Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

15 diciembre 2013

Crónica de las VII Jornadas STIC CCN-CERT (y II)

 
El segundo día de las jornadas estuvo compuesto de dos módulos.

El primero versó sobre la Implantación del ENS (Esquema Nacional de Seguridad) y arrancó con una ponencia de Miguel Ángel Amutio, del SEAP-MINHAP, sobre la Modificación RD 3/2010. Vamos con retraso en la implantación del ENS. Y, además, se debería tratar de extenderlo a todos los sistemas de información de las AA.PP. Para ello, dos instrumentos: las Normas Técnicas de Seguridad y las Guías CCN-STIC. Se hace necesario un intercambio de información entre el CCN y las administraciones, a fin de reforzar la capacidad de respuesta de éstas.

En la misma línea estuvo la exposición de Mañas y Candau sobre la Evolución de la implantación del ENS. Se presentó, además, una nueva herramienta para la elaboración de informes del artículo 35: Inés (Informe Nacional del Estado de la Seguridad).

Siguió una explicación por parte de Oscar Pastor, del Isdefe, de la propuesta de Esquema de Certificación de Personas. Dada la escasez de profesionales de seguridad, se hace necesario establecer un mecanismo que acredite la idoneidad de los trabajadores del sector, tal como han hecho en EE.UU. y Reino Unido (con el CESG, por ejemplo). En el caso español, quedaría como sigue:


Después, escuchamos a Jorge Dávila hablando de los Problemas del almacenamiento seguro (u otros usos) en nubes públicas y privadas. Pues son los que ya conocemos: transferencias de datos, cumplimiento LOPD, qué pasa si quiero borrarlos (¿realmente se borran?), en la comunicación entre dos entidades ¿dónde se cifran los datos? Salió a colación el tema de la Computación en la Nube (distinto del almacenamiento en la nube), consistente en la realización de cálculos en la propia nube. Es algo que está aún muy verde, ya que requiere el cifrado de dichos cálculos, por cuestiones de seguridad y todavía no está bien definido.

El segundo módulo trató sobre la Estrategia de Ciberseguridad, comenzando por la Estrategia de Ciberseguridad Nacional, a cargo de Joaquín Castellón, director del DSN, quien dio un repaso al articulado que regula el organismo.

Luego, el Cte. Salvador Llopis, del Mando Conjunto de CiberDefensa, hizo un punto de situación de este organismo, creado por la Orden Ministerial 10/2013 y explicó el significado de su emblema: con los símbolos de los tres ejércitos y los códigos binarios.

Siguió una mesa redonda sobre Ciberseguridad Pública y Privada: Colaboración, Solapamiento y Competencia. Dicha mesa estuvo moderada por José de la Peña, de la revista SIC. Y contó con la intervención de los anteriormente mencionados Cte. Salvador Llopis y Joaquín Castellón, más Fernándo Sánchez (MINT-CNPIC), Luis Jiménez (CCN), personal de Telefónica, S21sec, INTECO y Juan Corro, del Ministerio de Industria, que se incorporó más tarde. 

Contó con la participación del público, desde donde se alabó el trabajo del INTECO y se pidió que el CCN-CERT hiciera públicas todas sus Guías. La verdad es que muchas sí lo están y os las podéis descargar desde aquí, pero algunas quedan reservadas a usuarios registrados. También se comentó si el ENS se aplicaría a los hospitales. Pues a los públicos está claro que sí les aplica.

Terminamos con dos ponencias tecnológicas. La primera, una demo de Jaime Sánchez y Pablo San Emeterio sobre Plataforma de mensajería y riesgos asociados: caso WhatsApp. Mostraron cómo se podía aprovechar los problemas del cifrado RC4 para hacer un script que, por pruebas sucesivas, fuera descifrando un mensaje. Este script no lo van a publicar, para que no haga daño, pero lo hemos visto funcionando. Whatsapp utiliza el mismo keystream en ambos sentidos y esto es tan peligroso como correr cerca de una piscina con unas tijeras en las manos. Así es que Jaime y Pablo decidieron hacer algo para evitar que te puedan leer los mensajes: añadirle un cifrado adicional. La noticia y la explicación más completa las podéis ver aquí.

And last, but not less, otro de los habituales en las Jornadas del CCN: Raul Siles nos habló de las Vulnerabilidades Wi-Fi de dispositivos móviles en redes empresariales 802.1x/EAP. Me habían dicho que a Siles se le aplaude nada más salir y me quedé yo sola aplaudiendo (menos mal que aplaudí flojito).

Comenzó su presentación con una pequeña encuesta que nos sirvió para saber que, aunque solo dos en todo el auditorio consideraban que el WiFi sea seguro, todos nos conectamos. Tras lo cual, explicó los peligros del CYOD (Connect Your Own Device), ya que un atacante puede forzar a que nuestro dispositivo se conecte a su Fake Radius y robarnos las contraseñas. Esta presentación es la misma que hizo en la pasada RootedCON y que solo uno de los asistentes dijo haber visto en directo (yo vi el vídeo).

El problema reside en que los fabricantes de dispositivos móviles no fuerzan a que el usuario configure bien su conexión a la red empresarial y ésta puede ser rebajada de nivel de seguridad por un atacante. Siles es como un pobre hombrecito que empuja al luchador de sumo que es el fabricante y que no consigue nada. Así es que, es probable que en otra CON vuelva a contarnos algo parecido.

Tras los sonoros aplausos (ahora sí) que recibió el último de los ponentes al concluir su charla, los miembros del CCN clausuraron las Jornadas.

Y hasta aquí mi resumen de las ponencias. Pero las Jornadas son más: son unos momentos en los que personas con conocimientos técnicos no tan avanzados tenemos la oportunidad de codearnos con hackers de renombre, miembros de las FCSE y personal del CNI, entre otros. Todo ello acompañado de unos riquísimos canapés y regado con un buen vino. Y además, gratis. ¿Se puede pedir más? Sí: se puede pedir que se repita el próximo año. :)

Solo me queda dar las gracias a todos los que lo hicieron posible: desde el SED del CNI hasta los amables camareros que servían los cafés, pasando por cada uno de los ponentes y de los miembros de CCN-CERT.

Y a vosotros, desearos unas felices vacaciones y nos veremos en el 2014 en alguna CON.

No hay comentarios:

Publicar un comentario

A penny for your thoughts