Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

14 diciembre 2014

#8JornadasCCN_CERT Crónica (III)


Enlace permanente de imagen incrustada
Por segundo día acudí a las #8JornadasCCN_CERT, en el madrileño barrio de Atocha. El primer día había sido una delicia, con tanta información, tantas caras amigas a las que hacía tiempo que no veía y tantas cosas ricas de comer.

Ahora me hallaba sentada de nuevo en la Sala Jiménez Díaz, que acogía las ponencias relativas al segundo módulo. ¿Con qué nos sorprenderían en esta ocasión?

La cosa empezó bien, con un tema que parecía sacado de una película futurista, de ciencia ficción, pero que es de rabiosa actualidad: los wearables. Jorge Dávila disertó sobre esta tecnología de vanguardia que permite registrar y enviar información sobre nuestra persona mediante dispositivos en la forma de relojes, gafas, ropa... Así, la gente puede compartir en las redes sociales información tan personal como su estilo de vida, lo que camina, las calorías que consume, la tensión sanguínea, etc.

Ahora bien, estos dispositivos pueden presentar vulnerabilidades que hagan que dicha información sea compartida sin nuestro consentimiento. Otro problema añadido es el hecho de que, no solo el portador puede ser objeto de espionaje, sino que puede ser un espía él mismo: ¿cómo saber si la persona que accede a un recinto no lleva formando parte de su ropa o en algún tipo de implante un dispositivo que permita recopilar y transmitir información confidencial? ¿será necesario obligarle a enfundarse un traje certificado que lo impida?

A pesar de lo cual, no debe desdeñarse un problema que entraba el avance de esta tecnología: el de la duración de la batería, ya que la emisión por radio gasta mucha y la carga por movimiento, aunque factible, es lenta.

Aún así, no deja de ser asombroso cómo evolucionan las cosas. Si alguno de los ilustres médicos que aparecen en las vetustas fotos que adornan los pasillos del Colegio levantara la cabeza y viera cómo han avanzado los tiempos...
Enlace permanente de imagen incrustada

A continuación, Josep Albors habló del famoso #BadUSB, recordando no lo solo afecta a pen drivers, sino a todo lo que se "pinche": discos externos, cámaras de fotos, etc. Entre las diversas maldades que pueden llegar por un puerto USB se encuentran: la suplantación de firmware (hacer ver al ordenador que lo que se pincha es un teclado, para que acepte los comandos que le envíe), falso eth0 (envía datos del equipo a una red controlada por el atacante); y, además, presenta persistencia: se infecta la controladora y, mediante ella, todo lo que se pinche después por eso puerto.

Aunque hay varias compañías afectadas, no considera que sea grave, salvo en el caso de ataques dirigidos. Y la mejor manera de protegerse es desactivando las actualizaciones de firmware.

Posteriormente, el CCN presentó una ponencia sobre las comunicaciones móviles seguras: recordando que código abierto no es equivalente a verificado, porque el examen del mismo es complejo; además, algunos dispositivos vienen con configuraciones de fábrica que los hacen vulnerables (como permitir que se asigne una zona de memoria no segura como segura). Guardar un documento importante en la nube, recurriendo a la autenticación en dos pasos, es un arma de doble filo, ya que quien consiga romperlo, sabrá además a qué persona (móvil) pertenece dicho documento.

Para terminar, mencionó algunas aportaciones del CCN en la seguridad móvil, como el nuevo terminal Tutus, las aplicaciones CCNDroid de borrado y cifrado y próxima aparición de una nueva guía para la arquitectura de referencia.

La última ponencia del módulo 2 corrió a cargo de Arbor Networks y versó sobre cómo mitigar los ataques de DDoS con ayuda de la operadora. Quedó claro que defenderse de un ataque volumétrico no es posible sin la ayuda de la operadora (con un centro de mitigación), pero sí es posible detectar y protegerse de los ataques de agotamiento de conexión. Por otra parte, el tráfico que venga cifrado siempre se tiene que parar en casa, con un dispositivo conectado en linea.

Logstalgia es una utilidad que te permite ver los log de acceso a tu servidor como si fueran una pantalla de arcade. Ayuda a localizar gráficamente los ataques de DDoS.

Tras el café, y de nuevo en la sesión plenaria, pudimos ver cómo Juan Garrido se daba un paseo por el directorio activo del Departamento del Tesoro yanqui con ayuda del Softerra LDAP browser. Y es que, la configuración por defecto del directorio activo de Windows, que se basa en ACL, concede permiso de lectura a usuarios sin privilegios. Navegando y googleando se puede encontrar información bastante interesante sobre los trabajadores. Incluso aunque las passwords de los usuarios estén cifradas, se pueden obtener sin mucha dificultad, ya que MS, por política de transparencia, publica un documento con la clave para descifrar las políticas de grupo.

Localizando al que imprime los billetes

Tras la mesa redonda "¿Qué aportan los proveedores de servicios e integradores a la Ciberseguridad Nacional?", vino la última ponencia, a cargo de ya habitual en estos saraos, Raul Siles que volvió a hablar, como en eventos anteriores, del problema de "congelación" de las actualizaciones iOS que, al parecer, Apple ha resuelto pero no del todo: si modifico la fecha de mi última actualización, poniéndola en un momento posterior a la verdadera, pero inmediatamente anterior al presente (y no del futuro, como hacía anteriormente), el ataque de Regreso al futuro sigue siendo posible. Y mientras Apple no lo arregle del todo (¿habrá un regreso al futuro III?), aquí nos quedan las sugerencias de Siles para protegernos (quien, como podemos ver, tampoco está de acuerdo con la definición de hacker dada por la RAE):


Y con esto y la clausura quedaron terminadas las octavas Jornadas STIC. ¿Queréis saber algo de lo que sucedió en los otros dos módulos? Pues, aunque no asistí a todo personalmente, de algo sí pude enterarme. Os lo cuento en la próxima entrega.

No hay comentarios:

Publicar un comentario

A penny for your thoughts