Ejercicios:

- Buscar en Internet información sobres los sistemas ECHELON y CARNIVORE,

así como su aplicación en las redes y sistemas TIC`S, de tu país e intenta
responder estas preguntas:

1. ¿Qué significa el termino ECHELON y que otras denominaciones recibe?

2. ¿Qué elementos componen el sistema ECHELON?
3. ¿Qué elementos componen el sistema CARNIVORE?
4. Busca un ejemplo de controversia del sistema ECHELON, y relacionada con
personalidades famosas.
5. ¿Cual es tu opinión sobre la legalidad de dichos sistemas?

- Busca información sobre hakers éticos así como el papel que desempeñan
actualmente en las empresas especializadas en seguridad informática.
- Busca información sobre la metodología OSSTMM y otras metodologías
parecidas.
- Busca información sobre “certificaciones” relacionadas con el Hacking ético.

- Después de analizar todo lo comentado en estas lecciones, ¿crees que has cometido
alguna vez alguna acción que pueda ser considerada como delito?
-¿crees que has sido alguna vez victima de alguno de los delitos comentados a lo
largo de la lección?
- Comenta en voz alta alguna conclusión a la que hayas podido llegar después de
haber trabajado esta lección.
 1) a) ECHELON es considerada la mayor red de espionaje y análisis para interceptar
comunicaciones electrónicas de la historia. Controlada por la comunidad UKUSA (Estados Unidos,
Canadá, Gran Bretaña, Australia, y Nueva Zelanda), ECHELON puede capturar comunicaciones por
radio y satélite, llamadas de teléfono, faxes y e-mails en casi todo el mundo e incluye análisis
automático y clasificación de las interceptaciones. Se estima que ECHELON intercepta más de tres
mil millones de comunicaciones cada día. A pesar de haber sido presuntamente construida con el fin
de controlar las comunicaciones militares y diplomáticas de la Unión Soviética y sus aliados, se
sospecha que en la actualidad ECHELON es utilizado también para encontrar pistas sobre tramas
terroristas, planes del narcotráfico e inteligencia política y diplomática. Sus críticos afirman que el
sistema es utilizado también para el espionaje económico y la invasión de privacidad en gran escala.
La existencia de ECHELON fue hecha pública en 1976 por Winslow Peck.

C) Carnivore es el nombre de un software usado por el FBI que tiene un fin, pero no un
funcionamiento, muy similar a ECHELON.

Este software se instala en los proveedores de acceso a Internet y, tras una petición proveniente de una
instancia judicial, rastrea todo lo que un usuario hace durante su conexión a Internet.

En teoría tiene capacidad para discernir comunicaciones legales de ilegales.

El cómo realiza este análisis, y cuál es su infraestructura y alcance real, es algo que permanece secreto.
Tiene la misma procedencia que ECHELON (EE. UU.) y pertenezca una agencia estatal (FBI), al igual
que ECHELON (NSA).

Características de Carnivore

1. Capacidad “quirúrgica” de distinguir entre sujetos interceptados y no interceptados.

2. Capacidad de distinguir entre datos interceptables de un sujeto y datos no interceptables,
basándose en los poderes concedidos por la orden judicial de intercepción.
3. Carnivore comparte información (al igual que ECHELON) con la industria con el fin de
desarrollar estándares adecuados a los requerimientos del sistema.
4. El FBI ha pedido que se estandaricen una serie de protocolos relacionados con la intercepción en
Internet. Se piden esas estandarizaciones para “obtener legalmente información importante
mientras se amplía o mejora la protección de la intimidad”.
5. Es posible que tenga relación con el sistema espía ECHELON o simplemente que sea una de sus
partes integrantes.

D) En un informe a la comisión de la Unión Europea en 1999, Duchan Catnpbell sostiene que EE.UU. ha
obtenido vía Echelon información sobre empresas europeas, par la cual se le ha dado datos a empresas
competidoras de EE.UU. acerca de ofertas y ofrecimientos ante algunas negociaciones. El contenido de
este informe sacudió a los países de la UE y se han presentado exigencias para que la red de espionaje
Echelon sea procesada en distintos órganos de la UE.

Al mismo tiempo, la UE está construyendo su propia red de control electrónico llamada Enfopol. El socio
en tal proyecto es el FBI de EE.UU. Vale la pena preguntarse cuál será la relación de Enfopol con
Echelon y la NSA.

E) En mi opinión si se utilizaran como armas contra el terrorismo, y el narcotráfico esta

bien y deberían ser legales, el tema a tratar es: ¿Que es para los Estados Unidos el
terrorismo?

Y que no sea solo una excusa para quitarle lo privado a las conversaciones entre
personas.
 2) En el mundo de la seguridad informática, en el underground, representa la posibilidad de mostrar
a una víctima cuales son sus debilidades y vulnerabilidades con una prueba visual.

Los hackers de sombrero negro son aquellos que intentan provocar un daño explotando una
vulnerabilidad existente en un determinado sistema. Los hackers de sombrero blanco son aquellos
que intentan mostrar el daño que causaría la explotación de una determinada vulnerabilidad en un
sistema.

Pongámonos en situación, tenemos un sistema Operating System 3000 corriendo en un servidor y

un potente ERP llamado MiERP en la máquina también. Al cabo de unas semanas nos llega un correo
electrónico de un tal SuperHacker en cuyo interior se encuentra un documento confidencial que ha
obtenido aprovechando una vulnerabilidad del sistema, y además nos explica cuales han sido los
pasos y como solucionarlo. La pregunta es bien sencilla: ¿denunciamos a SuperHacker por robo de
información confidencial e intrusión no autorizada? ¿o bien le contratamos como gestor de seguridad
informática?

Hackers éticos - Cómo operan

El hacker ético experimentado pasa largas horas comprobando las nuevas aplicaciones que aparecen en el
mercado buscando vulnerabilidades y la forma de explotarlas. Por supuesto, los hackers de sombrero
negro también hacen lo mismo, por lo que muchas veces se convierte en una competición a ver quién es
capaz de descubrir antes una vulnerabilidad, un hacker de sombrero blanco o uno de sombrero negro.

Si un hacker ético descubre una vulnerabilidad tiene varios caminos para comunicarlo, que se
corresponden con unos protocolos estándar:

• Protocolo de CERT. El hacker comunica el hallazgo al CERT, que será publicado en un margen
de 45 días, durante los cuales se le dará tiempo al fabricante del software de generar un parche
que solucione el problema. La vulnerabilidad es publicada aunque no se halla generado el
parche.
• Política de divulgación de toda la información confidencial (RainForest Puppy Policy). La
colaboración del hacker con el fabricante del software para elaborar una solución es opcional, el
hacker no está obligado. El autor del hallazgo debe ser paciente con el fabricante del software, y
se espera que éste recompense al hacker por identificar el problema.
• Organización para la Seguridad en Internet (OIS). OIS es un conglomerado de varios
investigadores y empresas importantes con presencia en Internet. Solamente personal próximo a
OIS tienen acceso a información confidencial. Establece toda una serie de pasos:
descubrimiento, notificación, validación e investigación, con sus aspectos concretos.

El problema de estas políticas, es que están surgiendo empresas de investigadores especializados en

encontrar vulnerabilidades en nuevas aplicaciones, un trabajo que posteriormente es reclamado a los
fabricantes que abonan el importe del descubrimiento de la vulnerabilidad, y estableciendo,
lamentablemente, una duda razonable acerca de si se podría considerar un chantaje esta práctica

B) El Manual de la Metodología Abierta de Comprobación de la Seguridad (OSSTMM, Open Source

Security Testing Methodology Manual) es uno de los estándares profesionales más completos y
comúnmente utilizados en Auditorías de Seguridad para revisar la Seguridad de los Sistemas desde
Internet. Incluye un marco de trabajo que describe las fases que habría que realizar para la ejecución de la
auditoría. Se ha logrado gracias a un consenso entre más de 150 expertos internacionales sobre el tema,
que colaboran entre sí mediante Internet. Se encuentra en constante evolución y actualmente se compone
de las siguientes fases:

Sección A -Seguridad de la Información

Sección B - Seguridad de los Procesos

Sección C - Seguridad en las tecnologías de Internet

Sección D - Seguridad en las Comunicaciones

Sección E - Seguridad Inalámbrica

Sección F - Seguridad Física

C) La certificación Certified Ethical Hacker permite al administrador del sistema con información crítica
para identificar, detener o contrarrestar y defender a los hackers penetren en la red corporativa. Con esta
certificación, comenzará a entender cómo piensa un hacker y qué tácticas que utilizan para penetrar en
redes corporativas. Esto permite a los administradores de sistema proactivo para desplegar contramedidas
y permanecer por delante de la seguridad de la información y la evolución de las vulnerabilidades
explotadas.

D) Nunca e llegado a el nivel de infiltrarme en un sistema ajeno ni nada por el estilo,

pero soy culpable de haber realizado descargas de álbumes de música, películas, etc.
Los cuales debido a las condiciones de nuestro país son imposibles de comprar o mirar.
Hablo de álbumes o recitales que no se venden acá en Argentina y por lo tanto la única
opción que queda es descargarlos.

Somos victimas desde el momento que nos roban los datos para enviarnos mail
chatarras, e invitaciones, ofertas, etc. A nuestras casillas de correo.