lunes, marzo 09, 2009

Neologismo de hoy

Neologismo de hoy / new jargon coinage of today:

"Carpettwitting, carpettwitted" - inspired by "carpet bombing", having your twitter page covered by twits from a single individual and therefore not being able to read your other connections' twits.

By analogy: "carpet facebooked",when the status updates, photos or other postings of a single individual cover the whole landscape.

And "carpet linkedined", a single individual makes so many questions on the Q&A that you can't see the really interesting ones.

Precios de la economía subterránea - "The 0wned Price Index"

En un interesante y bien redactado artículo (requiere suscripción de IEEE o acceso por biblioteca que la tenga), Daniel Geer y Daniel Conway recogen resultados de las investigaciones del "Team CYMRU", un reconocido grupo de trabajo galés, sobre los precios que se cobran y pagan por los bienes y servicios de la economía subterránea de la seguridad en Internet.

Las investigaciones del Team CYMRU permiten poner un precio en moneda conocida (dólares, por ejemplo) a los numerosos trueques que conforman la economía subterránea que a su vez permite ataques a sistemas, personas y patrimonios en Internet. El resultado se obtiene rastreando numerosas transacciones (del tipo "un número X de datos para controlar computadoras Window a cambio de un número Y de datos para hacer efectivas tarjetas de crédito") y ubicando las que, inevitablemente, pasan del trueque de software y datos a la conversión de estos datos en compras con dinero real.

Los precios de los bienes se determinan en un estricto esquema de oferta y demanda; aquello que es más útil o se consigue con mayor dificultad cuesta más, lo inútil o fácil de conseguir casi se regala.

Algunos datos llamativos son los precios siguientes: un pasaporte de Estados Unidos, 700 dólares; el control de una computadora Unix, 2.50 dólares; y el control de una commputadora Windows, 3 centavos. Saque el lector sus propias conclusiones.

e-Crime and DNS Abuse - Delito cibernético y abusos del DNS

Reproduzco aquí las palabras que preparé (y leí) en la inauguración del taller sobre "e-Crime and DNS Abuse" o "Delito cibernético y abusos del Sistema de Nombres de Dominio" que se llevó a cabo el pasado 4 de marzo de 2009 en la Ciudad de México, D.F., en el marco de la 34 reunión de ICANN:


Sean Uds. bienvenidos al Taller “Delito cibernético y abuso del sistema de nombres de dominio” en esta Ciudad de México.

El Taller ha sido organizado por un grupo distinguido de especialistas y de promotores de la difusión del conocimiento técnico y de políticas de ICANN y políticas públicas, al que expreso públicamente mi agradecimiento y seguramente el de todos los presentes.

Como es bien sabido, en Internet se presentan en forma creciente formas delictivas cada vez más sofisticadas, y una parte muy importante de su análisis y el trabajo para prevenirlo, detectarlo, impedirlo, combatirlo, mitigar sus efectos y recuperar de sus efectos a las organizaciones y sistemas se lleva a cabo, necesariamente, en esferas muy ajenas a aquella de la que se ocupa ICANN. ICANN, por su parte, tiene permanentemente a la vista un componente de seguridad en su encargo, que privilegia la estabilidad del sistema de nombres de dominio y por ello debe mantener seguras su infraestructura y operación.

Hay un conjunto muy específico de actividades delictivas que descansa en el abuso del sistema de nombres de dominio en diversas formas. Éstas abarcan desde los casos en que el objeto mismo de la conducta negativa es el nombre de dominio – cybersquatting y similares – hasta una variedad amplia de virus, troyanos y botnets que movilizan un rápidamente cambiante registro de nombres de dominio para dirigir el tráfico inocente hacia sitios en los que se afectan los intereses de los usuarios.

Los “stakeholders” de estas actividades, en un grano más fino que los de la Cumbre Mundial de la Sociedad de la Información, incluyen a usuarios finales de Internet, registrantes de nombres de dominio, bancos y otros intermediarios financieros, autoridades encargadas de vigilar el cumplimiento de las leyes, jueces, abogados, peritos, fiscales, proveedores de servicios de Internet o ISPs, especialistas en seguridad informática, autoridades de defensa del consumidor, alianzas comerciales entre países, etc.

Las organizaciones que han surgido para tratar con algunas de las conductas delictivas de este campo representan formas originales de organización y acción. Un ejemplo primario es el Anti-Phishing Working Group (APWG), en el cual concurren muchos de los actores señalados en el párrafo anterior. El APWG convoca también a CERTs. Conduce sus asuntos con agilidad gracias a una organización horizontal, y a que reúne a personas y entidades que pueden actuar en alguno de los terrenos relevantes como persecución del delito (denuncia, investigación, juicios), eliminación de páginas y programas en Internet que forman parte de la cadena de comisión del delito, registradores y registros de nombres de dominio, etc. El APWG se moldeó espontáneamente, en busca de la solución de un problema específico - “phishing” - con los actores relevantes, y tomó, como la IETF o ICANN, una forma “multistakeholder” de organización acorde con los principios de la CMSI “avant la lettre”.

En una instancia que me es más cercana, y a la que me referiré brevemente como un ejemplo que ilustra y provoca la discusión de las verdaderas complejidades del sistema, formamos un grupo de trabajo informal en México al que uno de los fundadores, el Dr. Alfredo Reyes Krafft, ha dado el nombre de “e-Crime México”. En este grupo nos reunimos inicialmente la dirección de cómputo de la Universidad Nacional, entonces a mi cargo, y UNAM-CERT, parte de la misma unidad, a cargo de Juan Carlos Guel, con el propio Alfredo y otras personas de los bancos, Policía Federal, y abogados.

El grupo alcanzó logros importantes en reducir el tiempo de respuesta para eliminar sitios y software dañinos, incluso en países de otro modo difícilmente accesibles, y en instruir en las necesidades de denuncia oportuna y precisa para concitar la acción de las autoridades con plena base legal. Al mismo tiempo, sus dificultades ilustran las de este complicado mundo. Muestro una con el valor de la anécdota.

Los bancos buscaron que NIC-México (el ccTLD a cargo del dominio .mx) instituyera un proceso de “takedown” (elminiación, o al menos suspensión de la resolución) de nombres de dominio registrados para usos delictivos. Pronto encontramos casos como el nombre bancox.com.mx registrado por el propio banco, fuera del nombre con el que principalmente mantiene su presencia en línea, pero fuera del conocimiento de los operadores y tomadores de decisiones del banco. Haber procedido con la solicitud de “takedown” hubiera sido lesivo para el propio banco y creado una responsabilidad para NIC-México. Otro punto relacionado sería el intento del banco Y de bloquear un uso legítimo del banco X acusándolo de abusivo.

Esto se relaciona con las propuestas de “rapid takedown” de .asia, y otras que el APWG y empresas como MarkMonitor han impulsado.

En la sesión que ahora empieza se presentará un panorama general del delito cibernético, de los usos del sistema de nombres de dominio para el delito, las respuestas posibles por parte de los distintos “stakeholders” y sus comunidades. Después de las exposiciones y discusión, se llevarán a cabo cuatro sesiones paralelas ágiles para tratar entre los participantes las dimensiones del delito cibernético en América Latina, protección al consumidor, papel de ICANN, y relación entre autoridades perseguidoras del delito y ccTLDs. ¡No se pierdan el resto de esta sesión!