|
Tras cuatro años el DISI se confirma como el evento sobre Seguridad de la Información de referencia en España, combinando su labor de divulgación hacia el público en general con un elevado nivel técnico. En este artículo se realiza un repaso exhaustivo de lo acontecido en esta nueva edición del DISI, prestando atención además a las inquietudes del público asistente mostradas durante los coloquios, que bien pueden ser un fiel reflejo de la actual Sociedad de la Información. Autor del artículo:
Prólogo
Un año más, y ya van cuatro, destacados profesionales e investigadores de la seguridad se han dado cita en el Cuarto Día Internacional de la Seguridad de la Información DISI 2009 en el Salón de Actos de la Escuela Universitaria de Ingeniería Técnica de Telecomunicación, EUITT, del Campus Sur de la Universidad Politécnica de Madrid, en España. Siguiendo el lema "Stop Malicius Software" propuesto por el Computer Security Day 2009, esta edición ha tenido una clara orientación en esa línea, planificando dos coloquios dedicados al malware y al mundo hacking con expertos de México, Cuba y España. Además se ha contado con la participación del Dr. Hugo Krawczyk (Estados Unidos) como invitado de honor, en cuya conferencia inaugural se ha tratado la compleja situación a la que se enfrentan las funciones hash. En pocas palabras, 8 destacados expertos que una vez más han aportado un excelente nivel técnico y académico a este evento, el más importante de esta cátedra.
Los vídeos del DISI 2009 están disponibles en el canal YouTube de la UPM. Encontrará el enlace en las referencias al final de este artículo. Para la quinta edición del DISI que se celebrará el martes 30 de noviembre de 2010, se ha elegido un tema de la máxima actualidad: la protección de las infraestructuras críticas y el Esquema Nacional de Seguridad. En estos momentos (junio de 2010) se está terminando de planificar el programa pero podemos anunciar que el invitado de honor será el Dr. Taher Elgamal. El Dr. Elgamal es uno de los más importantes investigadores a nivel mundial en criptografía, inventor del método de cifra y firma digital que lleva su nombre y que posteriormente da lugar al estándar de firma Digital Signature Standard DSS propuesto por el NIST, y uno de los inventores de la plataforma SSL Secure Socket Layer. El segundo invitado internacional es D. Eduardo Carozo, Director Ejecutivo del CSIRT de ANTEL Uruguay y Director del Proyecto AMPARO de LACNIC. DISI 2010 contará, además, con destacadas personalidades y técnicos invitados que contribuirán sin lugar a dudas a que sea nuevamente un éxito y una cita ineludible para este año. Inauguración del DISI 2009 Tras la acreditación y registro de los asistentes al congreso, a las 9:00 horas dio comienzo la inauguración oficial de la cuarta edición del DISI. El acto contó con la presencia del Vicerrector de Tecnologías de la Información de la UPM D. José Manuel Perales, el Director de la EUITT D. César Sanz, el Director de la Cátedra UPM Applus+ D. Jorge Ramió, el Subdirector General Técnico de Applus+ D. Ramón Capellades y el Dr. Hugo Krawczyk de IBM. En la inauguración del DISI 2009 se destacó la importancia de la Sociedad de la Información y el papel divulgador y de formación que desempeña el congreso en este aspecto. También hubo palabras, como no podía ser de otra forma, para felicitarse por la continuidad del evento que tras cuatro años de duro trabajo se consolida como uno de los congresos más importantes a nivel nacional.
Conferencia inaugural: "Randomized Hashing: Secure Digital Signatures without Collision Resistance" Actuando D. Jorge Ramió como moderador, dio paso a la esperada conferencia inaugural a cargo del Dr. Hugo Krawczyk, investigador en temas de criptografía de IBM, quien habló sobre las vulnerabilidades de las funciones hash para firma digital. El Dr. Krawczyk, que habló en español, inició la conferencia con una exposición del problema, mencionando la crisis en la que se ven inmersos los algoritmos MD5 y SHA en los últimos 5 años. Determinados experimentos realizados sobre dichos algoritmos han dado como resultado la existencia de colisiones (como por ejemplo el realizado en Holanda sobre el MD5), lo cual supone la rotura de facto de dichos algoritmos. Las implicaciones en la seguridad de Internet son inmediatas, sobre todo considerando el uso de los hash para firmar digitalmente documentos. La firma de un documento con un determinado hash afectado por una colisión (su hash es idéntico) implica automáticamente que se está firmando otro documento diferente. Recientemente un grupo de investigadores holandeses realizaron ataques contra la función hash MD5, consiguiendo falsificar un certificado de clave pública con el bit CA activado (certificado root), que permite crear nuevos certificados. La peligrosidad de este tipo de ataques es su indetectabilidad, pues se realiza sobre un fichero de forma local y no de forma interactiva contra un sistema. Por otra parte, el ataque de cumpleaños tiene relativa influencia sobre la resistencia a colisiones. Como solución al problema, Krawczyk propone construir firmas no basadas en hash y en las que se pueda demostrar matemáticamente la ausencia de colisiones. Otro requisito imprescindible es la viabilidad de sustituir las firmas actuales a nivel mundial, de forma relativamente sencilla y a bajo coste. Debido a la total implantación de los esquemas de firmas basados en hash, se propone mantener dichas firmas pero añadir un valor aleatorio adicional basado en un nuevo esquema denominado RMX. Este esquema debe funcionar para todos los hash conocidos (principalmente MD5 y SHA) y se añade a la firma original como una capa adicional de seguridad.
El análisis de seguridad del esquema RMX se basa en dos teoremas basados en las nuevas propiedades eTCR y e-SPR, a partir de los cuales y a través de un elaborado desarrollo matemático se deducen las condiciones necesarias para garantizar que una firma es segura. En la práctica, el usuario que va a firmar un documento selecciona un valor aleatorio R para el hash, que es proporcionado al receptor en el momento en que se establece la comprobación de la firma. Como inconvenientes se puede mencionar la imposibilidad de almacenar los valores aleatorios y el crecimiento de R con el tamaño del fichero a firmar. En cualquier caso, la combinación de elementos aleatorios y estructurales confieren una gran seguridad al algoritmo RMX.
El diseño de nuevas funciones hash requiere que cada función de comprensión tenga la propiedad SPR (Second Pre-image Persistant). Por ejemplo, la combinación SHA1+RMX tiene la propiedad SPR y por lo tanto es segura actualmente, sin ningún cambio adicional. Sin embargo, la función MD5 no es e-SPR y se desaconseja encarecidamente su utilización. Los algoritmos considerados seguros actualmente son las diferentes implantaciones de SHA (SHA-1, SHA-2 y SHA-3) complementadas con el esquema RMX. Actualmente el National Institute of Standards and Technology (NIST) está desarrollando la implementación de SHA-3, considerando la propiedad eTCR como principio de diseño, y además ha adoptado oficialmente el esquema RMX. Finalizada la conferencia, se pasó al turno de preguntas, donde los asistentes plantearon diferentes cuestiones. Se habló sobre el idéntico riesgo de colisión existente en MD5 para ficheros de cualquier tamaño. Respecto a las colisiones en esquemas actuales combinados con RMX, sigue existiendo un riesgo, aunque para casos particulares como las firmas digitales este aspecto no tiene mayor importancia. Otra consulta realizada trató sobre el número aleatorio R ya mencionado, que aunque lo pueda predecir el atacante no puede iniciar el ataque al algoritmo con tiempo suficiente. Es importante por tanto dotar al número aleatorio de una elevada entropía. Por último, se planteó la posibilidad de usar RSA como método de firma digital de un documento en sustitución de un hash, pero la imposibilidad de pasar como entrada al algoritmo ficheros mayores de 4096 bits hace inviable este sistema. Es necesario por tanto un algoritmo hash para conferir seguridad. Coloquio: "Tendencias en Malware" A continuación se inició el primer coloquio, contando con la presencia de D. José Bidot, D. Ero Carrera y D. Emilio Castellote, y actuando como moderador D. Justo Carracedo, catedrático de la EUITT. La primera intervención corrió a cargo de D. José Bidot, quien advirtió que el malware se ha extendido y diversificado peligrosamente, manteniendo la tendencia de crecimiento actual. Según los datos disponibles, los ataques de malware causan miles de millones de pérdidas económicas al año. El Top 20 del malware está encabezado por los conocidos KIDO y KONFIKER, pero diariamente las empresas de antivirus publican 3500 nuevas firmas para la detección de malware. La evolución ha sido exponencial; mientras que en el año 1988 se tenía conocimiento de algunas decenas de virus para MSDOS, actualmente son millones los programas maliciosos que llenan las bases de datos. El móvil económico que predomina actualmente en la creación de malware, como herramienta de delicuencia organizada, hace que su crecimiento vaya a ser continuo. Además, el gran número de firmas de malware aumentan el tamaño de las bases de datos de los antivirus, con una incidencia directa sobre la duración del análisis y el rendimiento del equipo, siendo necesaria la transición hacia una tecnología diferente de antivirus. A continuación fue el turno de D. Ero Carrera, que empezó hablando sobre la creciente complejidad del malware, poniendo como ejemplo aquellos ejemplares de MyDoom en el año 2004 frente al código del actual Kraken, incorporando técnicas avanzadas de polimorfismo, ocultación y otros avances. Esta complejidad está dando lugar a unos tiempos de análisis del código excesivamente largos, con el consiguiente retraso en la obtención de los correspondientes algoritmos de detección del malware. Actualmente se han recuperado algunas técnicas típicas de los años ochenta, de gran complejidad de programación, utilizadas en los primeros códigos maliciosos, como el polimorfismo y el cambio del punto de entrada. La mayor efectividad de los actuales antivirus exige el empleo de nuevas técnicas de programación de malware y por lo tanto un mayor tiempo de desarrollo. El carácter lucrativo de la actividad hace posible la inversión necesaria para crear código malicioso más eficiente y con mayor peligrosidad. El malware actual trabaja cada vez más cerca del sistema operativo, empleando técnicas de rootkit. Incluso se ha descubierto código a nivel de hardware o que usa técnicas de virtualización, lo cual hace sospechar en la existencia de grandes equipos de desarrollo, lejos del carácter "amateur" de antaño. D. Emilio Castellote fue el encargado de cerrar el coloquio. Con una cifra de cuarenta millones de ejemplares de malware, éste se ha convertido en un servicio ("malware as service") que se contrata on-line, como por ejemplo el envío de spam. También quiso incidir Castellote en que el modelo de ficheros de firmas utilizado tradicionalmente por los antivirus está obsoleto. Las bases de datos con patrones de detección se limitan a dos millones de firmas, por motivos de rendimiento. Como solución alternativa se está evolucionando hacia servicios de recogida de ficheros sospechos y análisis en laboratorio, cambiando el enfoque actual de funcionamiento de los antivirus.
A continuación el público asistente tuvo la ocasión de plantear preguntas a los ponentes invitados. La primera pregunta trató sobre el hecho de que la casi totalidad de los ataques del malware están dirigidos a plataformas Windows, y si era una opción válida la transición hacia otras plataformas como Linux/Unix a priori más resistentes frente al malware. Otra cuestión que se planteó fue la falta de concienciación en seguridad informática, así como el problema que tienen las pequeñas empresas sin recursos destinados a TI. Para estos casos se propone la contratación de servicios de gestión de seguridad remota. También se habló sobre las técnicas utilizadas por los antivirus, que tienden cada vez más a utilizar análisis heurísticos basados en patrones de ejecución, que proporcionan mayor efectividad en la detección que las firmas. Los virus a nivel de kernel fueron otro tema de debate, donde se mencionó la dificultad que encuentran los antivirus para detectar malware que hace uso de técnicas de rootkit. Por otra parte, se hace patente la necesidad de disponer de conocimientos muy precisos sobre el sistema operativo para una programación de este tipo. La existencia de virus para telefonía móvil era un tema inevitable. Actualmente se han descubierto unos cinco mil virus de este tipo, y de momento la variedad de sistemas operativos y plataformas existentes está ralentizando su expansión. Se habló sobre el daño económico que pueden provocar ciertos tipos de virus que actúan enviando mensajes SMS sin el conocimiento del usuario. Otro tema planteado fue el de los mensajes de spam. Según los datos disponibles, el 98% del tráfico en Internet es generado por este tipo de mensaje, lo que supone un reto importante para el software anti-malware. Se está trabajando actualmente en dos frentes claramente diferenciados. Por una parte se están desarrollando sistemas de detección a nivel de red telefónica, para intentar reducir el tráfico debido al spam. Y por otra parte se están realizando avances en legislación internacional, con el fin de poder regular jurídicamente este tipo de malware. Se preguntó además sobre la colaboración entre empresas de antivirus, confirmándose que existe una buena relación entre ellas, conscientes de que en esta lucha necesitan trabajar en conjunto. De esta forma, resulta habitual que compartan entre ellas los nuevos ejemplares de malware detectado. De nuevo aprovecharon para comentar que el modelo de firmas está obsoleto, sobre todo en los casos de infección por acceso a la Web, donde se genera en dicho instante malware específico. Otro problema adicional del acceso a la Web es la diversidad de plugins instalables en el navegador que son necesarios para el acceso a las páginas Web, de los cuales no se tiene control alguno ni existen firmas del posible código malicioso. Para terminar el coloquio, los ponentes procedieron con el turno de conclusiones. Así, Bidot recordó un problema importante asociado a los antivirus, debido en ocasiones a la posible destrucción del fichero durante la desinfección del mismo. Por su parte, Emilio Castellote quiso apelar a la responsabilidad de los usuarios y aconsejó un comportamiento prudente en el uso habitual del software. Y Ero Carrera concluyó avisando que existe todavía mucho trabajo por hacer. Coloquio: "Mitos y Realidades en Hacking" En el segundo segundo coloquio, moderado esta vez por D. Daniel Calzada, profesor titular de la EUI, se tuvo la oportunidad de contar con D. Luis Guillermo Castañeda, D. Chema Alonso, D. Alejandro Ramos y D. Rubén Santamarta, que participó en sustitución de D. Fermín Serna (España), Security Software Engineer MSRC de Microsoft, debido a su imposibilidad para asistir. Este último coloquio se celebró en un tono más coloquial, propio del tema elegido. Luis Castañeda inició el debate hablando sobre hackers de sombrero blanco o sombrero negro (Black Hat o White Hat), hackers en la escena internacional, la industria de la seguridad que se ha convertido en un gran negocio, algunos proyectos underground que reivindican el hacking auténtico, y sobre el llamado hacking ético. También trató el tema de los exploits Zero Day y aquellas páginas Web que venden este tipo de vulnerabilidades. Y por último tuvo palabras sobre los paquetes existentes de Pentest (penetration test) automatizado y la dificultad que supone el cumplimiento de los estándares para realizar un Pentest correcto. A continuación Alejandro Ramos y Chema Alonso presentaron, bajo el lema "que la realidad no te estropee un buen titular", una recopilación de noticias sobre hacking aparecidas en los medios de comunicación, y que comentaron entre los cuatro ponentes invitados. Entre otras se comentaron noticias sobre seguridad en sistemas SCADA e infraestructuras críticas, los ataques DDoS sufridos por Estonia recientemente, el voto electrónico, ataques de diverso tipo (SQL Injection, defacements y otros) a las páginas Web del Ministerio de la Vivienda, algunas entidades bancarias y partidos políticos, y el LHC (Large Hadron Collider). También se habló sobre la reciente publicación de más de diez mil contraseñas de cuentas de correo de Hotmail, y los recientes ataques de denegación de servicio que un joven de 16 años realizó sobre el sitio elhacker.net. Y por último se escuchó un divertido audio de un supuesto hacker de Málaga.
Enseguida empezó el esperado turno de preguntas, donde el público asistente dio rienda suelta a todas sus curiosidades e inquietudes sobre el apasionante mundo del hacking. El primer tema tratado fue sobre las acusaciones vertidas sobre el supuesto hacking y robo de información de la página Web del Instituto Nacional de Estadística, que no era tal. Un caso similar sucedió tras la descarga un informe bursátil confidencial, teóricamente no publicado pero que estaba fácilmente accesible en la Web. La confusión introducida con la denominación de hacker fue un debate inevitable y necesario. Se comentó que a nivel oficial ya existe el término de Hacking ético, que se puede encontrar en los pliegos de condiciones de la Administración. Tradicionalmente, aparte de los ya mencionados conceptos de Black Hat y White Hat, se define Hacker Gris como aquel que investiga y comercializa a alto nivel con exploits. También se asume que la diferencia entre un Hacker Blanco y un Hacker Negro es cuestión de ética y actitud, y que los exploits descubiertos se deberían comunicar primero a los responsables afectados. Otra pregunta trató sobre la regulación que hace la legislación española sobre este tipo de actividades, recordándose el controvertido tratamiento que hace el Código Penal sobre la posesión de herramientas susceptibles de ser utilizadas para tales fines. También se mencionó que las páginas Web corporativas se han convertido en el principal punto de entrada de los ataques a los empresas, ya que en general carecen de la seguridad necesaria. Este problema se ve agravado por la existencia de las Botnets, con una capacidad extraordinaria para explotar las vulnerabilidades de las páginas Web. Volvió a surgir curiosidad acerca del modo de funcionamiento del mercado de exploits. Ante la dificultad y el carácter comprometido de negociar directamente con el responsable de un sistema un precio a cambio de informar de las vulnerabilidades descubiertas, se han creado empresas específicas que hacen de intermediarias. De esta formas, estas empresas compran a los descubridores de exploits la información de dichas vulnerabilidades, con el fin de proteger a su cartera de clientes afectados por estos fallos de seguridad. Se comentaron también las herramientas existentes homologadas para Pentest y análisis forense, que son escasas. Otro tema inevitable en el debate fue el relativo a la utilización del hacking y la viligancia electrónica por parte de los Cuerpos de Seguridad del Estado y los estamentos militares, quienes sin lugar a dudas se encuentran a la vanguardia en estas técnicas. El desconocimiento que existe sobre la BIOS y demás elementos a bajo nivel también suscitaron ciertas inquietudes ante la posible existencia de puertas traseras. Se comentó que en cualquier caso resulta necesario encontrar un equilibrio razonable entre la privacidad y la impunidad. Aprovechando la presencia de profesionales de la seguridad informática, se les preguntó si en alguna ocasión habían recibido propuestas para realizar actividades que estaban fuera de la legalidad, tales como robo de información personal o espionaje industrial.
Por otra parte, se comentaron los casos de hacking asociados a países como China, Estados Unidos, Rusia, Turquía o Brasil, información que es confusa y poco contrastada. Respecto a la escena internacional, la Unión Europea está intentando en la actualidad regular desde el punto de vista legislativo la denominada Defensa Electrónica. En un tono más desenfadado, se trató el tema de la escasa presencia femenina en el mundo hacker, y cómo se ha usado este estereotipo por parte de la literatura y el cine. En relación a la reciente legislación sobre Administración Electrónica, se suscitaron dudas sobre la seguridad de los datos confidenciales frente a las numerosas vulnerabilidades de la Web, unida a la escasa formación del usuario en seguridad informática. La disparidad existente en las infraestructuras de las Administraciones Públicas complica además la necesaria interoperabilidad entre sistemas. Se le preguntó a los ponentes por sus experiencias laborales y cómo habían llegado a ser profesionales en seguridad informática. Comentaron que aunque en la actualidad existen cursos de formación especializados (congresos, cursos, másters, etc), hace unos años era francamente difícil la obtención de conocimientos sobre hacking, y casi siempre se debían conseguir de forma autodidacta. También se habló sobre la necesidad de que los responsables de los distintos estamentos del Estado tenga la necesaria formación en seguridad informática, con el fin de poder regular estas actividades. En España se ha creado el Consejo Nacional Consultivo, formado por un grupo de empresas privadas relacionadas con la seguridad informática, con el fin de asesorar al Estado en temas de legislación. Por otra parte, el Estado también se apoya de forma habitual en Red.es y en Inteco, como organismos de tipo consultivo. Volviendo de nuevo al mercado de exploits, se comentó que las vulnerabilidades mejor pagadas son las de nivel usuario (pdf, doc, ActiveX, etc), aunque también son especialmente buscadas las relativas a sistemas Windows, exploits remotos y sobre todo las relacionadas con el servidor Web Apache. Y como última intervención del público, se preguntó a los ponentes sobre su colaboración con los Cuerpos de Seguridad del Estado. Finalizado el turno de preguntas, los ponentes cerraron el coloquio con una reflexión final. Alejandro Ramos mencionó que el sector está muy dividido, y apeló a la responsabilidad de todos. A su vez Chema Alonso comentó que el hacking ha pasado de ser el romanticismo de antaño a convertirse en una actividad profesional. Para Luis Castañeda, el futuro de la informática se encuentra en las plataformas Web. Y por último, Rubén Santamarta quiso pedir a los medios de comunicación no caer en sensacionalismos, y comentó que para trabajar en seguridad es fundamental conocer bien los procedimientos de los atacantes.
Clausura del DISI 2009 Para terminar, D. Jorge Ramió, Dña. Gemma Déler, Directora Adjunta de la Unidad TI de Applus+, y D. Justo Carracedo, Catedrático de la EUITT, fueron los encargados de la ceremonia de clausura. Como reflexión final se comentó que estamos pasando de una sociedad física a una sociedad virtual, transición que solamente con la formación adecuada puede ser superada con éxito. Y agradeciendo a la Cátedra el trabajo realizado, se dio por finalizado este cuarto DISI, con una gran afluencia de público como en otras ediciones y un gran nivel de los participantes. Por último quiero agradecer todo el apoyo y la colaboración que he recibido por parte de la Organización del DISI durante la preparación de este artículo. Y en particular agradecer por una parte a Dña. Emilia Belleboni (DIATEL-UPM) las fotografías cedidas incluidas en este artículo, y por otra parte al Dr. Jorge Ramió por su valiosa ayuda en la confección y revisión del mismo como viene siendo habitual, contando además con su contribución personal en el prólogo.
Breve CV de los ponentes invitados al DISI 2009. Dr. Hugo Krawczyk (Estados Unidos) Investigador en el campo de la criptografía en IBM. Además de una amplia lista de publicaciones académicas, el Dr. Krawczyk es conocido por sus contribuciones a la seguridad informática, incluyendo la invención de la función de autenticación HMAC y de varios diseños criptográficos en estándares internacionales como por ejemplo IPsec y TLS. D. José Bidot (Cuba) Licenciado en Ciencias de la Computación. único delegado latinoamericano a la Primera Conferencia Internacional para combatir los Virus informáticos en 1991. Autor del Proyecto UNESCO Laboratorio Latinoamericano para la Protección contra los Virus Informáticos. Organizador de los 9 Seminarios Iberoamericano de Seguridad en las TI en Cuba. D. Luis Guillermo Castañeda (México) Director de Servicios Profesionales de Rusoft México. Trabajó para KasperskyLab como Chief Research Officer para la región de América y más tarde formó su propia compañía de consultoría de seguridad informática. Se ha dedicado principalmente al estudio del código malicioso y la ingeniería inversa. D. Ero Carrera (España) Ejerce actualmente como Chief Research Officer de Collaborative Security en VirusTotal y como investigador en zynamics GmbH. En el pasado también trabajó para la respetada compañía de Anti-Virus F-Secure. D. Emilio Castellote (España) Director de Marketing de Producto de Panda Security. Ha trabajado como responsable de productos de telecomunicación, seguridad y sistemas profesionales, participando en proyectos de I+D en la UPM y colaborando como profesor asociado en la EUITT. D. Chema Alonso (España) Ingeniero Informático, premiado con el galardón de Most Valuable Professional en Enterprise Security por Microsoft y consultor de seguridad en Informática 64. Escribe el blog de Un Informático en el Lado del Mal. D. Alejandro Ramos (España) Manager del Tiger Team en SIA, responsable de realizar auditorías de seguridad, test de intrusión, fortificación y análisis forense. Actualmente es uno de los editores del blog Security By Default. Rubén Santa Marta (España) Investigador en seguridad informática, trabaja actualmente como R&D/Reverse Engineer en Wintercore. Escribe con asiduidad en ReverseMode y 48bits, siendo autor del artículo "Generic Detection and Classification of Polymorphic Malware using Neural Pattern Recognition" entre otros. Recientemente ha sido sido elegido mejor ponente en la LaCON'09. Referencias relacionadas con el artículo
| |||||||||
