General

Participación ciudadana en VenCERT

VenCERT es un organismo gubeamental bastante joven encargado de la atención proactiva, preventiva y reactiva de incidentes de seguridad que afecten, principalmente, a la operación de la Administración Pública Nacional (lo cual incluye al ISP más grande de Venezuela), aunque tienen en el horizonte ampliar el enfoque a mediano plazo a la Academia, sector privado y ciudadanía.

En 2008, cuando todavía se estaban organizando, incluso un año antes de que fueran aceptados en FIRST, empecé a apoyarlos como ciudadano preocupado por la seguridad de la información. Hoy en día dedico un par de horas cada dos semanas a evaluar incidentes de seguridad reportados por mis clientes, terceras personas o que vivo como usuario final, y canalizarlos a VenCERT y otros organismos competentes.

He trabajado con VenCERT en siete incidentes, principalmente de phishing orientados a organizaciones públicas y privadas en Venezuela, aunque también -y como muestra de lo relevante que es el ecosistema venezolano en el submundo del negocio de la inseguridad electrónica- en vulnerabilidades de sistemas críticos como el Módulo de Notificación de Viajes de CADIVI.

El último caso que estamos revisando es de un grupo de atacantes en Brasil que usó una página en Austria para enviar una campaña vía Alemania que hace que la gente pase por Polonia, usando un proxy que instalaron gracias a un Roundcube comprometido, para descargar finalmente el malware, siendo lo más interesante que cosechan direcciones de la base de datos del RNC y proveedores de PDVSA.

Mi política independiente de atención de estos incidentes es plenamente informativa e investigativa por no encontrarme relacionado formalmente con ningún CERT en el mundo, ni con ningún equipo de trabajo de Abuso y/o Seguridad de un ISP o alguna organización afectada. En muchos casos no tengo tiempo para desensamblar malware y/o ejecutar sandboxes para identificar patrones de comando y control.

Aunado a eso, estoy bastante seguro de que atender mis correos y follow-ups llega a ocupar gran parte de la paciencia y del tiempo de la gente del VenCERT, que en muchas ocasiones podría no tener mayor apoyo y remitirse a escalar el caso a otra parte. En dos ocasiones se han podido ralentizar campañas gracias a la acción de los dueños de los bloques de IPs o los dominios, pero no necesariamente de VenCERT. Y si, como profesionales y ciudadanos, podemos hacer algo para apoyar a VenCERT en estas situaciones, será un gusto seguirlo haciendo.

Quizás el ejemplo más reciente es el de Carlos Guerrero, a quien vi por allí avisándole a sus contactos de una popular campaña de phishing, explicando muy didácticamente el asunto. En el otro extremo del espectro -ambos se necesitan- si hay alguien allá afuera que desensamble malware y pueda aportar a organizaciones como Shadowserver información que lleve a desmantelar organizaciones delictivas asociadas con estas incidencias, creo que sería muy bienvenido en la comunidad. Véalo desde un punto de vista patriótico -si usted cree en eso-, también puede ofrecerse al CICPC en Venezuela, a la Policía Nacional en Ecuador, a la Guardia Civil en España. Hay muchos casos allí afuera (hola: elsanto, apostols et al.) y no es tan idealista como suena.

¡Apoyemos el trabajo del CERT!

Standard

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s