|
En este quinto año el DISI continúa con su trayectoria, habiéndose convertido ya en un evento de referencia en España sobre Seguridad de la Información, manteniendo un complicado equilibrio entre la necesaria labor de divulgación hacia el público en general y un elevado nivel técnico. En este artículo se realiza un repaso exhaustivo de lo sucedido en esta quinta edición del DISI. De igual forma se presta atención además a las inquietudes mostradas por el público asistente que, en representación de casi la totalidad de los sectores implicados, son sin duda alguna el reflejo de la actual Sociedad de la Información. Autor del artículo:
Prólogo
Un año más, y ya van cinco, hemos celebrado en la UPM el Día Internacional de la Seguridad de la Información DISI, nuevamente contando con excelentes invitados y con una importante y numerosa participación de asistentes. Cada año es un nuevo desafío: hemos traído al inventor de la clave Pública (Martin Hellman), a la inventora de Spanning Tree (Radia Perlman), al inventor de HMAC (Hugo Krawczyk) y este año al inventor de SSL (Taher Elgamal). Con estos antecedentes, pensar en el invitado de honor del DISI 2011 provoca, por qué no decirlo, algo de vértigo. Pero seguiremos estando a la altura de las circunstancias, dada la importancia que va tomando este "Spanish Computer Security Day". Muchas gracias por el trabajo Domingo, ello nos permite todos los años tomar el pulso de lo que fue el DISI con tu crónica clara, precisa y oportuna. Inauguración del DISI 2010 Tras la acreditación y registro de los asistentes al congreso, a las 9:00 horas dio comienzo la inauguración oficial de la quinta edición del DISI, con la presencia del Vicerrector de Tecnologías de la Información de la UPM D. José Manuel Perales, el Subdirector de Investigación y Doctorado D. César Benavente, el Director de la Cátedra UPM Applus+ D. Jorge Ramió, y el Dr. Taher Elgamal. D. César Benavente fue el encargado de dar inicio al acto de inauguración, introduciendo la quinta edición del DISI. A continuación D. Jorge Ramió adelantó los contenidos del programa previsto, y por último D. José Manuel Perales intervino para llevar a cabo los agradecimientos oportunos por la organización de esta nueva edición.
Conferencia inaugural: "eCommmerce and Internet security: the last 15 years and the next 15 years" Actuando como moderador D. Jorge Ramió, se da paso a la conferencia inaugural del Dr. Taher Elgamal, criptólogo inventor de la firma digital que lleva su nombre y que deriva en el estándar Digital Signature Standard del NIST, y uno de los desarrolladores del protocolo Secure Socket Layer SSL y de la norma SET (Secure Electronic Transaction). El Dr. Elgamal, que impartió su conferencia en inglés, realizó un recorrido por el pasado y futuro del comercio electrónico. Comenzó la ponencia definiéndose como tecnólogo ante todo, y matizó que esta charla tenía sentido sin duda porque Internet existe. Contó la situación existente en el inicio de Internet, que modificó radicalmente la forma de comerciar. Tradicionalmente las relaciones comerciales han basado su confianza en el contacto directo entre comprador y vendedor, necesidad que Internet no ha logrado hacer desaparecer. No obstante, debido a que constituye el medio de menor coste para las comunicaciones en general, y las transacciones económicas en particular, el comercio electrónico supone actualmente un valor de $350B USD. Afirma Elgamal que hay señales evidentes de que Internet ha cambiado el mundo. A pesar de los fallos de seguridad existentes, Elgamal reconoce que técnicamente no hay motivo alguno para que Internet sea menos segura que los métodos tradicionales de comercio. Tan sólo es necesario establecer con claridad cuáles son los objetivos e implantar las tecnologías adecuadas. El tamaño alcanzado por el comercio electrónico es significativo, y supone del orden del 15% del comercio real. Según los datos disponibles, el fraude en el comercio electrónico supone ya un porcentaje del 1,5% de las transaciones económicas, valor lo suficientemente importante para plantearse solucionar los problemas de seguridad antes de aumentar el peso del comercio electrónico. No obstante, se supervisan de forma manual 22 de cada 100 transacciones económicas. Respecto al modelo de seguridad, el Dr. Elgamal advierte que se trata de un sistema primitivo, basado casi en su totalidad en recordar contraseñas. Para reforzar la seguridad, se utilizan barreras perimetrales (antivirus, firewall y IDS) para limitar el intercambio de información entre las redes, que resultan poco eficaces, y se implementan complejas y costosas tecnologías de seguridad que no tienen en cuenta al usuario final. Además, las aplicaciones Web introducen una gran variedad de tecnologías difíciles de proteger. Elgamal reconoce que muy buenas tecnologías de seguridad han tenido poco éxito por diversos motivos, y que el mayor problema actualmente se debe a la implantación de sucesivas capas de seguridad sobre el sistema, que crea una falsa sensación de protección cuando no se han solucionado los problemas básicos del sistema. El diseño de seguridad, según el Dr. Elgamal, debe estar precedido de un profundo planteamiento de las necesidades reales. También menciona la importancia que tiene para la seguridad evitar las filtraciones de información en las redes, y las consecuencias de ello, poniendo como ejemplo el actual caso de WikiLeaks. Un cambio completo del sistema actual es extremadamente costoso, y por lo tanto inviable. Propone Elgamal realizar cambios continuos e incrementales, de menor coste y fáciles de implementar. Por otra parte, todo este sistema de seguridad debe ser transparente, pues el usuario final tiene como objetivo el comercio, y no quiere saber nada de las tecnologías de seguridad que subyacen en las operaciones. Esta situación no debería cambiar, pues ha sido sin duda la razón del éxito del comercio electrónico. Otro problema inherente al sistema actual es la gran cantidad de contraseñas que debe recordar un usuario final, que según los últimos estudios es de 23 contraseñas como valor medio. La mayor parte de ellas son para el registro en servicios de escasa importancia. Ante la dificultad de recordar todas ellas, el usuario final tiende a usar contraseñas poco robustas y fáciles de decucir a partir de los datos personales, que son fácilmente obtenidos a través de las redes sociales. Muestra a continuación el Dr. Elgamal una visión sobre los próximos 15 años en el comercio electrónico, y los desafíos a los que nos enfrentamos. Advierte del brutal incremento de usuarios conectados a la Red que se va a producir con la entrada de nuevos dispositivos. Las predicciones de IDC para el año 2020 avalan el elevado número de usuarios conectados a la Red a través de ordenadores personales y dispositivos móviles. La potencia creciente de los teléfonos móviles y su capacidad de conexión a las redes los convertirá en pequeños ordenadores portátiles, que pasarán a formar parte de la Red de modo habitual. Lo más preocupante de esta nueva situación es el desplazamiento de los documentos personales y laborales del ordenador tradicional al teléfono móvil, que carece de tecnologías de seguridad lo suficientemente robustas y probadas. El actual sistema de antivirus para móviles funciona gracias a la enorme diversidad de tecnologías utilizadas en los móviles, pero no es una solución a largo plazo. Además de los dispositivos móviles, la progresiva integración en los hogares domésticos de dispositivos electrónicos con capacidad de conexión a la Red supondrá un aumento muy importante de elementos conectados y por tanto expuestos a unos problemas de seguridad no previstos. También constituyen un elemento crítico en este marco descrito las redes eléctricas.
Por otra parte, el avance del llamado Cloud Computing (conocido también como la "Nube") exige el desarrollo de nuevos modelos de seguridad muy diferentes a las tecnologías actuales. Elgamal propone como solución que los modelos sean específicos a cada tipo de aplicación ofrecida en la Nube, cuya implementación es menos compleja que intentar diseñar un modelo de seguridad conjunto. Las redes sociales también constituyen otro desafío importante, no solamente por las cantidad enorme de usuarios que implica y la importancia de la información contenida, sino debido también a que la velocidad vertiginosa de crecimiento de nuevas redes, servicios y tecnologías Web impiden crear modelos de seguridad adecuados. El futuro del cifrado es otro gran reto. Las tecnologías actuales no son utilizadas adecuadamente, y además el usuario final no acaba de entender de forma rigurosa los procedimientos de autenticación. Tampoco contribuye el hecho de los paises tengan sus propias definiciones y legislación específica acerca del cifrado digital. Para el Dr. Elgamal la protección de las infraestructuras es otro importante desafío. El elevado número de elementos conectados a las redes y su diversidad dificultan cada vez más la implementación de una protección global del sistema, siendo necesario acudir a nuevas tecnologías de seguridad distribuidas. Los actuales routers son incapaces de discriminar el tráfico malicioso del resto, y la protección perimetral de los cortafuegos es cada vez más ineficaz. Por todo esto, Elgamal propone asegurar las aplicaciones (protección, autenticación, cifrado, etc), puesto que están más cercanas a los datos a proteger y además permiten particularizar la tecnología de seguridad a cada caso concreto. Este nuevo enfoque sería sin duda más eficiente que intentar asegurar los actuales protocolos de red. Elgamal propone meditar seriamente sobre algunos ataques de gran peligrosidad. Se pueden realizar ataques que pueden provocar retrasos en los envíos de las transacciones económicas, con consecuencias incalculables. También determinados ataques de denegación de servicio que afectan a la disponibilidad de la información en servicios médicos críticos pueden causar daños indirectos de gran calado. Y por supuesto, los ataques al correcto funcionamiento de la red eléctrica conlleva un problema grave en las infraestructuras críticas que debe ser evitado a toda costa. En un repaso por las tecnologías actuales, el Dr. Elgamal advierte de la importancia de la confidencialidad de la información y del riesgo que suponen las suplantaciones de identidad, que facilitan los ataques internos a un sistema. Otro factor de ataque está constituido por los navegadores web, cuyos fallos de seguridad permiten accesos no autorizados. También menciona que el concepto de superusuario es muy peligroso dentro del esquema de seguridad, y es un factor de riesgo que debería ser solucionado. Recomienda Elgamal utilizar un modelo de cooperación basado en la cultura hacker, compartiendo de forma rápida y completa toda la información sobre la seguridad informática. Ya en la fase final de la ponencia, el Dr. Elgamal habla sobre las predicciones futuras, y destaca que Internet va a seguir cambiando el mundo en los próximos 15 años, modificando todavía más las relaciones sociales y comerciales a nivel mundial. Advierte que los problemas de seguridad de las tecnologías actuales no están resueltos, y que además la aparición de nuevas tecnologías agravará aún más el problema. No obstante, según Elgamal, la industria de la seguridad es un sector muy joven que está aprendiendo a marchas forzadas. Por último, Taher Elgamal termina la charla con una cita (1977) de Ken Olson, presidente de Digital Equipment Corp. (DEC): "There is no reason anyone would want a computer in their home". Terminada la ponencia, se dio paso al turno de preguntas. Se pide a Elgamal su opinión sobre si es más importante la disponibilidad que la privacidad, recordando en que Europa esta última es de vital importancia. Para el Dr. Elgamal esto es función de cada caso particular, pero en el comercio electrónico es prioritario proteger la integridad de las transacciones (evitando cualquier posible modificación) frente a la privacidad de la operación. Otro de los asistentes preguntó a Elgamal sobre el protocolo SET como solución a los problemas de seguridad, a lo que respondió que se trata de un sistema demasiado complejo y avanzado para las transacciones comunes (del orden de 50 dólares). Además, sería necesario modificar todos los sistemas bancarios, con un coste prohibitivo. Preguntado también sobre los certificado digitales, Elgamal reconoce que son una solución muy eficaz y de bajo coste, aunque a veces se utilizan excesivamente en aplicaciones que no requieren tanta seguridad. También comentó el Dr. Elgamal la importancia que tiene la usabilidad de las tecnologìas de seguridad para el usuario final, en muchas ocasiones por encima de la seguridad en sí misma. Como última pregunta, apareció en escena la criptografía cuántica. Elgamal pidió diferenciar entre la informática cuántica y la criptografía cuántica. La primera, en su opinión, no afectará demasiado al cifrado actual. La segunda, aunque abre un mundo de posibilidades, la necesidad de un cambio de modelo y de nuevos sistemas físicos relegará la implantación de esta tecnología a casos muy particulares. Se prevé un horizonte de 15 años para la implantación de estos sistemas, si los países financian adecuadamente los proyectos. Posteriormente, Taher Elgamal atendió a los medios de comunicación en una rueda de prensa organizada en otra sala de la EUITT.
Coloquio: "Esquema Nacional de Seguridad ENS y centros de respuesta a incidentes de seguridad" A continuación se inició el primer coloquio, contando con la presencia de D. Eduardo Carozo, Dña. Chelo Malagón, D. Javier Candau y D. Marcos Gómez. Los tres ponentes españoles representan a los tres CERTs (Computer Emergency Response Team, Equipo de respuesta ante emergencias informáticas) operativos en España, mientras que Carozo representa al organismo homólogo de Uruguay. En este coloquio actuó como moderadora Dña. Gemma Déler, Directora Adjunta de la unidad TI de Applus+. Durante el coloquio se mostró una visión por parte de los CERTs sobre el funcionamiento e implantación del Esquema Nacional de Seguridad. La primera intervención correspondió a D. Eduardo Carozo, en representación del CSIRT ANTEL, y responsable de seguridad de la compañía telefónica de Uruguay. Carozo hizo una breve descripción del CSIRT, comentando que constituye una especie de academia de seguridad que ha derivado en la implantación de varias oficinas en diferentes países de Latinoamérica. Surge con el objetivo de compartir información para una rápida y eficaz resolución de los incidentes. Además, a través del proyecto AMPARO se ha creado un manual de gestión de incidentes que está disponible en la propia web. También se ha creado en Facebook un centro de alertas diario, donde se intercambia información al respecto. Dña. Chelo Malagón, en representación de RedIRIS (IRIS CERT), realizó la siguiente intervención. RedIRIS, en funcionamiento desde el año 1995, engloba a las universidades, los centros de investigación y las instalaciones científico-tecnológicas singulares, tales como el Observatorio de Canarias y el Centro de Supercomputación de Cataluña, y proporciona infraestructura física de red, atención a incidentes y servicios proactivos. El ENS incluye a las universidades y los centros científicos, solamente en cuanto a servicios de administración, de acuerdo con el artículo 42 de la Ley 11/2007. En este aspecto, RedIRIS puede ayudar al ENS realizando servicios de protección de la red. Los aspectos positivos del ENS, en opinión de Malagón, son la consideración de la seguridad como un concepto integral, la realización de las inversiones en función del valor a proteger, el fomento de la formación e información, y la promoción de la capacidad de respuesta a nivel local que reduce el tiempo necesario. Además, aunque no exige de forma directa la creación de CERTs, contempla y apoya a dichos centros.
Por el contrario, como aspectos negativos destacó la complejidad de la implantación y la necesidad de enormes recursos, unido al reducido plazo de tres años impuesto para la puesta en marcha del ENS. A continuación D. Javier Candau, en representación del Centro Criptológico Nacional (CCN CERT), expuso las funciones de este organismo. El CCN inició su andadura en el año 1985, aunque no tuvo carácter oficial hasta 2002 como parte del Centro Nacional de Inteligencia (CNI), y sus funciones son de tipo reactivo. En el año 2006 se crea el CCN-CERT, al que se le definen funciones publicadas con el ENS como la publicación de vulnerabilidades y las respuestas a incidentes de seguridad. Candau advierte sobre la existencia de numerosos ciberataques a las infraestructuras, que por orden de importancia corresponden a ciberespionaje/ciberguerra, cibercrimen y ciberterrorismo. Para garantizar la protección, todos los países están desarrollando esquemas nacionales de seguridad. Los ciberataques son eficaces y eficientes, pues con reducidas inversiones se pueden obtener resultados importantes, y además los atacantes son difícilmente localizados e identificados. D. Javier Candau considera necesaria la intervención de todos los actores implicados en la protección de las infraestructuras, incluyendo los propios ciudadanos. En opinión de Candau, el ENS intenta como principio básico extender a todos los sistemas una protección similar a la LOPD. Sin embargo, nace sin una dotación suficiente de recursos, trasladando la carga a las distintas Administraciones que deberán además ofrecer servicios online con carácter obligatorio. Otros elementos que introduce el ENS son la obligatoriedad de realizar auditorías de seguridad periódicamente, así como la creación de un informe sobre el estado del nivel de seguridad en las Administraciones de acuerdo con el artículo 35 del ENS. Por último intervino D. Marcos Gómez, en representación de INTECO (INTECO-CERT). Este organismo fue creado en virtud del Plan Avanza, y le proporciona las competencias necesarias para crear un CERT. Gómez comentó que cada uno de los tres CERTs existentes en España tiene su ámbito de actuación. INTECO, en su campo, tiene desplegados sensores por toda la Red, y recibe información sobre 12.000 incidentes anuales aproximadamente, donde la mitad corresponden a cibercrimen. En opinión de D. Marcos Gómez, los CERTs pueden aportar su experiencia para la implantación del ENS. Asimismo considera que se abre una nueva línea de negocio aunque en un marco económico desfavorable. También comenta que el ENS no obliga a disponer de un CERT, pero que sin embargo éstos pueden tener una valiosa aportación dentro del proceso de implantación. Tras las breves intervenciones de cada uno de los ponentes invitados, se dio paso al turno de preguntas. El primer tema de debate trató sobre la inminente aprobación de la legislación que convierte en delito la publicación de vulnerabilidades, que entra en conflicto con el reciente mercado profesional de búsqueda y comercialización de vulnerabilidades, a la vez que genera dudas sobre los procedimientos de los CERT. Se comentó que el objetivo de la nueva legislación es combatir la comercialización, aunque da lugar a diferentes interpretaciones. En este sentido, los CERTs deben comunicar a los afectados la existencia de una vulnerabilidad para que adopten las medidas oportunas. Se recordó además que el responsable último es el desarrollador del software. También están obligados los CERTs a informar sobre sus fuentes informadoras si son requeridos por parte de un juez. En cualquier caso consideran que la legislación debe aplicarse con sentido común y establecer una diferencia básica entre la comunicación de forma ética de una vulnerabilidad y la creación de un exploit con fines delictivos. En relación a bases de datos de vulnerabilidades, se comentó que la mayor fuente es la del NIST, con aproximadamente 44.000 vulnerabilidades documentadas. En otra intervención del público se consultó acerca de la aportación del ENS sobre las normas ISO 27001 y 27002, que supone trasladar las recomendaciones de la ISO 27001 sobre comercio electrónico a los servicios de la Administración Pública. También se comentó que una parte de las guías de la serie 800 están disponibles para descarga en la web del CCN. Por último se preguntó al representante de INTECO sobre las medidas que está adoptando el organismo frente al elevado número de botnets existentes en España. En este ámbito, INTECO está desplegando sondas para detectar redes botnets y analiza el origen de estas redes para ofrecer dicha información a las empresas de antivirus. Además, Gómez recomienda una herramienta denominada CONAN, desarrollada en INTECO y disponible de forma gratuita en la propia web. Este software analiza los ordenadores e informa del nivel de seguridad de la configuración, realizando además recomendaciones para asegurar el equipo.
Coloquio: "Atacando las infraestructuras críticas" El segundo coloquio, moderado por D. Justo Carracedo, Catedrático de la EUITT y miembro de la Cátedra UPM Applus+, tuvo como ponentes invitados a D. Rubén Santamarta, D. José Parada y D. Juan Luis Rambla. Finalmente no se pudo contar con la presencia de D. David Barroso de S21sec, quien excusó su asistencia por razones de fuerza mayor, prevista inicialmente en el programa oficial. Introdujo el coloquio Carracedo, quien recordó que tradicionalmente se han protegido por parte del Estado infraestructuras como los ferrocarriles, el telégrafo, el teléfono y el correo. Con la llegada de la Sociedad de la Información esta protección se torna más compleja. Para Juan Luis Rambla, hay dos problemas fundamentales a los que enfrentarse: determinar si la infraestructura es crítica o no, y replantear el modelo de seguridad basado tradicionalmente en la seguridad perimetral. Los sistemas críticos se están atacando en numerosas ocasiones desde dentro, por lo que la solución convencional de cortafuegos y antivirus no es suficiente para garantizar un nivel de seguridad aceptable. Contó además una anécdota ocurrida en una auditoría realizada, en la que encontró un Quake instalado en un servidor controlador de dominio, como muestra de la falta de concienciación en seguridad. También advirtió Rambla que ataques tan conocidos como el ARP Poisoning siguen siendo posibles en una gran parte de las infraestructuras, hecho de especial gravedad en redes con información sensible como hospitales, donde se han detectado puertos de conexión a red totalmente accesibles. En empresas de gran tamaño, más impersonales, la realización de este tipo de ataques internos es más sencilla. Como referencia, Rambla menciona la diferenciación de redes que ha planteado el Ministerio de Defensa, estableciendo una red de propósito general y una red de mando y control. Es vital definir qué parte de la red es crítica y cuál no, estableciendo claramente los accesos autorizados a cada una de ellas. En caso contrario, los incidentes de seguridad pueden costar vidas humanas, dar lugar a fugas de información sensible o provocar denegación de servicios básicos. A continuación, Rubén Santamarta quiso incidir también en que los ataques pueden costar vidas humanas. Considera que es necesario marcar las diferencias entre la seguridad tradicional, que puede causar daños limitados, y la seguridad industrial, donde se puede afectar al funcionamiento de dispositivos en sistemas críticos como una central nuclear o una subestación eléctrica. En opinión de Santamarta, las infraestructuras críticas se pueden atacar por motivos geopolíticos o por terrorismo. En los primeros, se ataca un país para proteger a otro, y en los segundos se intenta dañar al país atacado. Los ataques son factibles, pues la falta de seguridad actual facilita el éxito. Se han encontrado manuales sobre sistemas SCADA en poder de la organización terrorista Al Qaeda, lo que confirma que este vector de ataque se está considerando seriamente. Las redes industriales, y en concreto el software y hardware tipo SCADA, tienen en común con las redes tradicionales los vectores de ataques, que son básicamente el software, el hardware y el propio usuario. Aunque en una red industrial el concepto de perímetro está más definido que en una red tradicional, prácticamente este perímetro se ha diluido en casi su totalidad. Por lo tanto, concluye Santamarta, se puede decir que los sistemas industriales han heredado los vectores de ataque de la informática tradicional, que se suman a los propios. La última intervención corrió a cargo de D. José Parada, que dedicó su tiempo al recién descubierto gusano Stuxnet, capaz de controlar sistemas SCADA industriales y reprogramando PLCs de centrales nucleares y diversas factorías. Stuxnet fue descubierto este verano, y se sospecha que puede llevar activo más de un año. Su diseño es complejo, estimándose un tiempo de desarrollo superior a 6 meses por parte de 6-8 personas cualificadas, y con un tamaño de aproximadamente 500 kB. Los equipos pertenecientes al sistema SCADA no se encuentran conectados a la red, por lo que Stuxnet implementa varios vectores de ataque. Además de implementar la infección a través de un dispositivo de almamenamiento USB, dispone de otros métodos de infección como redes P2P, carpetas compartidas, vulnerabilidades de la red, etc. Contiene código para diversos sistemas Windows y código para el control de los autómatas programables (PLC), y se ha descubierto que hacía uso de cuatro vulnerabilidades 0-day desconocidas y dos firmas digitales de VeriSign comprometidas. También dispone de rutinas de actuación contra ocho fabricantes de antivirus e implementa dos técnicas de rootkit para ocultación en el sistema Windows y en el propio PLC. Este gusano es capaz de saltar entre sistemas Windows y PLCs y su complejidad ha tenido en jaque a buena parte de los expertos en seguridad. De acuerdo con los datos analizados, teniendo en cuenta además que el país más infectado es Irán, se considera seriamente la posibilidad de que el objetivo de Stuxnet sea atacar el programa nuclear iraní. Una vez acabadas las intervenciones de los ponentes invitados, se dio paso a las preguntas por parte del público existente. Se comentó que el ENS debe determinar qué organismos disponen de infraestructuras críticas, y que posiblemente se extienda a las empresas privadas si hay riesgo de vidas humanas. Se recordó además que el Estado ha publicado el Catálogo Nacional de Infraestructuras Críticas, cuyo contenido es secreto. A raíz de este primer debate, interviene desde el público D. Ventura de Miguel de la Presidencia de Gobierno, quien quiso precisar el concepto de Infraestructura Crítica. Por definición, son aquellas infraestructuras necesarias para garantizar el funcionamiento del Estado y el modo de vida de los ciudadanos. También comentó detalles sobre el contenido del Catálogo Nacional, que contempla aproximadamente unas 500 infraestructuras críticas. Otra pregunta trató sobre la necesidad de exigir conocimientos mínimos en seguridad informática por parte de los empleados de las empresas. Se coincidió en que resulta fundamental tener hábitos recomendables en el uso de los sistemas informáticos, pero que la valoración de estos factores en la selección de personal no es sencillo de implementar. También se planteó la necesidad de limitar los accesos de determinados usuarios, sobre todo aquellos externos cuya presencia en la red va a ser puntual. Si bien el ENS contempla la concienciación del personal, solamente es exigible en Administraciones Públicas. Por último, se concluyó que la adaptación a la actual Sociedad de la Información será necesaria para no quedar excluido. Otro asistente quiso contar una anécdota sobre una puerta trasera localizada en una base de datos de armamento nacional, cuyos atacantes habían reprogramado el software original ganándose la confianza del responsable mediante regalos. Otro tema de debate fue el de la dificultad de realizar auditorías sobre sistemas SCADA. La existencia de protocolos específicos cerrados y hardware con especificaciones cerradas limita las posibilidades a la hora de realizar una auditoría de seguridad. Aunque existen pilas de protocolos estándar para auditorías y simulaciones, la respuesta arbitraria de los PLCs y dispositivos similares frente a un escaneo de puertos o cualquier otra operación puede provocar bloqueos o daños en el sistema. Por lo tanto en muchas ocasiones es necesario realizar análisis de ingeniería inversa al protocolo, siendo imposible en cualquier caso una prueba completa del sistema.
Los sistemas SCADA arrastran dos particularidades que son una fuente de problemas al realizar auditorías de seguridad. Por una parte los SCADA suelen venir certificados sobre una determinada versión del sistema operativo, no siendo posible por tanto actualizar y corregir los fallos de seguridad. Y por otra parte, solamente un reducido número de fabricantes cumple con los estándares en los dispositivos industriales. También se planteó regular la exigencia de seguridad en las pequeñas empresas, que son un sector a tener en cuenta. Como inconvenientes de este planteamiento, se encuentra la dificultad de controlar el cumplimiento y el coste añadido que supone la implantación de la seguridad en un periodo de dificultades económicas. Volviendo de nuevo a los sistemas SCADA, tema que suscitó un gran debate, se incidió en la realización de las auditorías. Se deben analizar dos aspectos, un ataque exterior con el objetivo de acceder a la infraestructura crítica, y a continuación un ataque interno a los elementos que forman el sistema industrial. El análisis interno debe realizarse de forma manual sobre cada elemento, evitando el uso de herramientas automatizadas que puedan causar bloqueos o daños sobre los elementos. Se suelen aprovechar las paradas programadas del sistema industrial para realizar dichos análisis. No obstante, ante el riesgo de causar daños involuntarios se están centrando los esfuerzos en el ataque externo. Por lo tanto resulta de una gran dificultad realizar una auditoría completa y exhaustiva de un sistema industrial. Finalmente se recomienda implementar seguridad física en aquellos sistemas en los que resulte imposible garantizar una seguridad informática razonable. Clausura del DISI 2010 Para terminar esta edición del DISI, D. Jorge Ramió, Dña. Gemma Déler, D. César Sanz, Director de la EUITT, y el Dr. Taher Elgamal, llevaron a cabo la ceremonia de clausura. Se le cedió el turno al Dr. Elgamal para que pronunciase las palabras finales en este DISI 2010, dando por finalizado el congreso, con una gran afluencia de público como en ediciones anteriores y un gran nivel de los participantes. Por último quiero agradecer, como en años anteriores, todo el apoyo y la colaboración que he recibido por parte de la Organización del DISI durante la celebración del congreso y la posterior preparación de este artículo. Y en particular agradecer a Dña. Emilia Belleboni (DIATEL-UPM) las fotografías cedidas incluidas en este artículo, y al Dr. Jorge Ramió su valiosa e inestimable ayuda en la confección y revisión del artículo como viene siendo habitual, contando además con su contribución personal en el prólogo.
Referencias de los ponentes invitados al DISI 2010. Dr. Taher Elgamal, invitado de honor (Estados Unidos) Criptólogo inventor de la firma digital que lleva su nombre y que deriva en el estándar Digital Signature Standard del NIST, además de uno de los desarrolladores del protocolo Secure Socket Layer SSL y de la norma SET, Secure Electronic Transaction. Ingeniero por la Universidad de El Cairo y Doctor por la Universidad de Harvard, Taher Elgamal tiene una amplia experiencia empresarial, destacando su trabajo en Netscape Communications y RSA Security Inc. Actualmente es Director de Tecnología de Axway Inc. D. Eduarzo Carozo Blumsztein (Uruguay) Representante del CSIRT ANTEL de Uruguay y Director del Proyecto AMPARO. Dña. Chelo Malagón (España) RedIRIS. Representante de IRIS CERT. D. Javier Candau (España) Centro Criptológico Nacional (CCN). Representante de CCN-CERT. D. Marcos Gómez Hidalgo (España) INTECO. Representante de CERT INTECO. D. Rubén Santa Marta (España) Representante de Wintercore. D. José Parada (España) Representante de Microsoft Ibérica. D. Juan Luis Rambla (España) Representante de Informática64. Referencias relacionadas con el artículo
| |||||||||
