaming\Apple Computer\Safari
Mac OSX: /Users//Library/Safari
Disponemos de una serie de ficheros con extensión '.plist' especialmente el que se llama 'LastSession.plist' que contiene la sesión a restaurar. Este es el fichero donde se va almacenando las sesiones visitadas.
Si lo editamos con un editor podremos ver los sitios web, posición , Nombre de la ventana, marcadores, etc.
CURIOSIDADES FORENSES DE SAFARI
Ya que estamos, me he puesto a revisar un poquito la estructura de Safari y esto es lo que he visto:
Safari dispone de dos rutas alternativas que contienen los ficheros '.plist' y ficheros con extensión '.db' ambos son auditables y se puede obtener información para un posterior análisis forense. Vamos a ver algunos ejemplos:
He utilizado la utilidad de foundstone 'bintext' para poder parsear de una forma comoda los ficheros en formato binario.
En el fichero 'lastsession.plist' contiene las pestañas a restaurar con su contenido exacto.
En la ruta "C:\Users\antoine\AppData\Roaming\Apple Computer\Safari" nos encontramos con el fichero 'History.plist' como podemos apreciar ha estado en un sitio de contactos
Editando con la utilidad 'SQLite Administrator' el fichero 'database.sqlite3.db' nos encotramos con la tabla 'feeds' con lo que podemos saber a que feeds está suscrito.
Otra forma curiosa que he visto y no distingo para que lo emplea Safari, es la tabla autores que contiene el nombre y en algún caso el correo electrónico de los sitios visitados.
Estas y otras opciones también se pueden hacer desde el propio navegador una vez iniciado de forma que podemos reconstruir las páginas a las que se ha accedido, por ejemplo el top de páginas visitadas (recordamos que están en el fichero de TopSites.plist)
Y por último el historico (del fichero history.plist)
Espero que os sea de utilidad estos dos post como minímo habremos aprendido algo sobre otros navegadores que no son de la familia Microsoft, y quien sabe si en algún análisis forense nos puede ser de ayuda estos ficheros.
Sitel y la Agencia de Protección de Datos
Hemos cambiado de año y de decenio, y desde este pequeño lugar en Internet, queremos haceros llegar (aunque con retraso) nuestros mejores deseos para este complicado año en el que nada va a ser evidente.
Acabamos el año discutiendo de SITEL y lo comenzamos con un informe de la Agencia de Protección de Datos quien, al parecer, ha inspeccionado el sistema y se pronuncia en los siguientes términos sobre él en sus conclusiones:
1ª.- La incorporación de los datos a SITEL sólo es posible cuando la operadora que presta el servicio a la línea objeto de interceptación, una vez recibida y analizada la autorización judicial, activa dicha inclusión. Las Fuerzas y Cuerpos de Seguridad no pueden por sí mismas, introducir información en SITEL.
2ª.- La actividad de las Fuerzas y Cuerpos de Seguridad en relación con SITEL queda enmarcada en el ejercicio de las funciones de policía judicial previstas en la LOPJ y en la LECrim. En consecuencia, dicho acceso se efectúa exclusivamente en los términos previstos por la autoridad judicial y para la investigación concreta a la que se refiera dicha autorización de interceptación, pudiendo acceder al sistema los agentes facultados por ella designados. Por tanto, el tratamiento de datos en SITEL se produce siempre bajo el control de la autoridad judicial que ordena la interceptación.
3ª.- La finalidad de SITEL es la de poner la información obtenida como consecuencia de la interceptación a disposición de la autoridad judicial que hubiera ordenado aquélla. Por tanto, los agentes facultados encuentran limitada su capacidad de acceso y uso a la información en los términos derivados de la autorización judicial de interceptación, quedando la información contenida en SITEL bajo el control de la autoridad judicial.
4ª.- SITEL almacena la información relacionada con el contenido de la comunicación y la información relativa a la interceptación con el alcance que se deriva de la orden dictada por la autoridad judicial que controla la interceptación, cumpliendo así el principio de proporcionalidad previsto en el artículo 4.1 de la LOPD.
5ª.- Los datos contenidos en SITEL son objeto de bloqueo una vez concluida la investigación que motivó la interceptación y ordenada judicialmente la restricción de los accesos al sistema, no pudiendo producirse el acceso a los mismos salvo que sea requerido por dicha autoridad. El borrado físico se producirá también a instancia de la autoridad judicial a la que corresponde el control de la información contenida en SITEL.
De este modo, se da cumplimiento al principio de conservación previsto por el artículo 4.5, en relación con el artículo 16.3 de la LOPD.
6º.- El tratamiento de datos efectuado por SITEL se encuentra amparado en el artículo 579 de la Ley de Enjuiciamiento Criminal y en el artículo 33 de la Ley General de Telecomunicaciones, habiendo considerado el Tribunal Supremo en SSTS de 5 de febrero de 2008 (Sala de lo Contencioso-Administrativo) y 5 de noviembre de 2009 (Sala de lo Penal), entre otras que ésta cita, adecuado el rango normativo de ambas disposiciones.
7º.- De conformidad con las previsiones de la LOPD, así como de las necesarias garantías de integridad, exactitud y control judicial de la información contenida en SITEL, las Fuerzas y Cuerpos de Seguridad no han de cumplir con el deber de información al afectado acerca del tratamiento de sus datos ni pueden atender las solicitudes de ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
8ª.- Se considera que los procedimientos de firma electrónica implantados en el momento en que la información se incorpora al sistema, su grabación en otros soportes y su transmisión a la autoridad judicial, garantizan los principios de exactitud e integridad previstos en la LOPD.
9ª.- SITEL garantiza el cumplimiento de las medidas de seguridad de nivel alto previstas en el RLOPD, debiéndose hacer especial referencia a aquellas relacionadas con el acceso al sistema por los distintos usuarios del mismo y la seguridad del trasporte de los soportes que contengan la información hasta su entrega a la autoridad judicial.
