Niño Orsino un ciberdelincuente bastante ético

windows-security-pwned-image.-2Cuando la diferencia entre hacker y cracker el de hacker es la legalidad. Conocé a Niño Orsino, el ciber-delincuente que en las últimas semanas envió varias advertencias al Ministerio de Seguridad denunciando la vulnerabilidad de sus mails y bases de datos. Ni sus mensajes ni sus capturas de pantalla fueron atendidos por un ministerio que restringe su idea de seguridad informática a la mera persecución de tuiteros irascibles. Las consecuencias del desinterés oficial por la seguridad informática nos traen a la mente las iluminadas palabras del Rabino Bergman: “Aprendemos tarde y mal cuando agotamos el límite”.

El Disenso

Desde El Disenso siempre hemos sido audaces en nuestras investigaciones, no nos ha temblado el pulso por publicar información que compromete a funcionarios como Michetti, Pinedo, Macri, Morales o Arribas, sin embargo, como blogueros que somos, entrevistar a un hacker nos resulta más o menos como a un atún conversar con un tiburón, especialmente cuando hablamos de Niño Orsino, quien en 2015, según publicaron algunos blogs especializados, mostró las deficiencias y vulnerabilidades de la estructura informática de la AFI, heredada de la ex SIDE. Para muchos el hacking es un arte casi mágico, para sus detractores, una simple chacería de prestidigitador, para el gobierno argentino, en cambio, son un mito. Sea como sea, los hackers son completamente distintos al resto de los cibernautas, y ahí donde todos vemos paredes infranqueables, ellos ven infinidad de puertas que, muchas veces, están abiertas para que “cualquiera” pase.

La ministra Bullrich, docenas de veces, invitó a los usuarios de las redes a denunciar delitos y colaborar con su gestión en la preservación de la seguridad nacional. Niño Orsino, como un ciudadano modelo, cumplió en advertir a las autoridades que todo el sistema del ministerio era vulnerable. No hubo respuestas. A mediados de enero, Orsino subió a youtube un fragmento de una conferencia de prensa de Bullrich sobre “Ciberterrorismo”, en la captura nada decía la ministra de seguridad informática, lejos de eso, focalizaba la cuestión de seguridad nacional en la persecución de cualquier tuiteros que realice “amenazas” desde sus computadoras domésticas. Al mismo tiempo, desde su cuenta de twitter, Niño Orsino dejó entrever algunas capturas que demostraban la vulneración de los servidores de la cartera de seguridad e, incluso, de la Policía Federal, arrobando muchas veces a las autoridades, para que tomen medidas, aunque tampoco hubo respuestas. Días después, la cuenta de twitter de Bullrich era hackeada.

Ver investigación: La Seguridad Nacional amenazada por el hackeo a Bullrich.

El hackeo público al Twitter personal de la ministra de seguridad no es un tema menor. La máxima autoridad de nuestro país fue víctima de un “phishing”: se le envió un email haciéndose pasar por un tercero, en el que se le solicitó a Bullrich ingresar sus datos de usuario y contraseña. Un engaño usualmente utilizado con usuarios desprevenidos para tomar sus cuentas de banco y Pay-Pal.

Cómo la ministra de seguridad nacional es tan confiada de poner sus datos personales de acceso en la web de un tercero sin fijarse siquiera que la url no coincide con el nombre enviado.. es una pregunta que desvela. No es una usuaria común, su puesto implica que sus conocimientos estén a la altura de una máxima autoridad en seguridad y eso incluye seguridad informática, y si ella no puede manejar el tema, al menos debería tener a algún experto que la asesore en el uso de las herramientas digitales y la seguridad informática relacionada al ministerio a su cargo.

El que avisa no traiciona

Niño Orsino se define como un cryptoanarquista, conoce perfectamente la inseguridad que rodea a los sistemas en nuestro país y en el exterior. En agosto de 2015 expuso la debilidad de los sistemas de la AFI y en diciembre hizo lo propio con el ministerio de seguridad. En dialogo con El Disenso pone al descubierto las vulnerabilidades de los sistemas nacionales y la incompetencia de las personas a cargo.

El Disenso

ED: Por más de 1 mes estuviste avisando de grietas en la seguridad del ministerio. La ministra siempre pide que los ciudadanos colaboren. ¿Te consultaron en algún momento o se contactaron con vos?
NO: En ningún momento se contactaron, dieron respuesta o siquiera cambiaron las contraseñas. No tenía otro modo de dar aviso, es un gran problema para la seguridad del país, aun así parecen no interesarles.. aún.

ED: Entonces ¿No hubo cambio en los sistemas desde el breach? ¿Misma configuración y sin cambios de contraseña?
NO: Exacto, sin cambio de pass, mismas claves en md5, sigue siendo un colador, solo cambiaron las de Twitter que ahora tiene doble factor de autenticación.

ED: Como experto en seguridad informática, ¿Cuánta información sensible crees que está en riesgo en este momento?
NO: Ya que una ministra de seguridad caiga en un phishing es un alto riesgo de seguridad, pero si hablamos de info, se puede acceder a correos electrónicos, a rastreos de personas por parte de la Policía Federal Argentina, etc. Creo que no quieren aceptar que están en “Defcon 1”, como definen a una situación extremadamente crítica en el Pentágono. Como decía @mis2centavos (Javier Smaldone, informático cordobés y uno de los mas férreos activistas contra el voto electrónico) “Cualquier narco puede acceder a la info y escapar cuando quiera”.

Para muestra basta un ejemplo: la web de la PFA fue inyectada en el mes de noviembre por un grupo de hackers extranjeros y a la fecha, la PFA siquiera se ha preocupado por patchear el servidor.
El Disenso

Datos de denunciantes en manos de intrusos

En una de las capturas filtradas durante la intrusión, se ve un detalle de la cuenta de denuncias del Ministerio de Seguridad denuncias@minseg.gob.ar donde se ven las carpetas con las denuncias de los ciudadanos agrupadas por año. La vulneración de esa cuenta significa que los datos de los ciudadanos que confiaron en el Ministerio de Seguridad y denunciaron delitos pueden estar ahora en manos de los intrusos. Por ejemplo: si un ciudadano argentino denuncio anónimamente una operación de narcotráfico, los traficantes pueden contratar a un haker y acceder a sus datos. ¿Cómo va a proteger el Ministerio a ese ciudadano que confió en autoridades como la propia ministra de seguridad, que constantemente invita a denunciar delitos por vías electrónicas? ¿Cuanto valen los datos del denunciante en manos de los delincuentes? La seguridad de la tuitera Bullrich se ha reforzado en la red social del pajarito, pero los datos sensibles de la seguridad interior siguen tan accesibles como siempre.

El Disenso

ED: Antes del phishing del Twitter: ¿Pudo haber accesos al server o a la base de datos con accesos a información sensible?
NO: El Sistema Nacional de Información Criminal del Ministerio de Seguridad esta abierto hace años, por darte un ejemplo, una semana antes de acceder al Twitter de Bullrich, espaciomemoria (web de la ex-esma) y unionportodos (el partido político de Bullrich) fueron vulnerados. La inseguridad informática es sorprendente. El Sistema Nacional de Información Criminal dio acceso a la mitad de las webs, servers, etc.

ED: La negligencia de Bullrich pone en riesgo toda la seguridad interior, organizaciones criminales bien financiadas como el narcotráfico o la trata de personas pueden encargar operaciones contra el ministerio para obtener datos. Hubo advertencias pero miran para otro lado, y la mayoría de la gente no entiende la gravedad de la filtración de datos. ¿Qué se puede hacer?
NO: Fue necesario ridiculizar a la ministra de seguridad y exponerla en público para que la debilidad del ministerio quede a la vista. Los ciudadanos y nuestros datos no están protegidos por el ministerio, pero todavía después de eso, la respuesta es la de siempre, sarasa y más sarasa. Creo que es necesario cambiar de Ministro de Seguridad, como se dijo en el Twitter durante el hackeo, “Alguien que tenga los huevos para afrontar las situaciones”, no solo evadir o ignorar una advertencia de acceso total al sistema.

ED: A pesar de las advertencias, el Ministerio tuvo varias intrusiones este mes, todas ellas más graves que la de Twitter. ¿No tenés miedo de que los mismos funcionarios que desoyeron tus advertencias ahora te usen de chivo expiatorio para tapar su incompetencia?

NO:Mirá, soy un cryptoanarquista, creo que solo vivimos una vez y que estamos obligados a usar bien el tiempo que tenemos, a hacerlo hacerlo significante y satisfactorio. Y bueno, esto es algo que yo encuentro significante y satisfactorio. Es mi forma de ser. Disfruto accediendo a los sistemas de gran escala y ayudando a gente vulnerable. Y disfruto afectando a los hijos de puta.

Fuente:
www.eldisenso.com/politica/nino-orsino-el-hacker-que-desnudo-bullrich

Visitas: 23