CSIRT Panama Aviso 2012-04 – Anonymous Panamá

CSIRT Panama Aviso 2012-04 – Anonymous Panama – #opcorrupcion507
Fecha de publicación: Abril 16, 2012
Fecha de modificación: Abril 16, 2012
Última revisión: Revisión A.
Fuente: CSIRT Panamá

Sistemas afectados
Cualquier sistema conectado a redes públicas (Internet) y/o privadas con acceso a redes públicas.

Resumen
El día 16 de abril se publica un anuncio, vía YouTube, aparentemente del grupo Anoymous, donde indican e incitan al público en general a realizar denuncias anónimas en la página web http://anonymouspanama.co.cc/denuncias/, relacionadas con actos de corrupción en el Estado Panameño. Es de esperarse que esto de pie a un flujo de información clasificada y no clasificada, de fuentes no verificables hacia dicha página web. Se espera que se utilice esta información para causar daño político y de imagen al Estado Panameño; usualmente este tipo de fuga de información se da a través de funcionarios descontentos y/o intrusos que han logrado introducirse de manera previa a lo sistemas.

Descripción
Anónimo o Anónimos en castellano es un seudónimo utilizado mundialmente por diferentes grupos e individuos poniéndose o no de acuerdo con otros para realizar en su nombre acciones o publicaciones individuales o concertadas.

Surgidos del imageboard 4chan, en un comienzo como un movimiento por diversión, desde el 2008 Anonymous se manifiesta en acciones de protesta a favor de la libertad de expresión, de la independencia de Internet y en contra de diversas organizaciones, entre ellas, Scientology, servicios públicos, consorcios con presencia global y sociedades de derechos de autor.

Puesto que no existe una jerarquía o al menos ninguna evidente o reconocible, resulta en general difícil confirmar la autenticidad de las noticias o informaciones referentes a Anonymous. Asimismo, debido al anonimato, sucede que un único individuo puede producir noticias falsas e introducirlas como supuestamente auténticas de Anonymous.

Impacto
Revelación de información sensitiva y/o confidencial. La extracción de la información puede realizarse mediante una intrusión previa a los sistemas, o mediante los métodos más convencionales tales como dispositivos de almacenamiento masivo por parte de usuarios con acceso a las redes de las instituciones.
Posibles campañas de difamación debido al esparcimiento de información fabricada cuyo origen no puede ser verificado debido a la naturaleza de la denuncia anónima.

III. Recomendaciones
Implementación de la Ley no. 6 del 2002, mediante la cual se clasifica la información del Estado Panameño y sus respectivos controles técnicos.
Correcta implementación de una solución de DLP (Data Loss Prevention) y sus correspondientes políticas institucionales apegadas a la ley 6 del 2002 (Habeas Data).
Revisión de todos los controles técnicos y administrativos que tengan las instituciones para poder controlar el flujo de información.
Al recibir correos electrónicos de dudosa procedencia o que contenga información no creíble, hacer caso omiso y eliminar el correo inmediatamente.
Verificar y evitar acceder a enlaces web (links) que no corresponda a sitios web o dominios no confiables.
Mantener el sistema operativo actualizado y uso de antivirus con su debida actualización.

IV. Referencias
Ley N° 6 de Habeas Data http://www.asamblea.gob.pa/APPS/LEGISPAN/PDF_NORMAS/2000/2002/2002_302_3918.PDF
Mejores prácticas en prevención de fuga de información (DLP)
http://seguridadredes.com/archives/24

V. Información de contacto

CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: https://www.cert.pa
Twitter: @CSIRTPanama

—–BEGIN PGP PUBLIC KEY BLOCK—–

Version: GnuPG v2.0.17 (MingW32)

 

mQENBE8C9KoBCAClkvrtdD08B1YgIntnK241GmWY7fRWtPn/QIEG1+TLokEuOhw+

Gq/lK/4NP9RzqpD57LcRUBiGgTmO/5C9xkhVmxz2jid0h03fLorC84rAk2pOjr0i

pbltETq9RCGhOWp13OV22x2yiIedBi05bzw3F+uLHhn9xKjmpBuZB6WO/TuD52DH

KRZtwSvoaa61vL0bGnIf3lNGWkALWEC3lGBppby4D05N2FNfgfOFr1yOpxTaRaDh

4kOnoAEWVzppkTPyqSOkwXmgdma8D9yqD41Ffu8ypGTv+OOVO7jDq8tx9wVZEU+w

pqBTzQcf0P0K7qO3igdHQxqHmqXsaJpbmvCBABEBAAG0KkNTSVJUIFBhbmFtYSAo

Q1NJUlQgUGFuYW1hKSA8aW5mb0BjZXJ0LnBhPokBOAQTAQIAIgUCTwL0qgIbDwYL

CQgHAwIGFQgCCQoLBBYCAwECHgECF4AACgkQ2YlXchbysSSPSQgAooUy3qSR/YX2

H3USJ5VzrmnraHg5LIWRPIBD1PGrswjLE8hxdobPU/uzi9LWnEcDscfFVKM/K0Jt

bjeoESqCVFlpE0YXJWdDhy0m2WM410sDE2HVXbPhWGqrNeDb0VUV/LWag1yYTj5w

kkxma4Tk5TqlhgL5su2PpjtTdFSHYD4N+4mu7g1GhRrrpz+u7ZRm3b/WkAJg5FIg

U0MpPqUGAF5/pc02ZB10FdxDwWyXAkwYUN+zfLiKzKOrBGkEw9+jvFGU+z76P9Zk

1XJIexpmkBYTxc+TOclhAp/3HP4taoBHRMoR1q1YhdC++UgRSLmPLGn/AB707JzN

Q80++q2kWQ==

=JUYg

—–END PGP PUBLIC KEY BLOCK—–