domingo, 8 de enero de 2012

MITOS Y REALIDADES SOBRE HIPAA

Health Insurance Portability & Accountability Act - HIPAA

La Ley de responsabilidad y transferibilidad de los seguros médicos.


MITO: Hay que guardar los récords de los pacientes bajo llave.

HIPAA: Sólo asegurar los récords.

REALIDAD: Esto no quiere decir bajo llave. Existen alternativas razonables.

MITO: Hay que hablar en un lugar donde otros no puedan escuchar la conversación entre el profesional y el paciente.

MITO: Hay que construir lugares a prueba de sonido.

MITO: Tengo que construir e instalar barreras de sonido en mis topes o “counters“.

HIPAA: Falso , sólo tomar medidas razonables para mantener la privacidad de la información de salud del paciente.

REALIDAD: Esto quiere decir, bajar el volumen, ir a una esquina a conversar si hay otras personas en el lugar, pedir a los visitantes que le permitan hablar en privado, atender a una persona a la vez, hablar en otro tono de voz, etc.

MITO: Tienes que comprar un programa de computadoras.

HIPAA: Falso, entre otras cosas, hay que elaborar una política de privacidad, la documentación y procedimientos necesarios para cumplir con las reglas y adiestrar todo el pesonal de la entidad.

REALIDAD: Se puede cumplir completamente con HIPAA sin

comprar nada nuevo.

MITO: Existen programas de computadoras certificados y/o que llevan a cumplir con HIPAA automáticamente.

HIPAA: Falso, los únicos que pueden cumplir con HIPAA son planes, proveedores y “clearinghouses”.

REALIDAD: No existe programa en el universo que esté certificado por o para HIPAA, ni que lo haga cumplir con HIPAA automáticamente. Lo más que pudieran es ser “conformes” con HIPAA.

MITO: Puedes ir a la cárcel si no cumples con HIPAA

HIPAA: Se establecen multas y cárcel como sanciones por la violación de la ley.

REALIDAD: El que cometa actos delictivos en violación de una ley se arriesga a ser sancionado. El DHHS dará todas las oportunidades de cumplir con la ley y llevará a cabo todas las orientaciones necesarias antes de proceder a imponer las sanciones.

MITO: El Departamento de Salud Federal y/o Medicare certifican personas, programas de computadoras y/o sistemas como especialialistas o como que logran el cumplimiento con HIPAA.

HIPAA: Falso, ni Medicare ni el Departamento de Salud Federal certifican personas, ni programas, ni sistemas como especialistas que logran cumplimiento con HIPAA

MITO: No se pueden llamar los pacientes por nombre.

HIPAA: Falso, se puede seguir llamando pacientes por su nombre. (Ver situaciones discutidas en el Federal Register).

REALIDAD: Esta medida númerica es práctica para algunos escenarios, pero no es requerida.

MITO: Los expedientes no se pueden guardar por número de seguro social o por orden alfabético.

HIPAA: Sólo se requiere asegurar la confidencialidad de los récords.

REALIDAD: Falso, quisiéramos saber de dónde sale ésta premisa.



Fuente: http://www.salud.gov.pr

Las cinco leyes que espera la comunidad informática argentina en 2012

En el año 2011 la República Argentina fue testigo de distintos casos, hechos y situaciones que se han manifestado en la sociedad de la información local y que reclaman soluciones legislativas concretas ante un derecho que llega tarde.

Las razones para legislar son muy sencillas: (1) Necesitamos proteger a nuestros hijos y a los adolescentes en particular con normas claras en materia penal y civil y (2) dar señales y soluciones sensatas a los actores del negocio de la red, en todas sus variantes, que mueve millones de dólares diarios y contrata miles de puestos de trabajo en nuestro país.

A continuación las 5 leyes que espera la comunidad informática argentina en 2012:

1.- El Senado de la Nación aprobó el 2 de noviembre de 2011 un proyecto de ley que incorpora al Código Penal el delito de "grooming" que consiste en la utilización de medios informáticos para tomar contacto con un menor de edad, creando un ámbito de confianza, que tiene por objeto alguna acción de pedofilia (como un abuso sexual o la violación).

La senadora Sonia Escudero presentó el dictamen en su calidad de presidenta de la Comisión de Justicia y Asuntos Penales. El proyecto aprobado tiene como antecedentes los proyectos presentados por la senadora del Frente para la Victoria (FPV) María José Bongiorno y los senadores María Higonet y Carlos Verna.

Los expertos convocados al debate (el que escribe este artículo; el fiscal general Dr. Ricardo Saenz y el Dr. Daniel Monastersky, abogado especialista en nuevas tecnologías) coincidimos en la necesidad de actualizar en forma integral la última reforma del Código Penal con una descripción de casos concretos de grooming y otras situaciones vinculadas tanto a nivel nacional como internacional.

En conclusión se espera que la Cámara de Diputados convierta en ley el proyecto en cuestión y que se debatan en forma integral otros delitos informáticos no incorporados al Código Penal como el sexting o figuras similares que ponen en juego la integridad sexual y psicológica de los menores.

2.- La usurpación de identidad on line es moneda corriente. La creación de perfiles falsos en Facebook u otras redes sociales para ejecutar acciones de defraudación bancaria o pedofilia se replica en Internet. Muchos "famosos" como Luciana Lopilato o Marcelo Tinelli en Argentina o George Clooney y Lady Gaga en los EE.UU. son usurpados en su identidad digital para cometer delitos.

Es necesario poner coto a este tipo de acciones que ponen en peligro el patrimonio individual y la integridad de los menores con una adecuada legislación a medida.

3.- El ciberacoso escolar o ciberbullyng es otra problemática que se expande en la Argentina como reguero de pólvora y requiere de una modificación legal. Recientemente Chile ha incorporado esta figura a su ley de educación superior y otros países de la región lo están debatiendo. Estados Unidos y Europa han superado la cuestión en materia legislativa. Nuestro país necesita su debate y prevención legal.

4.- Los Proveedores de Servicios de Internet (ISP) y en especial los buscadores de Internet y las redes sociales requieren de soluciones concretas y señales claras, con tratamiento legislativo.

Por ejemplo Facebook (radicado en Argentina en octubre de 2011) tiene más de 850 millones de habitantes (usuarios) y se consolida como el tercer país del mundo luego de China y la India. Su valuación patrimonial es incalculable y ha prometido que en el 2012 saldrá a cotizar en el Nasdaq.

La privacidad a través de esta red social tiene sus cuestionamientos como el uso indebido de imágenes personales o los "etiquetamientos" y el concepto de intimidad digital está en crisis. Los casos de Juana Viale, Silvina Luna y Silvina Escudero, que se exteriorizaron en el 2011, dan cuenta de ello. Pero las normas siguen siendo las mismas.

Nuestro país espera respuestas legales que eviten recargar a nuestros tribunales con expedientes que guardan idéntica línea de discusión.

5.- Los derechos de autor en Internet están en plena crisis. Los casos "Cuevana y Taringa" que explotaron en la comunidad de la propiedad intelectual local dan cuenta de ello. Pero el fenómeno es global. La cuestionada ley SINDE en España y los proyectos de ley SOPA (Stop Online Piracy Act) y PIPA (Protect IP Act) que se debaten en los Estados Unidos generan ardientes disputas entre los defensores de la libertad de expresión e intercambio de contenidos on line y aquellos que defienden los derechos de autor. Nuestra ley de propiedad intelectual data del año 1933 y requiere ajustes y actualizaciones. El Congreso Nacional también deberá tomar cartas en el asunto.

Estas dos últimas problemáticas están directamente vinculadas a una (no menos importante) que se conoce como "neutralidad en Internet" que como principio propone dar a todos los datos que circulan por la Red un tratamiento igual, independientemente de su contenido u origen, garantizando a los consumidores-usuarios el ejercicio de su derecho de libre acceso a la información y a los diversos servicios que ofrece la industria de la web y de las telecomunicaciones.

La neutralidad pretende evitar que se distorsionen las condiciones de acceso a la información; asegura que los usuarios puedan acceder de igual manera a cualquier contenido desde cualquier dispositivo o aplicativo sin privilegiar a un tipo de dato o contenido sobre otro y garantiza que todos los sitios web tienen los mismos derechos y merecen acceder al mismo ancho de banda por parte de los ISP.

Este tema es crítico porque conlleva el debate sobre el "control del tráfico de información en Internet" que se ha consolidado como el vehículo de comunicación por excelencia.

Y como todos sabemos, en la actualidad, la información almacenada en un servidor local o vía cloud computing (concepto que merece especial atención también) es un bien preciado como el mismísimo oro.

Nada de lo que era será igual y el fenómeno social avanza como un correcaminos ante un derecho que nunca lo alcanza.

Nuestra legislación deberá adecuarse con paso sensato, serio y técnico porque están en juego bienes jurídicos de neto corte social como la salud e integridad de niños y adolescentes e intereses de una industria que, en sus distintas variantes, impacta con decisión en la vida de los ciudadanos y consumidores en particular.

Esperemos que estos temas integren la abultada agenda legislativa para un 2012 que promete muchas sorpresas en el maravilloso mundo de la sociedad de la información..

Fuente: http://www.lanacion.com.ar

Pávlov el zombie - Un caso de extorsión (I)

de Pedro Sánchez

Hola lectores,

Arturo y Eli son socios y jóvenes emprendedores dedicados en cuerpo y alma a un proyecto que idearon en la universidad hace cinco años. Se dedican en exclusiva a desarrollar aplicaciones en modo SaaS para empresas en el ámbito de medio ambiente y desde que comenzó el proyecto hoy cuentan con setenta empleados que no es poco en la crisis que vivimos.

El único problema digno de mención surgió hace dos años con un empleado que resaltaba por su brillantez a la hora de programar. Tenia un hueco y futuro en la empresa pero dado su carácter y forma de ser no acepto tener una mujer como responsable de equipo. Con el tiempo las relaciones entre los componentes fueron a peor y Arturo y Eli decidieron tras una gran discusión con este que debería de irse aún perdiendo un estupendo programador. La cosa se hizo de mutuo acuerdo y se despidió.

El tiempo pasa y la vida continua y esta magnífica empresa empieza a dar muy buenos resultados abriendo delegación en Brasil. Arturo y Eli mientras tanto son premiados por la Cámara de Comercio por su buena trayectoria. Deciros que hoy en día esta empresa tiene novios con objeto de ser comprada.

UN ZOMBI EN MI BUZON DE CORREO

El pasado mes de Noviembre Eli recibe un correo con una mala traducción al Español indicando que debe de pagar 90.000€ a una mafia ubicada en Rusia. En caso contrario "Pávlov el Zombie" que es como se hace llamar, le comunica que tras el plazo de siete días procederá a apagar los servidores de la empresa.

Por su puesto Eli, ve en el correo una broma y decide olvidar el asunto hasta que efectivamente al séptimo día y como bien dice ella "se forjo la maldición" y uno de los servidores de Active Directory se apago ordenadamente en plena ebullición de trabajo a las 12:00h.

En estos casos ya sabéis lo que ocurre. El responsable de sistemas empezó a recibir alertas, llamadas de sus compañeros y llamadas desde Brasil. Arturo que es alertado por el móvil no le da importancia y Eli la mínima (estas cosas pasan en todos los días en las empresas, pensó).

Pero la sorpresa fue mayúscula, cuando el administrador inicio sesión en el servidor y apareció el escritorio, se encontró con una fotografía de Eli con su familia de fondo de pantalla. Algo raro está pasando.

Esa misma mañana deciden reunirse y ver lo ocurrido Eli comenta que fue advertida por un tal "Pávlov" llegando a la conclusión de lo que pensó que era una mal broma la cosa empezaba a convertirse en cruda realidad. Paralelamente en la tarde del suceso Eli recibe más correos de 'Pávlov el Zombie' reclamando el dinero.

Para no hacer muy extenso el post os diré que hasta ahora esto es lo que ocurrió en la empresa y que esto ocurre en Septiembre y que por 'motu' propio de la empresa y tras hablar con sus abogados deciden realizar las siguientes acciones hasta primeros de noviembre:

  • Poner una denuncia. La operativa por parte de las fuerzas de seguridad y tras orden judicial se solicita a Google que de información de esa cuenta de correo. Esto además de ser un proceso arduo y duro viene a costar entres uno y tres meses dependiendo del tipo de maldad o fraude cometido.
  • Analizar las cabeceras de los correos recibidos (que por cierto son de Gmail)
  • Revisar el servidor y puestos de trabajo en busca de troyanos
  • Cambiar las contraseñas de todos los dispositivos, servidor y puestos de trabajo

Pero lo peor estaba por venir en Noviembre "Pávlov" alias "El zombie" reaparece y anunciaba que si no recibía el pago en cinco días antes de las 12:00h del Viernes, procedería a borrar información aleatoriamente del servidor.

Lo que antes fue una advertencia ahora se convertía en un reto dado que se supone que el control lo tiene la empresa.

ESTORNUDAR ES SIMBOLO DE INFECCION ZOMBIE

Bueno, pues lo dicho aquí es donde entramos a colaborar y allí estamos desde el Miércoles. El escenario que nos encontramos es el siguiente:

  • Cortafuegos Juniper en alta disponibilidad con balanceador de carga y dos servidores Windows 2008 con Active Directory, IIS publicando varias aplicaciones que se gestionan desde ayuntamientos y otras empresas por medio de una VPN. SQL Server 2008 como base de datos y replicadas en Barcelona en sendos servidores Windows Server 2008.
  • Una sospecha por parte de Eli y Arturo, del antiguo empleado que se marcho de la empresa de forma 'poco ejemplar'
  • y tres días solo para la hora 'H'

MIERCOLES

Con objeto de monitorizar se realizó (a la puta carrera) lo siguiente (no recuerdo muy bien el orden):

  • Se puso el Switch en modo 'port mirroring' en dos 'bocas'. En una de ellas se puso un detector de intrusos paralelamente con Wireshark a saco para capturar tráfico. En la otra se puso Spectrum de NetWitness
  • Se aplico una regla en los Juniper con un 'trigger' en log que vigilase todo el tráfico de entrada y salida de los dos servidores y del servidor de OpenVPN.
  • Se aplico una regla en los cortafuegos de Windows que comprobase todo el tráfico de salida con objeto de comparar con los Juniper
  • Se aplico la última actualización de los servidores (solo había una crítica del navegador)
  • Se desinstalo el antivirus actual y se instalo otro más agresivo y que fuera diferente a los de la red corporativa. Es posible que 'Pávlov' pudiera saltarse la detección del antivirus si había realizado un malware 'a medida' y mas si sospechamos del antiguo empleado.
  • Se hizo pasar la navegación de los servidores por un proxy con autenticación. De esta forma si el atacante utiliza un malware de upsss 'conexión inversa' con algún puerto no estándar quedaría registrado en el proxy y no tendría efecto.
  • Se deshabilito el servicio de terminal server (empleado solo por los administradores) y se instalo Wireshark en los servidores (si , ya se que fue un poco bruto). Esto se debe a que si el malware utiliza algún tipo de cifrado, nos sería mas sencillo de ver en la capa de red y usuario que es lo que envía y recibe. Por ultimo instalamos varias utilidades para monitorizar los procesos (decidimos no utilizar los propios del sistema operativo por si este estuviera comprometido) entre ellos Restarter y LogLady. También instalamos un syslog para que nos mandara los eventos de Windows a un pc de la instalación.
  • Con el monitor de actividad de SQL Server se comprobó el uso y funcionamiento.
  • Un compañero se dedico 'a saco' a revisar posibles vulnerabilidades en los aplicativos web
  • Tras diversas discusiones y aun sabiendo que no resultaría muy efectivo se virtualizo en VMware los servidores y sin seguir las recomendaciones de Microsoft (ver) (cosas del modo paranoico)


Y así pasamos un bonito Miércoles...

JUEVES

Vuelta a revisar todo de arriba abajo y de abajo arriba, reuniones y modo paranoico en 'ON'.

VIERNES 8:10h

Me llama Arturo y Eli casi simultáneamente indicando que han vuelto ha recibir un email avisando de que se va a proceder al borrado de datos a la hora indicada. Se informa y adjunta el email a la denuncia que se realizó a las fuerzas de seguridad. Vuelta a re-e-e-e actualizar el antivirus y revisar las actualizaciones de Windows

10:00h

Vuelta a revisar todo. Se estudia la posibilidad de avisar a los clientes, se diseña un protocolo y correo que nunca se llega a enviar. Volvemos a cambiar las contraseñas. La locura se hace evidente. La dirección de la empresa piensa en apagar los sistemas para que no se produzca el borrado. Es decir hacer un 'haraquiri' o auto-denegación de servicio. Cosa por mi parte inadmisible dado que mueves el problema a otra fecha y no lo resuelves, además de perder datos de investigación muy relevantes. Vuelta hacer Backups por si acaso.

11:00h

Todo el mundo atento. Todo el mundo firmes y en posición de batalla, sensores, Log's y nuestra atención al filtrado de los cortafuegos, proxy's e IDS's

11:28h

Silencio total. Todos mirando el monitor. El 'acojone' y los apretones de tripa 'se huelen'

12:00h

Silencio. Todo funciona con normalidad. No se oye nada de vez en cuando un teléfono. La tecla F5 (actualizar) va 'a toda hostia'

12:05h

Revisión de log's, revisión de controles y vuelta a monitorizar

12:30h

Caras de alegría. El tipo no puede entrar. No tiene control. Todo va normal

13:00h

Alegría tensa. Primera reunión después de DEFCON 1. Pensamos que todo ha sido una 'mala pasada' y que si antes tenia el control ahora es evidente que no lo tiene. Pasamos a DEFCON 2. (Perdón por la jerga militar). Esperamos hasta la hora de comer ya hacemos hasta bromas pero no dejamos de mirar las pantallas

14:30h.

Eli y Arturo nos hacen pedir para todos unas Pizzas y coca colas. Hoy todos comemos en la sala de reuniones. La invitación a una comilona se hace palpable, pero hoy no y como dijo José Mota: mañaaaaaaaana. (NOTA: La comida se produjo pero no tan pronto como nos hubiera gustado)

16:00h.

Todos nos relajamos, el Tsunami no llego a serlo. Mas y mas bromas, somos los mejores

16:22h

LOS ZOMBIES NO DISCRIMINAN, TE COMEN SI VAS LENTO

El administrador de dominio en una copia de datos rutinaria le da error la carpeta de origen. Comprueba alertado que los datos no están. Han desaparecido delante de nuestra cara y estupefacto me quedo al comprobarlo.

También faltan las carpetas de "Archivos de Programa" aunque algunos ficheros no se han borrado debido a que están en uso. Entre los desaparecidos están los ficheros raíz y muchos archivos de la carpeta Windows. Aquí el único que se ha enterado es el visor de eventos de Windows que nos ha enviado el evento a una máquina remota.

FAIL!!!

¿Pero que cojones ha ocurrido?, ¿Como es posible?.

Ninguna alerta, ninguna alarma, el IDS's ni se entera. Los logs's de lo Juniper a cero bytes, ningún proceso ha sido creado, nadie ha tocado nada, las conexiones de red las normales con acceso y peticiones http y https. Ningún tráfico de salida desde los dos servidores y aún así este tipo ha conseguido acceso y borrado datos tal y como predijo.

Las preguntas vuelan y la perplejidad de Eli y Arturo que con la mirada lo dicen todo, hacen ver que la derrota es muy amarga. Aunque los datos se han podido recuperar y realmente ha sido lo de menos, lo que verdaderamente mas me ha dolido en mi orgullo es que he perdido la apuesta (moral) con esta empresa con un 0-2 para 'Pávlov'. La verdad es que me senti derrotado.

Las dudas y mareos

¿Me estaré enfrentando realmente a un hacker contratado por la mafia?, ¿Se me ha pasado por alto algún control?, ¿dispone 'Pávlov el zombie' de algún 0Day? o he subestimado el potencial de un ex-empleado...

Es momento de volcar la memoria de los servidores, analizar lo poco que tenemos,volver a recapacitar y revisar con mas profundidad los controles. Cuando se toca fondo solo hay un camino y es tirar hacia arriba.

************

Bueno el resultado técnico final y con pantallas lo tendréis para la semana que viene... no os lo perdáis por que la cosa va por SQL SERVER y no es un ataque web, ni de SQL-Injection ni por asomo un 0day, ni malware que se le parezca. También es la historia de un empeño por descubrir que ha pasado

¿Que será?...

En este mundo de Zombies veremos quien caza a quien...

web stats