domingo, 21 de marzo de 2010

Señor Registrador Nacional, por que no reconoce su error, y renuncia de una vez por todas? Parte I




Como es típico en este país, -a mi me da hasta pena decir que soy colombiano- cosas inverosímiles pasan a diario y como si nada, lo peor de todo es que la gente ante este tipo de situaciones no sabe que hacer, parece que por idiosincrasia -o idioticracia- nos acostumbramos a que nos roben -tumben- de frente y al final todos nosotros callados, ahí si no hay manifestaciones!, ni clamores multitudinarias, por que unos pocos nos ven la cara de pendejos al resto -y con el trillado: que orgulloso me siento de ser colombiano!, el cual muchos de los mas acérrimos e idiotas chovinistas siguen como su mayor lema, pero a la hora de protestar se les olvida la patria, el orgullo,y hasta el honor. Y la prensa que decir?. El titulo del post lo dice todo, en el mismo, le cuestiono a el señor Registrador Nacional: Carlos Ariel Sánchez, su estadía en la registraduría y su gallardía de enfrentarse como jefe de tan importante Entidad, mas aun, después del fiasco de las pasadas elecciones al congreso de la república del 14 de marzo, sabemos que es tolimense, rosarino, abogado, ex-contralor de Bogota, ex-magistrado, y profesor de varias universidades capitalinas, nunca dudaría de su capacidad como jurista, ni como administrador, pero en cuanto a idoneidad para el cargo, no se, me parece que este tipo de cargos lo deben realizar personas que tengan experiencias en el manejo de las tecnologías de la información, ya que como todos sabemos el alma de la registraduria es la información (información de los colombianos desde que nacemos hasta que morimos), y la cual constituye una de las bases de datos mas grandes del país y por que no decir: la mas importante; teniendo en cuenta la criticidad de estos datos, los cuales están protegidos en muchos países bajo las Leyes de Protección de Datos, ojala que acá cambien se fuera tan riguroso con estos datos, pero al parecer esto es una falacia, o al menos aparenta serlo, ya que después de las pasadas elecciones queda en entretela este aspecto (y al parecer otros mas). Algo que me ha obligado a escribir esto, es la ignorancia de mucha gente que a diario se mueve en el campo de las TI, de la prensa, y mas aun el común popular. Y es que el asunto tiene muchísimas connotaciones, desde donde se le analice, bien sea desde el punto de vista logístico, político, judicial o ... un largo etcétera sigue aquí.

Lo delicado del asunto hace que uno se desvié a otras ramas. Siguiendo entonces con la cuestión inicial, por que el registrador no renuncia, si es claro que al ser el jefe de la entidad y el contratista directo debe asumir toda responsabilidad a el fracaso total con que se han llevado la divulgación de los datos (vaya uno a saber si los datos realmente nunca estuvieron en peligro, ya que como muchos sabemos: el solo hecho de que los datos emitidos no sean encriptados (y no cualquier encriptación debe ser puesta en un tipo de sistema de estos, ehhh!) pone en tela de juicio esta aseveración que han hecho varios señores, entre ellos el mismísimo registrador, el gerente de Une, el gerente de Arolen SA., y los propios abogados de Arolen SA. tras el supuesto ataque de Denegacion de Servicio al que fue expuesto el sistema!, del cual salen unas joyas:

1. el DoS fue ejecutado por muchas maquinas de alguna "entidad o empresa grande"- como lo adivinaron?.
2. Los abogados determinaran el tipo de ataque y la fuente de los mismos, una vez analizados los respectivos logs (abogados?, serán: analistas forenses).
3. Los datos nunca estuvieron en peligro! , la mejor!!!!!, quien garantiza esto: Pepito Perez SA.
4. Yamit Amat: Si hubieran votado 30 millones de personas que hubiera hecho señor registrador? El inepto e incompetente registrador: asi, si renuncio!!!!!!!!!!!!.

De estas perlas se me vienen un montón de preguntas:
No se hace delicado el hecho de decir quien lanzó o como fue un ataque sin tener los datos del análisis forense?, Se uso windows xp como sistema operativo para el envió de los datos recolectados?, Se uso windows xp como sistema operativo para el registro de los datos en los servidores?, estaban correctamente actualizados absolutamente todos los equipos usados para ello ?, son legales las licencias de todos los Pcs Usados durante las elecciones - en caso de ser Soft de pago-?, -sin importar el SO- fueron escaneados en busca de virus y troyanos los equipos involucrados, antes o después de ser montados los aplicativos y el software usados para la emisión, transmisión, y registro de los datos?, habrán escuchado de los ataques con KeyLoggers - Man In The Middle - DNS cache poisoning - DNS Poisoning - Pharming?, saben actuar ante una infección de troyanos que se propagan via LAN o dispositivos USB, o cualquier otro?, se implementarían los mínimos sistemas de validación de datos en formularios que se enviarían con los datos recolectados (como mínimo que no se puedan introducir numeros en los nombres y viceversa) serian suficientes este tipo de controles ante empleados desleales o empleados temporales avalados por partidos políticos?, los señores de Arolen SA. estarán actualizados en cuanto a seguridad informática se refiere?, o es que no leen blogs y noticias sobre botnets que se alquilan por muy poco?, sabrán cuan difícil es hacer (o copiar de algún foro) un virus, y que en pocos días exista una red zombie capaz de interferir o de atacar con mas fuerza que como suspuestamente lo han hecho los no-hackers/granempresa?, no hay suficientes intereses encontrados como para que exista la posibilidad (y no parece muy remota) de que alguien o algunos puedan invertir (con recursos y gente) para intentar boicotear las elecciones?, de que se creen que vive el mundo real?, no han escuchado de cyberguerras esta empresa que supuesta-mente uno de sus servicio estrellas es la seguridad informática?, de casualidad no le vendieron licencias, AV y Firewalls adecuados a todos los PCs de la registraduria, los cuales se usarían durante los comicios electorales -como suelen ser los proveedores favoritos de las entidades gubernamentales, llámese: FAC, MinHacienda, y otras mas, ya que al parecer son uno de los grandes contratistas con el gobiernos sobre dichos aspectos?, será que los señores encargados de la seguridad del sistema: Arolen SA. (Recontra-expertos en seguridad informática) se percataron de todas los anteriores cuestiones? -y de algunas mas que faltan-.

Así podría seguir todo el post (lleno de incógnitas) pero vamos analizar algunas cosas. Muchos sabemos que este es el país de los contratistas, y el que mas vivo sea, pues mas plata gana, así funciona esto; no es la experiencia, buen nombre, idoneidad, eficacia, competencia, y mucho menos la calidad la que importan cuando de contratar en Colombia se trata. Que papel cumplen las veedurias y contralorias?, y hasta se invento dizque la meritocracia para que cualquiera pueda contratar, lo peor de todo es que muchas licitaciones no se hacen publicas (el jefe a cargo firma sin mas al amigazo de turno) o se manejan juntas directivas "especiales" (preparadas para el caso por los verdaderos interesados) para elegir al afortunado contratista -futuro millonario-, el cual debe también dar su tajada -engrasar- a los padrinos que le han votado, o al jefe de turno que aporta su valiosa firma; así funciona esta libre escogencia dirigencial señores.

Registraduria
(Carlos Ariel Sanchez - no hubo licitación publica del contrato con UNE al ser una filial estatal)
Durante las elecciones es el ente estatal encargado de la correcta inscripción de los ciudadanos y de los candidatos a elegir, ademas de desarrollo de todo el sistema logístico que implica -entre ellos: 1. La impresión de los respectivos tarjetones electorales para cada departamento (me pregunto: no existen unos filtros para evitar que tanta gente con muy pocas aspiraciones fueran aceptadas para participar como candidatos?, es que no es obvio que muchos de ellos son montados por gente que busca entorpecer el sistema electoral -al llenar tarjeton con payasos y hacer ilegibles e inentendibles los mismos? y la gente mas ignorante como hace?, si a muchos citadinos "estudiados" les quedo difícil entender tanto enredo con los tarjetones?, por que tanta improvisación y tan poca planeación por parte de la registraduría?, ante uno de los asuntos mas importantes de una nación "democrática": la elección de sus dirigentes al congreso de la república, (los_impositores_de_la_ignorancia?). 2. Capacitación a jurados, auxiliares y demases. 3. No hay que ser un analista de sistemas para darse cuenta que ante un evento de tal magnitud, debe existir una muy estudiada y planeada propuesta informática, (no existen los asesores en sistemas informáticos en la registraduría?, o nunca han escuchado hablar de ello?, por que cambiaron de operador? -supuestos líos judiciales aducen, y por que el elevado precio del nuevo contratista?, por que na pesar de los simulacros fallidos por parte del nuevo operador, no se retractaron a tiempo y volvieron a Computadores y Sistemas - que tan bien lo venían haciendo?), la cual cumpliera a con rigor matemático cada uno de los objetivos propuestos para el correcto desarrollo del sistema como tal, en donde la prioridad numero uno seria la seguridad de los datos y del sistema (en la cual a su vez, se harán exhaustivos análisis de rigor de todos los "posibles riesgos" implicados en todo el proceso, y de esta forma poder crear mecanismos que neutralicen efectivamente cualquier posible falla física o virtual, ataques y/o errores humanos: una falla difícil de detectar, pero muy fácil de implementar, y un ítem de los que mas atención merece en estos casos), que como mínimo garantizaría con hechos irrefutables, que los datos siempre serian veraces a la hora de una confrontación -en caso de que fuese necesario- de los datos recolectados por los auxiliares de la registraduría, con los registrados por el sistema -servidores con el software que administra las bases de datos-, para su posterior eficiente divulgación y consolidación.
3. Con base a esto se debe contar con una notable infraestructura física, sean: servidores, redes, disponibilidad on-line, planes de contingencia ante eventualidades, servidores backups -para evitar perdida de datos-, canales internos para la recolección, canales especiales para la divulgación a la prensa, y canales abiertos para la divulgación al publico en general- siempre teniendo en cuenta los topes y así evitar quedarse corto en todo! -como se ve que ocurrió en este caso.

Entre mas escribo creo que mas cosas saldrán, me ha tocado partir el post completo en varios. Para el próximo post mas de lo mismo: vídeos, grabaciones, documentos públicos, los cuales aportan datos reales a la oscuridad que reina en el fiasco informático de las pasadas elecciones, esto apenas comienza...

0 comentarios:

 
Plantilla hecha por Dante Araujo