Publicidad

  Principal
· Home
· Archivo de Noticias
· AvantGo
· Buscar
· Contenido
· Encuestas
· Enviar Noticias
· Estadísticas
· Recomiéndanos
· Temas Activos
· Top 10

  Quién está en Línea
Actualmente hay 37 invitados, 0 miembro(s) conectado(s).

Eres un usuario anónimo. Puedes registrarte aquí

  Noticias Anteriores
Lunes, 26 julio
· Facebook celebra sus 500 millones de usuarios con ''Facebook Stories''
Viernes, 23 julio
· 4 cosas que debes saber sobre USB 3.0
· Portable Linux Apps, aplicaciones portables para Linux
· Firefox y Thunderbird Mejoran la seguridad
· Estudio: El software de Apple es el más inseguro
· Chrome 6 vendrá cargado de novedades
Jueves, 22 julio
· Twitter construirá un nuevo centro de datos para combatir la ''Fail Whale''
· ¿Es Meego el nuevo caballo de batalla del Software libre?
· GIMP 2.7.1
· Alianza de Canonical e IBM para ofrecer DB2
Miércoles, 21 julio
· Crece demanda de especialistas en informática forense
· ¿Quieres crearte un GIMP a medida?
· Partido Pirata sueco lanza su propio ISP Pirata
· Zuckerberg admite que trabajó con el hombre que quiere el 85% de Facebook
· Fin de la aventura de Google como vendedor de teléfonos con el Nexus One
· Firefox Home en la App Store
Viernes, 16 julio
· Proyecto Nodejs: Plataforma de software en ''tiempo real''
· Nueva versión del navegador Google Chrome: 6.0.466.0
· openSUSE 11.3 disponible
· Apple, Google y RIM también pujaron por Palm

Artículos Viejos

  English Version
Linuxpreview English

  Anuncios

MP3s, Música y Películas
Descarga música ahora.
Archivos MP3 ilimitados.
ArchivosCompartidos.com


  OPENBSD COLOMBIA
·Nuevo documento: Caso de estudio: AuthPF
·Liberada OpenBSD 4.7
·Día en contra del DRM

Leer más...

EVENTO: DISI 2006
EVENTO: DISI 2006




Primer Día Internacional de Seguridad de la Información (30 de noviembre de 2006, EUITT UPM de Madrid).
"A fondo: Amenazas y Vulnerabilidades"




Computer Security Day Poster - 2006 (Foto de www.computersecurityday.org)

El Computer Security Day nació a finales de los años 80 como un evento anual para dar una serie de recomendaciones a los usuarios de ordenadores, y se celebra el 30 de noviembre en todo el mundo de forma más o menos formal.

Hasta ahora, en España nunca se había celebrado este evento de forma oficial. Es por ello que la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI, en conjunto con ISSA Information Systems Security Association, decide organizar de forma oficial el Primer Día Internacional de Seguridad de la Información (DISI) en España, celebrado en la Escuela Universitaria de Ingenierí­a Técnica de Telecomunicación EUITT de la Universidad Politécnica de Madrid. Además, este evento nace con el compromiso de convertirse cada año en la referencia de la seguridad informática.

Este evento, dirigido tanto a profesionales como a no profesionales, está pensado sobre todo para los usuarios y aficionados a la informática en general, con el fin de hacerles llegar el mensaje sobre la importancia de la seguridad. Se han impartido una serie de conferencias sobre temas de gran interés, con un enfoque más coloquial y desenfadado, y un contenido más asequible para el público en general. Por lo tanto, estas conferencias resultan especialmente atractivas para las asociaciones y comunidades relacionadas con temas de informática, seguridad, software libre, etc.



En este edificio tuvo lugar la celebración del DISI (Foto de www.upm.es)

Por tanto, Linuxpreview.org ha querido estar en este evento para hacer llegar a la comunidad del software libre los consejos y exposiciones que allí se han llevado a cabo, así como para animar a todos a asistir a las próximas celebraciones.

Al DISI han asistido un centenar de personas, y ha sido patrocinado por la Asociación Multisectorial de Empresas Españolas de Electrónica y Comunicaciones (ASIMELEC), Afina, el Centro Criptológico Nacional (CCN), la revista Re@ Seguridad, la Asociación de Técnicos de Informática (ATI), la asociación Information Systems Security Association (ISSA), la Asociación de Ingenieros en Informática (AI2), Hispasec Sistemas y la revista Hakin9.

Apertura del DISI

A las 16h se ha inaugurado oficialmente este Primer Día Internacional de Seguridad de la Información, presentado por D. Jorge Ramió Aguirre -director de la Cátedra- y D. Javier Pagès -presidente de ISSA-.



La organización abre oficialmente el DISI

D. Jorge Ramió y D. Javier Pagès inauguran el DISI (Fotografía por gentileza de Emilia Pérez Belleboni)


D. Javier Pagès, presidente de ISSA (Fotografía por gentileza de Emilia Pérez Belleboni)

Ponencia 1: Formas de fraude en Internet.

Fue impartida por Jesús Cea Avión, de Hispasec Sistemas. Aunque se había previsto hablar sobre Técnicas de Phising, se consideró más adecuado hablar sobre fraude en Internet en general. La charla empezó comparando el ranking de incidencias que publican los medios de comunicación con los datos reales que manejan los profesionales de la seguridad. Mientras que la prensa coloca al phising como líder destacado, seguido por pharming, spam, keylogers, etc, la realidad es justo la contraria. El mayor número de incidentes se debe a los troyanos bancarios, y a mucha distancia los keylogers, phising, spam y otros. Los troyanos son los más extendidos y a la vez los más peligrosos, y sin embargo casi no se le hace publicidad.

También se comentaron las soluciones más comunes para evitar el fraude en Internet y su eficacia. Así por tanto, las famosas barras anti-phising han demostrado ser bastante ineficaces, así como los productos antivirus que necesitan firmas actualizadas para reconocimiento de código malicioso. Estas deficiencias se agravan con la existencia de rootkits que ocultan el troyano en el equipo infectado, resultando complicada la detección del mismo.

Otras soluciones más sofisticadas son el empleo de tarjetas de coordenadas de claves, teclados virtuales, cifrado javascript de las credenciales, autentificación de clave única, tokens seguros, etc. De todas formas, muchos de estos sistemas ya han sido vulnerados. Un ejemplo son los troyanos que hacen capturas de pantalla para leer las pulsaciones en los teclados virtuales.



Jesús Cea mostrando los procesos en un equipo infectado

El fraude en Internet está muy extendido y tiene una importancia capital, sobre todo en la Banca. También se ha hablado de la responsabilidad de los implicados en un fraude de este tipo, pues las propias entidades bancarias y por extensión todas las empresas que trabajen con transacciones electrónicas son responsables de la seguridad de sus sistemas.

Y para terminar, se ha hecho especial hincapié en la importancia de la participación del usuario para configurar sus equipos de forma segura, utilizando todas las herramientas a su alcance. Es fundamental no pulsar nunca sobre los enlaces que supuestamente nos llevan a la página segura, pues puede ser una trampa (por ejemplo los supuestos correos electrónicos del banco). Hay que escribir siempre la dirección en la barra de tareas, y estar muy pendiente de todas las acciones que se realizan. La conclusión es clara: "El enemigo es la ignorancia."

Ponencia 2: Honeynets.

"Si conoces a tu enemigo y a ti mismo, no tienes que temer el resultado de cien batallas. Si te conoces a ti mismo, pero no a tu enemigo, por cada victoria también sufrirás una derrota. Si no te conoces a ti mismo ni a tu enemigo, sucumbirás en cada batalla." (Sun Tzu - El Arte de la Guerra)

A continuación le tocó el turno a Raúl Siles Peláez, consultor independiente. Empezó comentando la problemática que existe en la recopilación de datos para análisis forense, pues los muchos y diferentes sistemas y redes que se implementan hacen realmente compleja la captura de datos fiables. Una de las soluciones más utilizadas son las Honeynets.

Las Honeypots, y en particular las Honeynets, son redes trampa que se colocan en diferentes puntos de la red real, con el fin de desviar, analizar y neutralizar los ataques al sistema.

La mayor ventaja de la Honeypot (conocidas en español como redes de miel) es que permite estudiar y analizar nuevos ataques con total seguridad para el sistema real. Todas las herramientas que trabajan sobre firmas de ataques son totalmente vulnerables a nuevas formas de ataque, además de poner en peligro el sistema a proteger.

Se expuso también el procedimiento de análisis de un ataque. Para tener total control sobre un ataque al sistema, es necesario averiguar quién, cómo, cuándo, dónde y porqué del ataque. Algunos datos son simples de descubrir, sin embargo otros son de una dificultad extrema. En cualquier ataque, el procedimiento a seguir es: captura de datos, contención del ataque y análisis del mismo.



Raúl Siles nos cuenta que el término Honeynets procede de Winnie the Pooh


Analizando las operaciones que realiza el atacante sobre el Honeynet

Como final de la ponencia, Javier Siles hizo algunas demostraciones de honeypots, usando una red basada en máquinas virtuales sobre VMWare. De esta forma, nos mostró cómo se detecta y analiza un ataque de vulnerabilidad overflow del servidor Samba.

Y por último, nos recordó que en la web del proyecto Honeyney (The Honeyney Proyect y Spanish Honeyney Proyect) podemos encontrar documentación, herramientas de análisis y entornos virtuales preparados para descargar y trabajar sobre ellos.



Algunos ejemplos prácticos usando Honeynets

Ponencia 3: Nuevos ataques en redes.

Esta ponencia correspondió a Gonzalo Álvarez Marañón, del Consejo Superior de Investigaciones Científicas (CSIC), y se centró en ataques web basados en vulnerabilidades de Ajax. En primer lugar introdujo al nuevo concepto de Web 2.0, que consiste más en una forma diferente de ver la web que en aspecto técnicos. La nueva Web 2.0 es una integración de la web en el escritorio, a la vez que se convierte en una herramienta colaborativa. Algunos ejemplos son los servicios de Google, Flicker, YouTube, blogs, wikipedia, etc.

En un aspecto más técnico, la Web 2.0 utiliza la tecnología Ajax, que consiste en javascript y XML transmitido conjuntamente de forma asíncrona. Ajax es un motor que permite peticiones asíncronas, basado en DOM, CSS, XML, XHTML y javascript, de tal forma que puede refrescar partes específicas de la página web. Ajax puede de esta manera romper el flujo habitual de navegación al que estamos acostumbrados. Ejemplos de esto son Gmail y Google Maps.

Una vez presentado Ajax, Gonzalo Álvarez nos muestra los nuevos problemas que genera su uso, que son el crossite scripting y los gusanos de "tecnología 2.0". El crossite scripting es un ataque dirigido a la máquina del cliente haciendo uso de la ejecución de javascript, y consiste básicamente en añadir código javascritp tras el enlace modificando la dirección original. De esta forma se puede conseguir que el cliente descarge información desde otro sitio con el fin de modificar el contenido de la web original que se ha solicitado. Incluso si el cliente envía datos a través de formularios, el código añadido puede capturar esos datos y enviarlos a otra dirección, por ejemplo el caso de spam de tipo bancario.

Los ataques de crossite scripting anteriores son del tipo no persistente. No obstante, puede darse el caso que mediante inyección de código se infecte el propio servidor (ataque de tipo persistente) y las consecuencias serían fatales.

Los "gusanos 2.0" son gusanos basados en Ajax, que explotan estas vulnerabilidades de Ajax y javascript. Son especialmente peligrosos en sitios web de grandes comunidades donde tienen una rápida propagación, con la ventaja añadida de que javascript es multiplataforma. En el caso de conseguir infectar un solo usuario de la comunidad, el código inyectado se propagaría a toda la lista de miembros causando una infección de proporciones descomunales.

Los métodos de protección que propone Gonzalo Álvarez son básicos. A nivel de usuario aconseja no pulsar nunca sobre un enlace que puede tener código añadido, mientras que en los servidores es necesario hacer fuertes auditorías y controles para detectar ataques de tipo persistente. Por otro lado, se aconseja a los desarrolladores de software de navegación no permitir la ejecución indiscriminada de javascript.



Gonzalo Álvarez empezando la ponencia sobre ataques Web

Un gusano basado en Ajax infecta 1 millón de equipos en 20 horas

Ponencia 4: La Mente de un Hacker: consideraciones psicológicas y técnicas.

Tras un merecido descanso para tomar café, donde tuvimos ocasión de seguir charlando sobre todo tipo de temas, volvimos con la esperada charla de Jeimy Cano Martínez de la Universidad de los Andes y Banco de la República de Colombia. Jeimy Cano es un orador realmente impresionante, con una capacidad asombrosa para transmitir y mantener al público en vilo. Durante toda la ponencia estuvo de un lado a otro de la sala, relatando, preguntando, implicando al público, efusivo a veces, ingenioso casi siempre, y sobre todo marcando en cada momento el ritmo de la charla. Sin duda hay que estar en la sala para disfrutar de esta ponencia en toda su extensión...

Jeimy Cano habló extensamente sobre el fenómeno hacker, marcando diferencias desde el primer momento entre un hacker en el sentido estricto de la palabra y un delincuente digital, contra quienes arremetió duramente. Analizó los aspectos psicológicos de los hackers, de quienes dice que son "mentes inseguras", entendiendo como tal aquellas mentes inquietas que desconfían de la verdad de todo lo establecido y necesitan descubrir por sí mismo cómo se comportan de verdad las máquinas y los sistemas.

Se hace un recorrido por la historia del fenómeno hacker, que nació en los laboratorios del MIT, y del que formaron parte personas como Dennis Ritchie, Ken Thompson, Robert Morris, Kevin Mitnick, etc. Además se analizan los aspectos de tipo psicológico más comunes, destacando especialmente una gran motivación, creatividad y un pensamiento de tipo circular.

Y para terminar la ponencia, nada mejor que hacerlo con una frase brillante. Las últimas palabras de Jeimy Cano: "¿Quieren ser hackers? Aprendan a desaprender."



Jeimy Cano durante la ponencia sobre la mente del hacker

Jeimy Cano (Fotografía por gentileza de Emilia Pérez Belleboni)

Ponencia 5: Protección EM/EMC: Una aproximación a TEMPEST.

Fernando Bahamonde, Vicepresidente de ISSA-España, nos obsequió con una inquietante charla sobre TEMPEST. Según la definición de Wikipedia, TEMPEST es el acrónimo de Transient ElectroMagnetic Pulse Emanation STandard, una serie de estándares del gobierno estadounidense desarrollados desde los años 50 para limitar las radiaciones eléctricas y electromagnéticas de equipamiento electrónico: estaciones de trabajo, cables de red, monitores... con la finalidad de evitar el acceso no autorizado a datos confidenciales a través de las radiaciones que el hardware emite.

TEMPEST tuvo su origen en la época de la Guerra Fría, y aunque ha sido desclasificado parcialmente, quedan muchos documentos que todavía forman parte de los archivos secretos del gobierno de EEUU.

Fernando Bahamonde expuso con detalle la facilidad con la que un equipo electrónico adecuado es capaz de capturar los datos a través de las radiaciones electromagnéticas que emite cualquier elemento de un sistema informático, ante el creciente asombro y -por qué no- preocupación de todos los oyentes. Cualquier elemento electrónico como un monitor, un modem, un teclado, un ratón, incluso un simple cable de red, emiten una señal de tipo electromagnético que es perfectamente captada, aislada y analizada.

Se denomina ataque de eavesdropping al sniffing de un elemento radiante. Los servicios gubernamentales que poseen equipos sofisticados para tal fin son capaces de capturar datos procedentes de una fuente a dos kilómetros de distancia. Si bien los equipos profesionales son altamente costosos y difíciles de conseguir, existen equipos mucho más limitados capaces de hacer eavesdropping a distancias bastante aceptables de 20-30 metros.

Tampoco ayudó a tranquilizar al público la exposición sobre los ataques de anulación de sistemas utilizando las misma técnica. En este punto de la charla se mencionaron los sistemas de uso militar que se utilizan para realizar estos ataques, tales como los rifles direccionales EMP y las bombas electrónicas EMP.



Fernando Bahamonde introducciendo a TEMPEST

Cualquier edificio con sistemas informáticos está lleno de puntos de emisión susceptibles de ataques

TEMPEST no solamente existe para evitar ataques de este nivel, sino que también ofrece protección ante Pulsos EM procedentes de descargas atmosféricas o explosiones nucleares.

Por último, para asegurar la protección se propone el uso de blindajes EM de instalaciones (por ejemplo jaulas de Faraday), técnicas de atenuación de señales y utilización de tecnología no radiante.

Ponencia 6: Blind SQL Injection.

Para la última ponencia, debido a la cancelación de charla prevista inicialmente, y para mantener el nivel de preocupación de los asistentes, nada mejor que una sesión de hacking (en el sentido estricto de la palabra) en directo. Chema Alonso, MVP de Microsoft Windows Server Security y director técnico de la empresa Informática 64, fue el encargado de esta charla.

Empezó haciendo una introducción a las vulnerabilidades debidas a la inyección de código SQL, hablando de los peligros de mantener servidores con fallos de seguridad de este tipo.

Luego, pasando a la parte práctica, realizó numerosas demostraciones de inyección de código SQL, demostrando que se puede obtener información parcial o total sobre la estructura y los contenidos de la base de datos SQL, explotando vulnerabilidades existentes y fallos de seguridad debidos a mala programación.



Chema Alonso habla sobre las vulnerabilidades web a causa del SQL Injection

Tambien mencionó numerosas páginas web de conocido prestigio que adolecen de graves fallos de seguridad, y que podrían ser explotados por un atacante que descubra dichas vulnerabilidades. Esto además deja al descubierto la mala gestión que en general se hace de la seguridad informática, donde las empresas no consideran necesario gastar grandes cantidades de dinero en seguridad y lo consideran un problema secundario. Chema Alonso, en base a su experiencia como consultor de seguridad, aprovecha para denunciar esta situación de riesgo que existe en muchos sistemas informáticos, y en concreto aquellos que trabajan con transacciones comerciales y por tanto con datos sensibles de los usuarios.



Acto de clausura, aplausos y a cenar que es tarde...

Conclusiones y clausura del DISI

A las 21h aproximadamente, con la presencia de D. Jorge Ramió Aguirre, D. Javier Pagès y D. Justo Carracedo Gallardo, Director de la Escuela Universitaria de Ingeniería Técnica de Telecomunicación de la UPM, se ha clausurado el Primer Día Internacional de Seguridad de la Información, con los objetivos cumplidos y gran satisfacción por parte del público.

Las conclusiones que hemos sacado de este evento son que el mensaje sobre la seguridad está llegando cada vez a más gente, y que a nivel de profesionales del sector se empiezan a hacer bien las cosas por fin. No obstante, nos queda todavía un largo camino por recorrer en temas de seguridad informatica.

Y por último, mostrar nuestro agradecimiento a la Organización del DISI por su colaboración en la realización de este artículo, y en especial a D. Jorge Ramió Aguirre por la revisión del texto y las aportaciones al mismo.



Página web de la Cátedra de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI.
Desde la sección Ponencias DISI 06 del Menú de la web pueden descargarse las seis presentaciones realizadas en DISI '06.
http://www.capsdesi.upm.es

Para ampliar información se pueden consultar los siguientes enlaces:
"El Congreso Iberoamericano de Seguridad pide constante vigilancia y actualización" - Artículo en ELPAIS.com
"La mente de un hacker" - Blog de Mercè Molist
"Un Magistrado del Supremo pide más cursos de Internet para Jueces y Fiscales" - Blog de Mercè Molist)


Artículo realizado por Gonav para Linuxpreview.









Copyright © por Linux Preview: Sitio Web para el Usuario Serio de Linux Derechos Reservados.

Publicado en: 2006-12-28 (3341 Lecturas)

[ Volver Atrás ]
 

Powered by: OzWebFX