proyectos linux DISI
Día Internacional de Seguridad de la Información Domingo González Navarro
linux@software.com.pl
El Día Internacional de Seguridad de la Información (DISI) es uno de los más importantes eventos sobre Seguridad Informática y Sociedad de la Información que se celebran en España. La tercera edición de este congreso se celebrará en breve, con la presencia destacada de Radia Perlman, considerada como la Madre de Internet. Promete ser un congreso apasionante, dedicado a Internet, el cómputo forense y el Cibercrimen.
82
L
a sociedad tradicional está sufriendo una evolución en su forma de funcionar, hacia un nuevo modelo basado en las Tecnologías de la Información (TI), que se han convertido en el nuevo motor de desarrollo económico y social. La creación y distribución de información constituyen el centro neurálgico de la mayor parte de las actividades asociadas a los sectores culturales y económicos, adquiriendo una importancia vital en este nuevo modelo de progreso que trasciende fronteras. En la Cumbre Mundial sobre la Sociedad de la Información (CMSI), celebrada en Ginebra en el año 2003, se establece como declaración de principios que la construcción de una Sociedad de la Información debe estar centrada en la persona, ser integradora y orientada al desarrollo, en que todos puedan crear, consultar, utilizar y compartir la información y el conocimiento, para que las personas, las comunidades y los pueblos puedan emplear plenamente sus posibilidades en la promoción de su desarrollo sostenible y en la mejora de su calidad de vida, sobre la base de los propósitos y principios de la Carta de las Naciones Unidas y respetando plenamente y defendiendo la Declaración Universal de Derechos Humanos.
Linux+ 11/2008
Cátedra UPM Applus+: un poco de historia
Años atrás tuve ocasión de conocer al Dr. Jorge Ramió, cuando estaba germinando un ambicioso proyecto que más tarde se convertiría en la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI. He tenido por lo tanto el privilegio de ser testigo de excepción del nacimiento y evolución de la Cátedra hasta convertirse en muy poco tiempo en un referente nacional sobre Seguridad Informática y TI. La Cátedra UPM Applus+, dirigida por D. Jorge Ramió Aguirre, se presentó oficialmente el 23 de mayo de 2006, y nació con la misión de contribuir al desarrollo de la llamada Sociedad de la Información a través de la difusión de los conocimientos necesarios sobre seguridad y otros aspectos sobre la calidad de la información. Para ello se plantea como tareas preferentes la realización de proyectos de investigación y actividades de formación en los ámbitos académico, empresarial y administrativo, inicialmente en los países del ámbito Iberoamericano.Y por supuesto es fundamental la función social que adquiere, imprescindible para conseguir un desarrollo sostenible de la Sociedad de la Información.
proyectos linux DISI Iniciando su labor formativa y de difusión, la Cátedra UPM Applus+ organizó en junio de 2006 el Primer Seminario de Seguridad en el Sector Financiero. Meses después, en noviembre, se organizó conjuntamente el Primer Congreso de la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información, y el Primer Día Internacional de la Seguridad de la Información. El DISI se organizó como el objetivo de ser la versión española del Computer Security Day, un evento que nació a finales de los años 80 para dar una serie de recomendaciones a los usuarios de ordenadores, y que se celebra el 30 de noviembre internacionalmente. Durante el año 2007, la Cátedra UPM Applus+ organizó la celebración de una edición de las Conferencias FIST sobre sobre seguridad de la información y tests de intrusión, celebrada en el mes de septiembre. Y finalmente para terminar el año, se celebró la segunda edición del Día de la Seguridad de la Información. Este año ha organizado el Primer Seminario CAPSDESI sobre Mayores y Acceso Seguro a la Sociedad de la Información. Y en estos momentos, la Cátedra está ultimando los detalles para la celebración del DISI 2008, que tendrá lugar el próximo 1 de diciembre.
Recordando el DISI 2006. A fondo: amenazas y vulnerabilidades
Bajo este lema se celebró el Primer Día Internacional de Seguridad de la Información, que tuvo lugar en noviembre de 2006 en la Escuela Universitaria de Ingeniería Técnica de Telecomunicación EUITT de la Universidad Politécnica de Madrid, igual que el resto de ediciones. El evento tuvo una marcada función divulgativa, dirigido tanto a profesionales como a no profesionales, ofreciendo una serie de conferencias con un enfoque coloquial y desenfadado, y un contenido asequible para el público en general.
actualizadas para reconocimiento de código malicioso. Además, la situación se complica con la existencia de rootkits que ocultan el troyano en el equipo infectado, dificultando así la detección del mismo. Existen sistemas más sofisticados como el empleo de tarjetas de coordenadas de claves, teclados virtuales, cifrado javascript de las credenciales, autenticación de clave única o tokens seguros, que permiten aumentar la seguridad de las operaciones. No obstante algunos ya han sido vulnerados, como es el caso de los troyanos que hacen capturas de pantalla para leer las pulsaciones en los teclados virtuales. Resulta fundamental por tanto extremar las precauciones y operar sobre plataformas seguras en la medida de lo posible. El papel del usuario es determinante en el éxito o el fracaso del fraude en Internet.
Honeynets: conociendo al enemigo Si conoces a tu enemigo y a ti mismo, no tienes que temer el resultado de cien batallas. Si te conoces a ti mismo, pero no a tu enemigo, por cada victoria también sufrirás una derrota. Si no te conoces a ti mismo ni a tu enemigo, sucumbirás en cada batalla. (Sun Tzu - El Arte de la Guerra). También resultó interesante la ponencia de Raúl Siles Peláez sobre las Honeynets y el análisis forense. Se comentó la problemática que existe en la recopilación de datos para análisis forense debido a la complejidad y cantidad de información que debe ser procesada. Para facilitar este trabajo se recurre a soluciones como las Honeynets. Las Honeypots, y en particular las Honeynets, son redes trampa que se colocan en diferentes puntos de la red real, con el fin de desviar, analizar y neutralizar los ataques al sistema. La mayor ventaja de la Honeypot (conocidas en español como redes de miel, cuyo nombre procede del personaje Winnie the Pooh) es que permite estudiar y analizar nuevos
Formas de fraude en Internet: el peligro está ahí fuera
ataques con total seguridad para el sistema real. En cualquier ataque, el procedimiento a seguir es: captura de datos, contención del ataque y análisis del mismo. Durante el análisis de un ataque al sistema es necesario identificar a atacante y averiguar los motivos y procedimiento del ataque. Para los interesados en implantar o conocer el funcionamiento de los Honeynets, se puede recurrir al proyecto Honeyney (The Honeyney Proyect [4] y Spanish Honeyney Proyect [5]), en cuya web podemos encontrar documentación, herramientas de análisis y entornos virtuales preparados para descargar y trabajar sobre ellos.
Nuevos ataques en redes: la Web 2.0 en el punto de mira Gonzalo Álvarez Marañón, del Consejo Superior de Investigaciones Científicas (CSIC), impartió una charla sobre ataques web basados en vulnerabilidades de Ajax. La nueva Web 2.0 es una integración de la web en el escritorio, a la vez que se convierte en una herramienta colaborativa, como es el caso de Google, Flicker, YouTube o Wikipedia. Técnicamente la Web 2.0 utiliza la tecnología Ajax, que consiste en javascript y XML transmitido conjuntamente de forma asíncrona. Ajax es un motor que permite peticiones asíncronas, basado en DOM, CSS, XML, XHTML y javascript, de tal forma que puede refrescar partes específicas de la página web. Los mayores peligros a los que se enfrenta Ajax son el crossite scripting y los gusanos de tecnología 2.0. El crossite scripting es un ataque no persistente dirigido a la máquina del cliente que consiste básicamente en añadir código javascritp tras el enlace modificando la dirección original. Las consecuencias son importantes, ya que el usuario puede enviar datos sensibles (a través de formularios por ejemplo) hacia una dirección falsa.
Solución: Honeynets Detección, análisis y respuesta
Durante esta charla, a cargo de Jesús Cea VPNs Avión, de Hispasec Sistemas, se hizo un recorrido por los diferentes riesgos que acechan a cualquier internauta. Aunque los medios de comunicación sitúan al phishing como líder destacado, la realidad es muy distinta, donde Perimetro el mayor número de incidentes se deben a los FW troyanos bancarios, y a mucha distancia los keylogers, phishing, spam y otros. Son sin IDS duda los troyanos los más extendidos y a la vez los más peligrosos, responsables de frauDMZ des millonarios. Las soluciones comunes para evitar el fraude en Internet han resultado ser de escasa eficacia, como las barras anti-phishing o los productos antivirus, basados en firmas Figura 1. Honeynets (D. Raúl Siles)
www.lpmagazine.org
Clientes remotos
Múltiples clientes
AV
Honeynets - © 2006 Raúl Siles
83
proyectos linux DISI Los llamados gusanos 2.0 explotan estas vulnerabilidades de Ajax y javascript. En sitios web de grandes comunidades son especialmente peligrosos, pues permiten una rápida propagación multiplataforma con solamente infectar un solo usuario de la comunidad. Este fue el caso del Gusano Samy, que en octubre de 2005 provocó en MySpace la infección de más de un millón de usuarios en 20 horas. Las soluciones ante tales riesgos son como siempre la cautela por parte del usuario, y concienciar a los desarrolladores de software de navegación para que no permitan la ejecución indiscriminada de javascript.
La Mente de un Hacker: el show de Jeimy Cano La esperada charla de Jeimy Cano no defraudó a nadie. Jeimy, de la Universidad de los Andes y Banco de la República de Colombia, es un orador innato y con una capacidad asombrosa para mantener al público en vilo. Durante toda la ponencia estuvo moviéndose por la sala, implicando y motivando al público, ingenioso siempre, y marcando en cada momento el ritmo de la charla. En la exposición, Jeimy Cano habló extensamente sobre el fenómeno hacker, estableciendo la diferencia existente entre un hacker en el sentido estricto de la palabra y un delincuente informático, contra quienes arremetió con dureza. Psicológicamente, caracterizó a los hackers como mentes inseguras, en el sentido de aquellas mentes inquietas que desconfían de la verdad de todo lo establecido y necesitan descubrir por sí mismo cómo se comportan de verdad las máquinas y los sistemas. Además, suelen destacar especialmente por una gran motivación, creatividad y un pensamiento de tipo circular. En este ámbito mencionó a grandes conocidos como Dennis Ritchie, Ken Thompson, Robert
Morris o Kevin Mitnick. Jeimy terminó la De la misma forma se llevan a cabo ataques charla con una frase brillante que resume toda de anulación de sistemas, principalmente para la esencia: ¿Quieren ser hackers? Aprendan a uso militar utilizando rifles direccionales EMP desaprender. y bombas electrónicas EMP.
Protección EM/EMC: descubriendo TEMPEST
Blind SQL Injection: Al descubierto la seguridad de la Web
Esta conferencia fue un regalo para los amantes de la seguridad de alto nivel. Fernando Bahamonde, Vicepresidente de ISSA-España, nos habló de TEMPEST (Transient ElectroMagnetic Pulse Emanation STandard), una serie de estándares del gobierno estadounidense, parcialmente desclasificados, creados para limitar las radiaciones eléctricas y electromagnéticas de equipamiento electrónico, y evitar así el acceso a datos confidenciales capturando dichas radiaciones. Básicamente propone el uso de blindajes EM de instalaciones (por ejemplo jaulas de Faraday), técnicas de atenuación de señales y utilización de tecnología no radiante. TEMPEST [6] también ofrece protección ante Pulsos EM procedentes de descargas atmosféricas o explosiones nucleares. Ante el asombro y preocupación de todos los presentes, se mostró la facilidad con la que un equipo adecuado es capaz de capturar los datos a través de las radiaciones electromagnéticas que emite cualquier elemento de un sistema informático, que son perfectamente captadas, aisladas y analizadas. El sniffing de un elemento radiante (conocido como ataque de eavesdropping), es utilizado principalmente por los servicios gubernamentales, con equipos sofisticados capaces de capturar datos procedentes de una fuente a dos kilómetros de distancia. No obstante, aunque los equipos profesionales son altamente costosos y difíciles de conseguir, existen dispositivos mucho más limitados capaces de realizar eavesdropping con éxito a distancias de 20-30 metros.
El DISI 2006 terminó con una interesante sesión de hacking en directo. Chema Alonso, MVP de Microsoft Windows Server Security y director técnico de la empresa Informática 64, fue el encargado de mostrar las vulnerabilidades debidas a la inyección de código SQL, realizando además numerosas demostraciones de inyección de código SQL. Demostró que es posible obtener información parcial o total sobre la estructura y los contenidos de la base de datos SQL, explotando vulnerabilidades existentes y fallos de seguridad debidos a mala programación. También se mencionó el caso de numerosas páginas web de conocido prestigio que adolecen de graves fallos de seguridad casi permanentes, y que podrían ser explotados por un atacante que descubra dichas vulnerabilidades. Chema Alonso, para finalizar, aprovechó para denunciar esta situación de riesgo que existe en muchos sistemas informáticos, y principalmente aquellos que operan con transacciones comerciales y con datos sensibles de los usuarios.
DISI 2007: Jaque a la criptografía mundial
A esta segunda edición del DISI, después del éxito obtenido en la primera, asistieron más de trescientas personas, y contó con un cartel de lujo, que si bien resulta difícil destacar un ponente sobre los otros, es justo reconocer que ha brillado con luz propia el Dr. Martin Hellman de la Universidad de Stanford. En esta ocasión, el evento fue retransmitido por video streaming a través de Internet.
Conferencia Inaugural: A Fool's Errand: Inventing Public Key Cryptography
Figura 2. Inauguración de DISI 2007, con D. Ramón Capellades, D. Justo Carracedo, D. Javier Uceda, Dr. Martin Hellman y D. Jorge Ramió (Emilia Belleboni)
84
Linux+ 11/2008
La esperada conferencia inaugural del DISI 2007 fue impartida por el Dr. Martin Hellman, Profesor Emérito de Ingeniería Eléctrica de la Universidad de Stanford (Estados Unidos), inventor de la criptografía de clave pública junto a Whitfield Diffie y Ralph Merkle. En la charla A Fool's Errand: Inventing Public Key Cryptography (Una empresa descabellada: inventando la criptografía de clave pública), el Dr. Hellman relató en primera persona cómo llegó a plantearse contra corriente la creación de un nuevo sistema criptográfico, qué personas estuvieron implicadas y el trabajo realizado hasta llegar al éxito final que todos
proyectos linux DISI conocemos. Fue una exposición emocionante como pocas, plagada de numerosas anécdotas, con el aliciente de lujo de ser contada por el propio protagonista de la historia, y que hizo las delicias de todos los presentes. Su interés por la criptografía le llevó a plantearse investigar por su cuenta nuevos sistemas criptográficos, sin embargo se encontró con una resistencia que no esperaba. Por un lado sus propios colegas le trataron de loco, avisándole que sus esfuerzos iban a ser inútiles. En esa época, la investigación criptográfica estaba monopolizada por la NSA (Agencia de Seguridad Nacional de Estados Unidos) e investigadores asociados, en un prestigioso círculo cerrado de genios difícil de entrar. Uno de los argumentos que esgrimían en contra de este proyecto descabellado de Hellman era que si ese grupo selecto no había conseguido durante años mejoras sustanciales en los sistemas de cifrado, y mucho menos revolucionarias, las probabilidades de éxito de Martin Hellman eran prácticamente nulas. Y por otro lado, cuando a pesar de todo decidió continuar adelante, las presiones y controles que sufrió por parte de la NSA fueron constantes, sobre todo cuando sus avances eran lo suficientemente peligrosos como para poner nerviosos a los que hasta ahora controlaban la criptografía. Hellman, durante toda la charla hizo especial énfasis en que era justo y necesario reconocer el mérito de todos los implicados en la creación del sistema de clave pública (conocido mundialmente como Diffie-Hellman), y no solamente los que figuran oficialmente como inventores. En este sentido, el sistema de clave pública debería llamarse Diffie-HellmanMerkle, pues tanto Whitfield Diffie como Ralph Merkle tuvieron una importancia fundamental en el desarrollo del mismo. Además, Hellman hizo un pequeño homenaje a otros investigadores cuyos trabajos fueron esenciales para llevar a buen fin el sistema de clave pública, como son John Gill, Steve Pohlig, Richard Schroeppel, Loren Kohnfelder, Taher ElGamal y Claus Schnorr. Finalmente, mirando hacia el futuro inmediato de la criptografía, el Dr. Hellman recomendó encarecidamente cambiar a sistemas de criptografía de curva elíptica (ECC). El motivo se debe a que la eficacia cada vez mayor de los ataques obliga al aumento de longitud de las claves RSA a 2048/4096 bits, lo que se traduce en tiempos de computación ya importantes. La mayor ventaja del algoritmo de curva elíptica es su mayor rendimiento computacional, a la vez que tiene una buena robustez. Resultó inevitable hablar sobre la criptografía cuántica, tan enigmática como desconocida. En opinión de
Hellman, si se consiguen los objetivos, no sería viable en un período inferior a 10 años, y su implantación definitiva en 20 años. Los asistentes realizaron además preguntas sobre la NSA, como las restricciones impuestas a la longitud de claves, la posible existencia de puertas falsas y otras suspicacias razonables.
Conferencia Invitada: Avances en la factorización entera La siguiente conferencia, siguiendo la temática con la que se había iniciado este DISI, corrió a cargo del Dr. Hugo Scolnik, Profesor de la Universidad de Buenos Aires (Argentina). Esta charla, enfocada desde un punto de vista puramente matemático, obligó a los presentes a mantener su atención al máximo, para poder seguir los numerosos desarrollos matemáticos que mostraba Scolnik. Aunque para aprovechar al máximo la ponencia era necesario un nivel matemático elevado y unos fundamentos teóricos sólidos sobre criptografía, que no estaban al alcance de todos, nadie quedó indiferente a la importancia de la investigación que está llevando a cabo el Dr. Scolnik. De hecho, un año después de su intervención, han corrido ríos de tinta en ambientes especializados sobre dicha investigación. La mayor parte de la criptografía mundial actual se basa en el algoritmo de cifrado RSA, que utiliza el producto de dos números primos de gran tamaño para el cifrado de un mensaje. La seguridad de este algoritmo se basa en la dificultad de factorizar el número obtenido, es decir, en la obtención de los dos números primos originales. El tiempo computacionalmente elevado -del orden de miles de millones de años con los equipos actuales- necesario para factorizar un número, hace inviable invertir el proceso de cifrado sin la clave original, siempre
desde un punto de vista probabilístico. Aquí es donde entra en juego la tesis de investigación que está dirigiendo Scolnik, en la que que se está desarrollando un método de factorización de números enteros que reduce en varios órdenes de magnitud el tiempo necesario. En esta charla se presentó el estado actual de la investigación y los resultados conseguidos hasta ahora. Sin intención de entrar en exposiciones complejas, los fundamentos teóricos del método desarrollado por el Dr. Scolnik y su equipo se basan en aplicar recursivamente el método de Fermat, utilizado para la obtención de números expresables en la forma n+x^2 = y^2, siendo n el objetivo a factorizar. Se define entonces el concepto de “target” como una terna de números enteros (a,b,c) que cumplen que x^2=a+c*t, y^2=b+c*u. De acuerdo con este planteamiento, se obtienen targets únicos, dobles, triples, etc para cada n. Sin embargo, se demuestra que siempre existen targets únicos para n impar, en cuyo caso se puede definir un número delta, obtenido de (n+a-b)/c, que también es un entero. Llegados a este punto, se parte del número delta como nuevo objetivo a factorizar, aplicando de igual forma el método de Fermat. Actualmente existen limitaciones importantes en este método, pues solamente es aplicable para valores determinados de n, tiene serias dificultades con factores no próximos, y además algunas ramas generadas a partir de un número delta no son correctas. En el estado actual de la investigación, Scolnik está desarrollando filtros para detectar y descartar las ramas no correctas, que están dando resultados satisfactorios. También se está trabajando en otras líneas de investigación que podrían producir avances imprevistos. El Dr. Scolnik alternó la exposición teórica con demostraciones prácticas usando el software que han desarrollado durante la tesis, y
Figura 3. Dr. Martin Hellman durante su ponencia (D. Rubén de Diego)
www.lpmagazine.org
85
proyectos linux DISI que implementa los algoritmos de factorización y los diferentes filtros que se están aplicando. A pesar del mucho camino que queda por recorrer en esta investigación, se han conseguido logros importantes como el RSA640, y algunos avances significativos en la factorización de RSA1024. De cualquier forma, la simple obtención de un número delta como nuevo objetivo, cuyo valor puede ser inferior en varios órdenes de magnitud, reduce drásticamente el tiempo del ataque, hecho que por sí mismo es un éxito indiscutible y un avance peligroso para la seguridad del algoritmo. Scolnik coincidió con el Dr. Martin Hellman en aconsejar la sustitución de RSA por los algoritmos de curva elíptica, no sin antes destacar que los ataques a este nuevo algoritmo todavía son escasos, por lo que está por verificar su seguridad. También mostró su desconfianza sobre la computación cuántica, considerando que falta aún por confirmar el funcionamiento de las máquinas cuánticas y la validez del algoritmo de Shor, del que duda su propio inventor. Otro dato que confirmó el Dr. Scolnik fue la aproximación del rendimiento de los algoritmos de criptoanálisis por software al rendimiento de las máquinas dedicadas, lo que unido a la posibilidad de paralelizar los ataques basados en el número delta, deja al algoritmo RSA en un lugar muy vulnerable. Respecto a las consecuencias de la posible rotura del cifrado RSA, Scolnik reconoció su preocupación y aseguró que se trataría de un problema social muy grave. Es necesario resaltar encarecidamente la importancia de los avances en la factorización de números enteros. La capacidad intelectual y experiencia profesional de las personas implicadas en la investigación puede dar lugar en cualquier momento a avances cualitativos, sin contar con la imprevisibilidad inherente a cualquier genialidad matemática que podría de-
jar tocado de muerte el actual algoritmo RSA. Ahora mismo ya se está trabajando en ataques al RSA1024, con el RSA2048 en el horizonte. Las aplicaciones que hacen uso de estas longitudes de clave son entre otros el DNI electrónico, certificados digitales, chips inteligentes, y por supuesto todo el sistema de clave pública actual. La seguridad de todos estos sistemas vitales para la sociedad moderna está en este mismo momento en el punto de mira, motivo más que suficiente para empezar a realizar una valoración de riesgos sin mucha demora. Y hay que recordar que, aunque improbable ahora mismo, si se produce la rotura del algoritmo las consecuencias van a ser fulminantes, con carácter retroactivo y sin tiempo para reaccionar. Y esto es de una gravedad mayor si tenemos en cuenta que podríamos no disponer actualmente de ninguna alternativa viable, si la seguridad del algoritmo ECC se demostrara insuficiente en cuanto se convirtiese en el objetivo principal de los ataques.
Foro debate: Investigación y sociedad Este foro debate, con intervención del público asistente, abrió la fase interactiva del evento. Los participantes fueron el Dr. Martin Hellman, el Dr. Hugo Scolnik y el Dr. Gonzalo León, Vicerrector de Investigación de la UPM. El Dr. Gonzalo León introdujo el tema de debate, reconociendo que el progreso de la sociedad depende por igual de los tres ejes del llamado Triángulo del Conocimiento, formado por las Universidades, las Empresas y los Gobiernos. Propuso crear políticas que ayuden a integrar estos tres elementos y que trabajen coordinados y con objetivos comunes. Además, remarcó el papel fundamental de las Universidades como responsables de la formación, el fomento de la investigación y desarrollo, y la inculcación de una perspectiva social impres-
Agradecimientos del Director de la Cátedra Excelente nivel de los conferenciantes y ponentes invitados, de sus presentaciones, de los interesantes debates que surgieron, del ambiente que reinó durante los congresos... todo esto llega a su culminación cuando personas con una gran vocación de comunicadores, como es el caso de Domingo González, sin pedir nada a cambio le dedica horas y más horas al repaso de la información que fue recopilando como asistente a ambas ediciones de DISI, publicando una crónica tan amplia y precisa como ésta. Todo ello con el objeto de que muchos miles de lectores e internautas sepan lo que allí sucedió y se guarde un histórico con lo que allí se dijo y discutió. Una labor encomiable, que ya ha desarrollado en otras ocasiones, y por lo cual deseo manifestar públicamente mi más sincero agradecimiento. Una reflexión que creo puedo permitirme por mis largos años de labor docente: si hubiese mucha más gente joven con este mismo espíritu de colaboración, posiblemente daríamos un importante paso adelante en la dura lucha por suprimir las barreras del conocimiento y la cultura entre los pueblos.
86
Linux+ 11/2008
cindible para la integración de los profesionales en la sociedad. El Dr. Scolnik hizo un discurso autocrítico como miembro de la comunidad universitaria, donde se lamentó de la pérdida de perspectiva social en el ámbito de la investigación. En su opinión, actualmente la comunidad investigadora de las Universidades valora el éxito de los trabajos realizados en función de parámetros artificiales, como la existencia de resultados atractivos o artículos de divulgación, necesarios para obtener financiación. Asimismo, Scolnik hace una enérgica llamada de atención frente a la situación inmovilista actual, que constituye un problema estructural de las Universidades modernas, y a consecuencia del cual numerosas investigaciones están orientadas a la obtención de méritos personales dejando de lado las necesidades reales de la sociedad. Por su parte, el Dr. Martin Hellman, desde su posición como investigador socialmente comprometido, expresó también su convencimiento sobre la importancia de relacionar la investigación y los objetivos establecidos para el progreso de la sociedad. También fue unánime la opinión de todos sobre el fracaso del modelo multidisciplinar en la resolución de problemas complejos. La fragmentación de tareas, y por tanto de responsabilidades, está impidiendo una visión global de los problemas y las necesidades de la sociedad, traduciéndose en soluciones parciales descoordinadas y muchas veces incompatibles entre sí.
Protección de datos en la Sociedad de la Información: nuevas obligaciones y responsabilidades D. Artemi Rallo Lombarte, Director de la Agencia Española de Protección de Datos (AEPD) [9], habló de la importancia de la protección de datos para mantener la privacidad en la nueva Sociedad de la Información, y la necesidad de alcanzar un equilibrio adecuado entre el derecho a la privacidad y el derecho a la información, ambos fundamentales en la actual Sociedad del Conocimiento. También hizo numerosas referencias a la Ley Orgánica de Protección de Datos (LOPD) que es la normativa reguladora actual en este ámbito, y las futuras reformas previstas para adaptarla a la situación actual. Se resaltó además la responsabilidad de las empresas y organismos en la protección de datos, teniendo la obligación ética y legal de garantizar la privacidad de los datos sensibles que disponen, y destacó el papel de la AEPD como organismo sancionador. En este sentido el Sr. Rallo aludió a las sanciones impuestas a algunas empresas y organismos por la puesta a disposición involuntaria de datos en Internet, así como la gravedad de estos casos específi-
proyectos linux DISI cos. Como no podía ser de otra forma, el procedimiento por aquella fecha recién abierto a la empresa Google por el almacenamiento de los datos de sus usuarios fue uno de los temas de interés. También se habló sobre la preocupante falta de concienciación de la sociedad respecto a los temas de privacidad y protección de datos, y de su importante desconocimiento de sus derechos en el ámbito digital.
Delitos y peligros en la Red: de mal en peor Si ya la situación en Internet mostrada en el primer DISI era preocupante, D. Víctor Domingo, Presidente de la Asociación de Internautas, vino a confirmar su empeoramiento. Hizo un recorrido por los diferentes riesgos a los que está sometida la Sociedad de la Información, haciendo fuertes críticas a aquellos aspectos que consideraba un peligro para la privacidad, la libertad y la seguridad de las personas. De esta forma, se alertó del peligro del llamado DNI electrónico (DNIe), que podría atentar contra la privacidad si no se establecen los mecanismos de seguridad necesarios, y se puso en duda el acierto de la legislación aprobada que podría autorizar la interceptación de las comunicaciones digitales sin una orden judicial. Por otra parte, el Presidente de la AI mostró su preocupación sobre la Ingeniería Social, que es la base de la mayoría de técnicas de fraudes y delitos que se llevan a cabo en Internet. El phishing es actualmente el problema de mayor gravedad, y según los datos disponibles, en cada nueva campaña se envían masivamente de 6 a 8 millones de correos fraudulentos, con un resultado de diez a quince víctimas engañadas. El incremento de correos fraudulentos ha aumentado en un 290% entre el año 2005 y 2006. También alertó sobre el scam, otro tipo de fraude que resulta ser básicamente un blanqueo de dinero encubierto sin el conocimiento de la víctima, y otros riesgos cada vez más frecuentes como el aumento de loterías fraudulentas y el llamado phishing car. Además de pedir cautela a los usuarios de Internet para evitar este tipo de fraudes, insistió en la colaboración de las entidades bancarias como un elemento fundamental para reducir sus probabilidades de éxito.
y la dificultad intrínseca para implementar los procedimientos necesarios. También se destacó el grave problema de concienciación que existe en las empresas a la hora de seguir protocolos de seguridad de la información, agravado además por la existencia de unos procedimientos de auditoría enfocados a grandes empresas, que dificultan la implantación y la auditoría de la mayor parte del parque empresarial compuesto básicamente por PYMES. Tampoco faltó aquí la figura del siempre polémico DNIe [10], que se presentó como un elemento básico para establecer procedimientos adecuados de seguridad en la e-sociedad que nos espera. Nuevamente fue la estrella del debate el controvertido DNIe, donde los asistentes mostraron su desconfianza y temores sobre el mismo, e incluso se vivieron
momentos tensos reflejo de una resistencia social razonable a la hora de aceptar cambios sustanciales como éste. Esta transición de la sociedad tradicional a la nueva e-sociedad lleva asociado un coste y una responsabilidad que ahora empezamos a asumir, y que exige un debate exhaustivo entre todas las partes necesario para el éxito de la Sociedad de la Información. Se alertó además de que el punto débil de la seguridad se encuentra en las plataformas de trabajo del propio usuario, pues un sistema infectado o comprometido elimina cualquier garantía de validación del interlocutor (no repudio), esencial en el establecimiento de una comunicación segura. Una de las conclusiones del debate sobre el DNIe fue la importancia de proporcionar a los ciudadanos una cultura
Mesa redonda: Nuevos Desafíos en la e-Sociedad El segundo debate como tal contó con la presencia de D. Adrián Moure de ASIMELEC, D. Julián Inza de Albalia, D. Rodolfo Lomascolo de IPSCA, D. Manuel Arrevola de Zitralia y Dña. Gemma Deler de Applus+. Se alertó sobre la preocupante falta de normativa frente a los avances de la Sociedad de la Información, Figura 4. MAE ALEMANIA y FBCB2
www.lpmagazine.org
87
proyectos linux DISI tecnológico-social previa a la implantación de la e-sociedad, que implique unos cambios profundos en las costumbres actuales. Los riesgos derivados de trasladar la responsabilidad de la seguridad hacia el usuario en una sociedad no preparada, y con un parque informático inseguro, podría resultar de una gravedad imposible de asumir. Otras cuestiones que se debatieron fueron la validez de la firma electrónica como prueba probatoria, los certificados digitales como herramientas de validación, el tratamiento legal de la firma electrónica frente a la firma caligráfica, y se resolvieron dudas sobre e-administración y la factura electrónica. También resultó interesante conocer herramientas y dispositivos para garantizar operaciones seguras, como son OpenDNS para Internet, USSD para dispositivos móviles, y tarjetas inteligentes para operaciones con firmas digitales.
En la red •
•
• • • •
•
•
•
• •
88
Cumbre Mundial sobre la Sociedad de la Información (Ginebra, 2003) http://www.itu.int/wsis/index-es.html Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información. Desde la web pueden descargarse artículos, presentaciones y vídeos de las actividades realizadas. http://www.capsdesi.upm.es Computer Security Day http://www.computersecurityday.org/ The Honeynet Project http://www.honeynet.org Spanish Honeynet Project http://www.honeynet.org.es/es/ NSA TEMPEST endorsement program http://www.nsa.gov/ia/industry/tem pest.cfm Método de factorización de Fermat http://en.wikipedia.org/wiki/Fermat's_ factorization_method Algoritmo de Shor http://en.wikipedia.org/wiki/Shor's_algorithm Agencia Española de Protección de Datos https://www.agpd.es/ Portal Oficial sobre el DNI electrónico http://www.dnielectronico.es/ Informe Kenwood sobre la viabilidad del Software de Fuentes Abiertas http://www.hispalinux.es/informes/MIT RE/InformeKenwood.pdf
Evolución del Malware: perdiendo la batalla D. Sergio de los Santos, de Hispasec, fue el encargado de certificar los datos del presidente de la AI. Analizó la preocupante evolución del Malware en los últimos años, que ha cambiado su objetivo inicial por un enfoque orientado a los delitos informáticos con beneficio económico. Los creadores de los numerosos tipos de Malware existentes (spam, phishing, troyanos, etc.) han empezado a trabajar coordinados, con el fin de crear grandes redes con importantes recursos y sólidas infraestructuras para llevar a cabo delitos de fraude y robo de información. Ha surgido una nueva forma de crimen organizado a nivel internacional, en la que destacan las redes rusas y brasileñas, que están acaparando claramente estas actividades delictivas. Estas metodologías delictivas empiezan a causar preocupación, tanto por la magnitud mundial que está alcanzando, como por la dificultad de controlar y neutralizar estas prácticas a nivel legal y técnico. La gran cantidad de nuevo Malware que surge a diario y sus características técnicas han conseguido poner en jaque a la industria de antivirus y demás software de protección. Los antivirus tienen serias dificultades para mantener actualizadas las bases de datos de código malicioso, a la vez que la coordinación de diferente malware especializado consigue en numerosas ocasiones saltar las protecciones instaladas en los equipos. También resulta preocupante la capacidad que tienen muchos virus para saltar las protecciones de los cortafuegos, lo que deja a los equipos totalmente desprotegidos ante la Red. Además, incorporan técnicas anti-reversing que dificultan el análisis del código malicioso, e incluso algunos troyanos empiezan a usar métodos que impiden su funcionamiento en máquinas virtuales para evitar ser analizados. Todo esto supone un serio obstáculo a la hora de implementar con la rapidez necesaria protecciones y herramientas de desinfección y eliminación de Malware. Los datos estadísticos confirman que en los últimos 5 años el número de virus y demás código malicioso se ha multiplicado por diez, duplicándose por tanto cada nuevo año. El servicio VirusTotal.com que ofrece Hispasec está recibiendo actualmente hasta 20.000 muestras diarias, lo que los sitúa en una posición única para estudiar la situación actual y su evolución. De acuerdo con los datos recogidos, aproximadamente un 30% del código malicioso que está circulando por la red es del tipo troyano, dedicado al fraude y robo de información sensible. Asimismo, Hispasec destaca la baja tasa de detección de código malicioso por parte de los motores de antivirus, debido a todo lo que se ha comentado anteriormente.
Linux+ 11/2008
D. Sergio de los Santos realizó además demostraciones del funcionamiento de algunos troyanos bancarios analizados por Hispasec, utilizados para perpetrar delitos por phishing. Durante la demostración aprovechó para comentar las diferentes técnicas usadas por los troyanos, como la detección del acceso y activación del mecanismo basada en un listado interno de entidades bancarias, la redirección y sustitución de la página web del banco, la lectura de claves desde formularios o teclados virtuales, etc.
Seguridad en Entornos Linux: utilización en sistemas críticos D. Fernando Acero, Teniente Coronel Piloto del Ejército del Aire, Especialista en Telecomunicaciones y con el Curso de Estado Mayor, experto en seguridad informática y miembro de Hispalinux, fue el encargado de impartir una interesante charla dedicada a la seguridad en sistemas Linux. La importancia de la seguridad en los sistemas críticos ha hecho plantearse seriamente la necesidad de usar software seguro. La existencia de numerosos fallos de seguridad en las plataformas privativas usadas actualmente, mayoritariamente sistemas Windows, obliga a mirar hacia el Software Libre como posible alternativa. Por otra parte, empezamos a ser conscientes del peligro de la monocultura informática, tanto por el impacto a nivel global que puede tener un fallo de seguridad en millones de ordenadores, como por la dependencia tecnológica de un pequeño grupo de empresas privadas. El Sr. Acero advierte que los estudios comparativos entre las plataformas Windows y Linux son arduos y complejos, pues las diferencias técnicas, filosóficas y prácticas entre ambas son muy diferentes, y en ocasiones radicalmente opuestas. Además, los criterios a tener en cuenta son variados y específicos para cada necesidad, como puede ser la existencia de aplicaciones concretas, los tiempos de respuesta ante fallos de seguridad, la facilidad de configuración y control de los sistemas. No obstante, existen estudios e informes de notable prestigio que inciden en algunas ventajas importantes del Software Libre en cuanto a seguridad informática que pueden decantar la balanza a favor de éste en sistemas críticos. Entre otros, el informe Kenwood (2001) sobre la viabilidad del software de fuentes abiertas, encargado por el Departamento de Defensa de los EE.UU., sitúa al software de fuentes abiertas como la plataforma ideal para sistemas críticos, debido fundamentalmente a su flexibilidad, interoperabilidad y bajo coste. El acceso al código fuente de Linux permite analizar rápida y eficazmente los fallos
proyectos linux DISI de seguridad que puedan surgir, así como realizar fácilmente auditorías de código para la detección preventiva de errores. Por otra parte, la modularidad de los sistemas Linux permite optimizar la instalación y eliminar elementos innecesarios, lo que se traduce en menos código que mantener y revisar. Además, la variedad de versiones existente es un factor que reduce el impacto de un fallo de seguridad, pues en la mayoría de los casos afecta solamente a versiones determinadas. En los sistemas militares existe actualmente un problema real de interoperabilidad entre las diferentes empresas responsables del mantenimiento de las aplicaciones privativas instaladas, que se traduce en una negativa a asumir errores y responsabilidades, y por lo tanto la permanencia de fallos de seguridad más allá de lo estrictamente razonable. Esto es especialmente preocupante en la situación actual en que la denominada Ciberguerra se ha convertido en una realidad, como demuestran los recientes incidentes internacionales debidos a ataques a servidores gubernamentales. Durante la charla D. Fernando Acero describió varias aplicaciones actuales en las que se utiliza Software Libre, debido a su flexibilidad para adaptarse a nuevas situaciones y una elevada seguridad. Es el caso del sistema de comunicaciones seguras entre Embajadas, implementado por el Ministerio de Asuntos Exteriores de Alemania, y que utiliza un sistema mixto live con tarjeta inteligente para el uso de redes VPN con cifrado SINA (Secure Inter-Network Architecture). También existen aplicaciones en el ámbito militar relacionadas con capacidades C4ISTAR (Command, Control, Communications, Computers, Intelligence, Surveillance, Target Acquisition, Reconnaissance), como el sistema JTRS (Joint Tactical Radio System) de comunicaciones militares. En este mismo sentido opera el sistema FBCB2 (Force XXI Battle Command, Brigade and Below) que proporciona mando y control, así como información situacional en tiempo real e inteligencia a elementos tácticos inferiores. Llegado el turno de preguntas, se habló con interés sobre la situación del Software Libre en España, tanto a nivel de administración como a nivel militar. También suscitó debate el tema de la licencia GPL y el uso de Software Libre para aplicaciones militares.
El Fracaso del Software Para cerrar esta segunda edición, D. Juan Carlos García Cuartango, del Instituto para la Seguridad en Internet, llevó a cabo una divertida exposición en la que analizó la situación de la ingeniería del software, que se encuentra en una posición de inmovilismo desde hace 30 años. En su opinión, el software está asistiendo a su
propio fracaso, pues frente a los avances tecnológicos espectaculares que se han desarrollado en los últimos años, el software sigue anclado en las plataformas de décadas anteriores. Los sistemas operativos actuales son derivados de sistemas UNIX o MS-DOS, diseñados originalmente para plataformas tecnológicas muy poco avanzadas. Además, el tamaño del código ha aumentado drásticamente, lo que repercute en una pérdida de optimización y eficiencia, un incremento de los errores y la dificultad de mantener el código. Otro problema derivado es la tendencia hacia sistemas operativos de tipo general, que realizan múltiples tareas pero con un rendimiento y fiabilidad muy baja. De igual forma, los lenguajes de programación utilizados son los mismos que se emplean desde el inicio de la Informática, cuya filosofía y enfoque no son adecuados para unas plataformas hardware y de comunicaciones radicalmente diferentes y mucho más avanzadas. La complejidad actual del código se traduce en una falta de fiabilidad del mismo. Las tecnologías actuales en hardware y comunicaciones están mucho más avanzadas que el software, que se ha convertido en un factor limitante. También se comentaron tecnologías de software más adecuadas como la arquitectura cliente-servidor, el modelo OSI, lenguajes de cuarta generación, etc, que no han tenido aceptación por diversos motivos, mientras se siguen utilizando arquitecturas mucho más limitadas y completamente obsoletas. Finalmente García Cuartango hizo un llamamiento a las Universidades para formar a los futuros programadores con un nuevo enfoque más evolucionado de la Ingeniería del software.
y profesor en diversas universidades de México y Estados Unidos sobre esta materia, de D. Manuel Vázquez, Jefe de la Brigada de Investigación Tecnológica de la Policía Nacional y de D. Juan Salom, Responsable del Grupo de Delitos Telemáticos de la Guardia Civil, ambos de España. Se finalizará el evento con una Mesa Redonda en la que intervendrán estos tres invitados para debatir el tema Amenazas del Cibercrimen. Esperaremos con interés los indicadores de la situación actual que nos deje este DISI, esperando que la batalla contra la inseguridad y la brecha digital se torne a nuestro favor. Ahora mismo preocupa el crecimiento descontrolado del código malicioso, utilizado cada vez más para fines delictivos, y un parque informático mayoritariamente inseguro donde se realizan operaciones de riesgo como transacciones bancarias, comercio electrónico y manejo de información sensible. Por otro lado tenemos la percepción de que la denominada Sociedad de la Información empieza a ser consciente de su propia existencia y de la importancia del rol que debe asumir en este nuevo concepto de progreso y desarrollo. La implantación inevitable de la nueva e-sociedad está obligando a todos los sectores implicados -empresas, administración y ciudadanos- a aceptar responsabilidades diversas en el uso de las TI, no sin reticencias en algunas ocasiones. Es necesario por tanto un cambio importante en nuestros hábitos tecnológicos, centrados a partir de ahora en la seguridad informática, para lo que nos queda todavía un largo camino por recorrer. Y no puedo finalizar sin agradecer gustosamente su apoyo y colaboración a la Organización del DISI, a Dña. Emilia Belleboni y D. Rubén de Diego (DIATEL-UPM) por las fotografías cedidas, y DISI 2008: Internet y Cibercrimen sobre todo al Dr. Jorge Ramió Aguirre, por su El próximo día 1 de diciembre tendrá lugar la ayuda en la confección de este artículo y por su tercera edición del Día Internacional de Seguri- valiosa labor de revisión. dad de la Información. Se celebrará como viene siendo habitual en la EUITT de la Universidad Politécnica de Madrid, y el registro para la inscripción ya está abierto. Esta edición contará Sobre al Autor con la presencia especial de la Dra. Radia PerlEl autor es Ingeniero Industrial de profesión. man, que impartirá la conferencia inaugural. Su perfil técnico le ha llevado a introducirLa doctora Perlman, Chief Technology Officer se en las Tecnologías de la Información, CTO de Sun Microsystems, ha participado en centrando su interés desde hace años más de 50 patentes, es autora de dos libros soprincipalmente en seguridad informática y bre seguridad en redes e inventora del Spanning sistemas Linux, con los que trabaja en el Tree Protocol STP para la gestión de bucles en ámbito personal y profesional. Colabora en topologías de red. Por tal motivo normalmente varias asociaciones de Software Libre, rease le señala de manera coloquial como la madre lizando diversas actividades e impartiendo de Internet. La segunda parte del congreso estacharlas sobre temas relacionados. Además, rá dedicada al apasionante mundo del cómputo ha asistido a las dos ediciones celebradas forense y el cibercrimen, y contaremos con la del DISI, sobre las que ha escrito varios presencia de D. Andrés Velázquez, Director de artículos. Investigaciones Digitales en Mattica, México,
www.lpmagazine.org
89