proyectos linuxDISI

82 Linux+ 11/2008

DISI

linux

@so

ftwar

e.co

m.p

lDía Internacional de Seguridad de la InformaciónDomingo González Navarro

La sociedad tradicional está sufriendo una evolución en su forma de funcionar, hacia un nuevo modelo basado en las Tecnologías de la Información (TI), que se han convertido en el

nuevo motor de desarrollo económico y social. La creación y distribución de información constituyen el centro neurálgico de la mayor parte de las actividades asociadas a los sectores culturales y económicos, adquiriendo una importancia vital en este nuevo modelo de progreso que trasciende fronteras.

En la Cumbre Mundial sobre la Sociedad de la Informa-ción (CMSI), celebrada en Ginebra en el año 2003, se esta-blece como declaración de principios que la construcción de una Sociedad de la Información debe estar centrada en la per-sona, ser integradora y orientada al desarrollo, en que todos puedan crear, consultar, utilizar y compartir la información y el conocimiento, para que las personas, las comunidades y los pueblos puedan emplear plenamente sus posibilidades en la promoción de su desarrollo sostenible y en la mejora de su calidad de vida, sobre la base de los propósitos y principios de la Carta de las Naciones Unidas y respetando plenamente y defendiendo la Declaración Universal de Derechos Huma-nos.

Cátedra UPM Applus+:un poco de historiaAños atrás tuve ocasión de conocer al Dr. Jorge Ramió, cuan-do estaba germinando un ambicioso proyecto que más tarde se convertiría en la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI. He tenido por lo tanto el privilegio de ser testigo de excepción del nacimiento y evolución de la Cátedra hasta convertirse en muy poco tiempo en un referente nacional sobre Seguridad Informática y TI. La Cátedra UPM Applus+, dirigida por D. Jorge Ramió Aguirre, se presentó ofi cialmente el 23 de mayo de 2006, y nació con la misión de contribuir al desarrollo de la llamada Sociedad de la Información a través de la difusión de los conocimientos necesarios sobre seguridad y otros as-pectos sobre la calidad de la información.

Para ello se plantea como tareas preferentes la realiza-ción de proyectos de investigación y actividades de forma-ción en los ámbitos académico, empresarial y administrativo, inicialmente en los países del ámbito Iberoamericano.Y por supuesto es fundamental la función social que adquiere, imprescindible para conseguir un desarrollo sostenible de la Sociedad de la Información.

El Día Internacional de Seguridad de la Información (DISI) es uno de los más El Día Internacional de Seguridad de la Información (DISI) es uno de los más El Día Internacional de Seguridad de la Información (DISI) es uno de los más El Día Internacional de Seguridad de la Información (DISI) es uno de los más importantes eventos sobre Seguridad Informática y Sociedad de la Información importantes eventos sobre Seguridad Informática y Sociedad de la Información importantes eventos sobre Seguridad Informática y Sociedad de la Información importantes eventos sobre Seguridad Informática y Sociedad de la Información que se celebran en España. La tercera edición de este congreso se celebrará que se celebran en España. La tercera edición de este congreso se celebrará que se celebran en España. La tercera edición de este congreso se celebrará que se celebran en España. La tercera edición de este congreso se celebrará en breve, con la presencia destacada de Radia Perlman, considerada como la en breve, con la presencia destacada de Radia Perlman, considerada como la en breve, con la presencia destacada de Radia Perlman, considerada como la en breve, con la presencia destacada de Radia Perlman, considerada como la Madre de Internet. Promete ser un congreso apasionante, dedicado a Internet, el Madre de Internet. Promete ser un congreso apasionante, dedicado a Internet, el Madre de Internet. Promete ser un congreso apasionante, dedicado a Internet, el Madre de Internet. Promete ser un congreso apasionante, dedicado a Internet, el cómputo forense y el Cibercrimen.cómputo forense y el Cibercrimen.cómputo forense y el Cibercrimen.cómputo forense y el Cibercrimen.

DISIproyectos linux

DISI

83www.lpmagazine.org

Iniciando su labor formativa y de difusión, la Cátedra UPM Applus+ organizó en junio de 2006 el Primer Seminario de Seguridad en el Sector Financiero. Meses después, en noviem-bre, se organizó conjuntamente el Primer Con-greso de la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información, y el Primer Día Internacional de la Seguridad de la Información. El DISI se organizó como el obje-tivo de ser la versión española del Computer Se-curity Day, un evento que nació a fi nales de los años 80 para dar una serie de recomendaciones a los usuarios de ordenadores, y que se celebra el 30 de noviembre internacionalmente. Durante el año 2007, la Cátedra UPM Applus+ organizó la celebración de una edición de las Conferencias FIST sobre sobre seguridad de la información y tests de intrusión, celebrada en el mes de septiembre. Y fi nalmente para terminar el año, se celebró la segunda edición del Día de la Seguri-dad de la Información. Este año ha organizado el Primer Seminario CAPSDESI sobre Mayores y Acceso Seguro a la Sociedad de la Información. Y en estos momentos, la Cátedra está ultimando los detalles para la celebración del DISI 2008, que tendrá lugar el próximo 1 de diciembre.

Recordando el DISI 2006. A fon-do: amenazas y vulnerabilidadesBajo este lema se celebró el Primer Día In-ternacional de Seguridad de la Información, que tuvo lugar en noviembre de 2006 en la Escuela Universitaria de Ingeniería Técnica de Telecomunicación EUITT de la Universidad Politécnica de Madrid, igual que el resto de ediciones. El evento tuvo una marcada función divulgativa, dirigido tanto a profesionales como a no profesionales, ofreciendo una serie de conferencias con un enfoque coloquial y desenfadado, y un contenido asequible para el público en general.

Formas de fraudeen Internet: el peligro está ahí fueraDurante esta charla, a cargo de Jesús Cea Avión, de Hispasec Sistemas, se hizo un re-corrido por los diferentes riesgos que acechan a cualquier internauta. Aunque los medios de comunicación sitúan al phishing como líder destacado, la realidad es muy distinta, donde el mayor número de incidentes se deben a los troyanos bancarios, y a mucha distancia los keylogers, phishing, spam y otros. Son sin duda los troyanos los más extendidos y a la vez los más peligrosos, responsables de frau-des millonarios. Las soluciones comunes para evitar el fraude en Internet han resultado ser de escasa efi cacia, como las barras anti-phishing o los productos antivirus, basados en fi rmas

actualizadas para reconocimiento de código malicioso. Además, la situación se complica con la existencia de rootkits que ocultan el troyano en el equipo infectado, difi cultando así la detección del mismo. Existen sistemas más sofi sticados como el empleo de tarjetas de coordenadas de claves, teclados virtuales, cifra-do javascript de las credenciales, autenticación de clave única o tokens seguros, que permiten aumentar la seguridad de las operaciones. No obstante algunos ya han sido vulnerados, como es el caso de los troyanos que hacen capturas de pantalla para leer las pulsaciones en los teclados virtuales. Resulta fundamental por tanto extremar las precauciones y operar sobre plataformas seguras en la medida de lo posible. El papel del usuario es determinante en el éxito o el fracaso del fraude en Internet.

Honeynets: conociendo al enemigoSi conoces a tu enemigo y a ti mismo, no tienes que temer el resultado de cien batallas. Si te co-noces a ti mismo, pero no a tu enemigo, por ca-da victoria también sufrirás una derrota. Si no te conoces a ti mismo ni a tu enemigo, sucumbirás en cada batalla. (Sun Tzu - El Arte de la Guerra). También resultó interesante la ponencia de Raúl Siles Peláez sobre las Honeynets y el análisis fo-rense. Se comentó la problemática que existe en la recopilación de datos para análisis forense de-bido a la complejidad y cantidad de información que debe ser procesada. Para facilitar este traba-jo se recurre a soluciones como las Honeynets. Las Honeypots, y en particular las Honeynets, son redes trampa que se colocan en diferentes puntos de la red real, con el fi n de desviar, anali-zar y neutralizar los ataques al sistema.

La mayor ventaja de la Honeypot (cono-cidas en español como redes de miel, cuyo nombre procede del personaje Winnie the Po-oh) es que permite estudiar y analizar nuevos

ataques con total seguridad para el sistema real. En cualquier ataque, el procedimiento a seguir es: captura de datos, contención del ataque y análisis del mismo. Durante el análisis de un ataque al sistema es necesario identifi car a ata-cante y averiguar los motivos y procedimiento del ataque. Para los interesados en implantar o conocer el funcionamiento de los Honeynets, se puede recurrir al proyecto Honeyney (The Honeyney Proyect [4] y Spanish Honeyney Proyect [5]), en cuya web podemos encontrar documentación, herramientas de análisis y entornos virtuales preparados para descargar y trabajar sobre ellos.

Nuevos ataques en redes: la Web 2.0 en el punto de miraGonzalo Álvarez Marañón, del Consejo Su-perior de Investigaciones Científi cas (CSIC), impartió una charla sobre ataques web basados en vulnerabilidades de Ajax. La nueva Web 2.0 es una integración de la web en el escritorio, a la vez que se convierte en una herramienta co-laborativa, como es el caso de Google, Flicker, YouTube o Wikipedia. Técnicamente la Web 2.0 utiliza la tecnología Ajax, que consiste en javascript y XML transmitido conjuntamente de forma asíncrona. Ajax es un motor que per-mite peticiones asíncronas, basado en DOM, CSS, XML, XHTML y javascript, de tal forma que puede refrescar partes específi cas de la página web. Los mayores peligros a los que se enfrenta Ajax son el crossite scripting y los gu-sanos de tecnología 2.0. El crossite scripting es un ataque no persistente dirigido a la máquina del cliente que consiste básicamente en añadir código javascritp tras el enlace modifi cando la dirección original. Las consecuencias son im-portantes, ya que el usuario puede enviar datos sensibles (a través de formularios por ejemplo) hacia una dirección falsa.

Figura 1. Honeynets (D. Raúl Siles)

AV

Solución: HoneynetsDetección, análisis y respuesta

Honeynets - © 2006 Raúl Siles

VPNs

Perimetro

Clientes remotos

Múltiples clientes

FW

DMZ

IDS

84

proyectos linuxDISI

Linux+ 11/2008

DISI

Los llamados gusanos 2.0 explotan estas gusanos 2.0 explotan estas gusanos 2.0vulnerabilidades de Ajax y javascript. En sitios web de grandes comunidades son especialmen-te peligrosos, pues permiten una rápida propa-gación multiplataforma con solamente infectar un solo usuario de la comunidad. Este fue el caso del Gusano Samy, que en octubre de 2005 provocó en MySpace la infección de más de un millón de usuarios en 20 horas.

Las soluciones ante tales riesgos son como siempre la cautela por parte del usuario, y con-cienciar a los desarrolladores de software de navegación para que no permitan la ejecución indiscriminada de javascript.

La Mente de un Hacker: el show de Jeimy CanoLa esperada charla de Jeimy Cano no defraudó a nadie. Jeimy, de la Universidad de los Andes y Banco de la República de Colombia, es un orador innato y con una capacidad asombrosa para mantener al público en vilo. Durante toda la ponencia estuvo moviéndose por la sala, implicando y motivando al público, ingenioso siempre, y marcando en cada momento el ritmo de la charla.

En la exposición, Jeimy Cano habló exten-samente sobre el fenómeno hacker, establecien-do la diferencia existente entre un hacker en el sentido estricto de la palabra y un delincuente informático, contra quienes arremetió con dure-za. Psicológicamente, caracterizó a los hackers como mentes inseguras, en el sentido de aque-llas mentes inquietas que desconfían de la ver-dad de todo lo establecido y necesitan descubrir por sí mismo cómo se comportan de verdad las máquinas y los sistemas. Además, suelen des-tacar especialmente por una gran motivación, creatividad y un pensamiento de tipo circular. En este ámbito mencionó a grandes conocidos como Dennis Ritchie, Ken Thompson, Robert

Morris o Kevin Mitnick. Jeimy terminó la charla con una frase brillante que resume toda la esencia: ¿Quieren ser hackers? Aprendan a desaprender.

Protección EM/EMC:descubriendo TEMPESTEsta conferencia fue un regalo para los amantes de la seguridad de alto nivel. Fernando Baha-monde, Vicepresidente de ISSA-España, nos habló de TEMPEST (Transient ElectroMag-netic Pulse Emanation STandard), una serie de estándares del gobierno estadounidense, parcialmente desclasifi cados, creados para limitar las radiaciones eléctricas y electromag-néticas de equipamiento electrónico, y evitar así el acceso a datos confi denciales capturando dichas radiaciones. Básicamente propone el uso de blindajes EM de instalaciones (por ejemplo jaulas de Faraday), técnicas de atenuación de señales y utilización de tecnología no radiante. TEMPEST [6] también ofrece protección ante Pulsos EM procedentes de descargas atmosfé-ricas o explosiones nucleares.

Ante el asombro y preocupación de todos los presentes, se mostró la facilidad con la que un equipo adecuado es capaz de capturar los datos a través de las radiaciones electromag-néticas que emite cualquier elemento de un sistema informático, que son perfectamente captadas, aisladas y analizadas. El sniffi ng de un elemento radiante (conocido como ataque de eavesdropping), es utilizado principalmente por los servicios gubernamentales, con equipos so-fi sticados capaces de capturar datos proceden-tes de una fuente a dos kilómetros de distancia. No obstante, aunque los equipos profesionales son altamente costosos y difíciles de conseguir, existen dispositivos mucho más limitados capaces de realizar eavesdropping con éxito a distancias de 20-30 metros.

De la misma forma se llevan a cabo ataques de anulación de sistemas, principalmente para uso militar utilizando rifl es direccionales EMP y bombas electrónicas EMP.

Blind SQL Injection:Al descubierto la seguridad de la WebEl DISI 2006 terminó con una interesante sesión de hacking en directo. Chema Alonso, MVP de Microsoft Windows Server Security y director técnico de la empresa Informática 64, fue el encargado de mostrar las vulnerabi-lidades debidas a la inyección de código SQL, realizando además numerosas demostraciones de inyección de código SQL. Demostró que es posible obtener información parcial o total sobre la estructura y los contenidos de la base de datos SQL, explotando vulnerabilidades existentes y fallos de seguridad debidos a mala programación. También se mencionó el caso de numerosas páginas web de conocido prestigio que adolecen de graves fallos de seguridad casi permanentes, y que podrían ser explotados por un atacante que descubra dichas vulnerabilida-des. Chema Alonso, para fi nalizar, aprovechó para denunciar esta situación de riesgo que existe en muchos sistemas informáticos, y principalmente aquellos que operan con tran-sacciones comerciales y con datos sensibles de los usuarios.

DISI 2007: Jaque a la criptografía mundialA esta segunda edición del DISI, después del éxito obtenido en la primera, asistieron más de trescientas personas, y contó con un cartel de lujo, que si bien resulta difícil destacar un po-nente sobre los otros, es justo reconocer que ha brillado con luz propia el Dr. Martin Hellman de la Universidad de Stanford. En esta ocasión, el evento fue retransmitido por video streaming a través de Internet.

Conferencia Inaugural: A Fool's Errand: Inventing Public Key CryptographyLa esperada conferencia inaugural del DISI 2007 fue impartida por el Dr. Martin Hellman, Profesor Emérito de Ingeniería Eléctrica de la Universidad de Stanford (Estados Unidos), in-ventor de la criptografía de clave pública junto a Whitfi eld Diffi e y Ralph Merkle.

En la charla A Fool's Errand: Inventing En la charla A Fool's Errand: Inventing En la charlaPublic Key Cryptography (Public Key Cryptography (Public Key Cryptography Una empresa des-cabellada: inventando la criptografía de clave pública), el Dr. Hellman relató en primera per-sona cómo llegó a plantearse contra corriente la creación de un nuevo sistema criptográfi co, qué personas estuvieron implicadas y el trabajo realizado hasta llegar al éxito fi nal que todos

Figura 2. Inauguración de DISI 2007, con D. Ramón Capellades, D. Justo Carracedo, D. Javier Uceda, Dr. Martin Hellman y D. Jorge Ramió (Emilia Belleboni)

DISI

85

proyectos linuxDISI

www.lpmagazine.org

conocemos. Fue una exposición emocionante como pocas, plagada de numerosas anécdotas, con el aliciente de lujo de ser contada por el propio protagonista de la historia, y que hizo las delicias de todos los presentes.

Su interés por la criptografía le llevó a plantearse investigar por su cuenta nuevos sis-temas criptográfi cos, sin embargo se encontró con una resistencia que no esperaba.

Por un lado sus propios colegas le trataron de loco, avisándole que sus esfuerzos iban a ser inútiles. En esa época, la investigación criptográfi ca estaba monopolizada por la NSA (Agencia de Seguridad Nacional de Estados Unidos) e investigadores asociados, en un prestigioso círculo cerrado de genios difícil de entrar. Uno de los argumentos que esgrimían en contra de este proyecto descabellado de Hellman era que si ese grupo selecto no había conseguido durante años mejoras sustanciales en los sistemas de cifrado, y mucho menos revolucionarias, las probabilidades de éxito de Martin Hellman eran prácticamente nulas.

Y por otro lado, cuando a pesar de todo decidió continuar adelante, las presiones y controles que sufrió por parte de la NSA fueron constantes, sobre todo cuando sus avances eran lo sufi cientemente peligrosos como para poner nerviosos a los que hasta ahora controlaban la criptografía.

Hellman, durante toda la charla hizo especial énfasis en que era justo y necesario reconocer el mérito de todos los implicados en la creación del sistema de clave pública (co-nocido mundialmente como Diffi e-Hellman), y no solamente los que fi guran ofi cialmente como inventores. En este sentido, el sistema de clave pública debería llamarse Diffi e-Hellman-Merkle, pues tanto Whitfi eld Diffi e como Ralph Merkle tuvieron una importancia fundamental en el desarrollo del mismo. Además, Hellman hizo un pequeño homenaje a otros investigado-res cuyos trabajos fueron esenciales para llevar a buen fi n el sistema de clave pública, como son John Gill, Steve Pohlig, Richard Schroep-pel, Loren Kohnfelder, Taher ElGamal y Claus Schnorr. Finalmente, mirando hacia el futuro inmediato de la criptografía, el Dr. Hellman re-comendó encarecidamente cambiar a sistemas de criptografía de curva elíptica (ECC). El mo-tivo se debe a que la efi cacia cada vez mayor de los ataques obliga al aumento de longitud de las claves RSA a 2048/4096 bits, lo que se traduce en tiempos de computación ya importantes. La mayor ventaja del algoritmo de curva elíptica es su mayor rendimiento computacional, a la vez que tiene una buena robustez. Resultó inevi-table hablar sobre la criptografía cuántica, tan enigmática como desconocida. En opinión de

Hellman, si se consiguen los objetivos, no sería viable en un período inferior a 10 años, y su implantación defi nitiva en 20 años. Los asisten-tes realizaron además preguntas sobre la NSA, como las restricciones impuestas a la longitud de claves, la posible existencia de puertas falsas y otras suspicacias razonables.

Conferencia Invitada: Avances en la factorización enteraLa siguiente conferencia, siguiendo la temática con la que se había iniciado este DISI, corrió a cargo del Dr. Hugo Scolnik, Profesor de la Universidad de Buenos Aires (Argentina). Esta charla, enfocada desde un punto de vista puramente matemático, obligó a los presentes a mantener su atención al máximo, para poder seguir los numerosos desarrollos matemáticos que mostraba Scolnik.

Aunque para aprovechar al máximo la po-nencia era necesario un nivel matemático ele-vado y unos fundamentos teóricos sólidos sobre criptografía, que no estaban al alcance de todos, nadie quedó indiferente a la importancia de la investigación que está llevando a cabo el Dr. Scolnik. De hecho, un año después de su inter-vención, han corrido ríos de tinta en ambientes especializados sobre dicha investigación.

La mayor parte de la criptografía mundial actual se basa en el algoritmo de cifrado RSA, que utiliza el producto de dos números primos de gran tamaño para el cifrado de un mensaje. La seguridad de este algoritmo se basa en la difi cultad de factorizar el número obtenido, es decir, en la obtención de los dos números pri-mos originales. El tiempo computacionalmente elevado -del orden de miles de millones de años con los equipos actuales- necesario para factorizar un número, hace inviable invertir el proceso de cifrado sin la clave original, siempre

desde un punto de vista probabilístico. Aquí es donde entra en juego la tesis de investigación que está dirigiendo Scolnik, en la que que se está desarrollando un método de factorización de números enteros que reduce en varios ór-denes de magnitud el tiempo necesario. En esta charla se presentó el estado actual de la investigación y los resultados conseguidos hasta ahora. Sin intención de entrar en exposiciones complejas, los fundamentos teóricos del método desarrollado por el Dr. Scolnik y su equipo se basan en aplicar recursivamente el método de Fermat, utilizado para la obtención de números expresables en la forma n+x^2 = y^2, siendo n el objetivo a factorizar. Se defi ne entonces el concepto de “target” como una terna de núme-ros enteros (a,b,c) que cumplen que x^2=a+c*t, y^2=b+c*u. De acuerdo con este planteamiento, se obtienen targets únicos, dobles, triples, etc para cada n. Sin embargo, se demuestra que siempre existen targets únicos para n impar, en cuyo caso se puede defi nir un número delta, obtenido de (n+a-b)/c, que también es un entero. Llegados a este punto, se parte del número delta como nuevo objetivo a factorizar, aplicando de igual forma el método de Fermat.

Actualmente existen limitaciones importan-tes en este método, pues solamente es aplicable para valores determinados de n, tiene serias difi cultades con factores no próximos, y además algunas ramas generadas a partir de un número delta no son correctas. En el estado actual de la investigación, Scolnik está desarrollando fi ltros para detectar y descartar las ramas no correc-tas, que están dando resultados satisfactorios. También se está trabajando en otras líneas de investigación que podrían producir avances im-previstos. El Dr. Scolnik alternó la exposición teórica con demostraciones prácticas usando el software que han desarrollado durante la tesis, y

Figura 3. Dr. Martin Hellman durante su ponencia (D. Rubén de Diego)

86

proyectos linuxDISI

Linux+ 11/2008

DISI

que implementa los algoritmos de factorización y los diferentes fi ltros que se están aplicando. A pesar del mucho camino que queda por re-correr en esta investigación, se han conseguido logros importantes como el RSA640, y algunos avances signifi cativos en la factorización de RSA1024. De cualquier forma, la simple obten-ción de un número delta como nuevo objetivo, cuyo valor puede ser inferior en varios órdenes de magnitud, reduce drásticamente el tiempo del ataque, hecho que por sí mismo es un éxito indiscutible y un avance peligroso para la segu-ridad del algoritmo. Scolnik coincidió con el Dr. Martin Hellman en aconsejar la sustitución de RSA por los algoritmos de curva elíptica, no sin antes destacar que los ataques a este nuevo algoritmo todavía son escasos, por lo que está por verifi car su seguridad. También mostró su desconfi anza sobre la computación cuántica, considerando que falta aún por confi rmar el funcionamiento de las máquinas cuánticas y la validez del algoritmo de Shor, del que duda su propio inventor. Otro dato que confi rmó el Dr. Scolnik fue la aproximación del rendimiento de los algoritmos de criptoanálisis por software al rendimiento de las máquinas dedicadas, lo que unido a la posibilidad de paralelizar los ataques basados en el número delta, deja al algoritmo RSA en un lugar muy vulnerable. Respecto a las consecuencias de la posible rotura del cifrado RSA, Scolnik reconoció su preocupación y aseguró que se trataría de un problema social muy grave.

Es necesario resaltar encarecidamente la importancia de los avances en la factorización de números enteros. La capacidad intelectual y experiencia profesional de las personas im-plicadas en la investigación puede dar lugar en cualquier momento a avances cualitativos, sin contar con la imprevisibilidad inherente a cualquier genialidad matemática que podría de-

jar tocado de muerte el actual algoritmo RSA. Ahora mismo ya se está trabajando en ataques al RSA1024, con el RSA2048 en el horizonte. Las aplicaciones que hacen uso de estas longi-tudes de clave son entre otros el DNI electró-nico, certifi cados digitales, chips inteligentes, y por supuesto todo el sistema de clave pública actual. La seguridad de todos estos sistemas vitales para la sociedad moderna está en este mismo momento en el punto de mira, motivo más que sufi ciente para empezar a realizar una valoración de riesgos sin mucha demora. Y hay que recordar que, aunque improbable ahora mismo, si se produce la rotura del algoritmo las consecuencias van a ser fulminantes, con carác-ter retroactivo y sin tiempo para reaccionar. Y esto es de una gravedad mayor si tenemos en cuenta que podríamos no disponer actualmente de ninguna alternativa viable, si la seguridad del algoritmo ECC se demostrara insufi ciente en cuanto se convirtiese en el objetivo principal de los ataques.

Foro debate: Investigación y sociedadEste foro debate, con intervención del público asistente, abrió la fase interactiva del evento. Los participantes fueron el Dr. Martin Hellman, el Dr. Hugo Scolnik y el Dr. Gonzalo León, Vi-cerrector de Investigación de la UPM.

El Dr. Gonzalo León introdujo el tema de debate, reconociendo que el progreso de la sociedad depende por igual de los tres ejes del llamado Triángulo del Conocimiento, formado por las Universidades, las Empresas y los Go-biernos. Propuso crear políticas que ayuden a integrar estos tres elementos y que trabajen coordinados y con objetivos comunes. Además, remarcó el papel fundamental de las Universi-dades como responsables de la formación, el fomento de la investigación y desarrollo, y la inculcación de una perspectiva social impres-

cindible para la integración de los profesionales en la sociedad.

El Dr. Scolnik hizo un discurso autocrítico como miembro de la comunidad universitaria, donde se lamentó de la pérdida de perspectiva social en el ámbito de la investigación. En su opinión, actualmente la comunidad investiga-dora de las Universidades valora el éxito de los trabajos realizados en función de parámetros artifi ciales, como la existencia de resultados atractivos o artículos de divulgación, necesarios para obtener fi nanciación. Asimismo, Scolnik hace una enérgica llamada de atención frente a la situación inmovilista actual, que constituye un problema estructural de las Universidades modernas, y a consecuencia del cual numerosas investigaciones están orientadas a la obtención de méritos personales dejando de lado las ne-cesidades reales de la sociedad. Por su parte, el Dr. Martin Hellman, desde su posición como in-vestigador socialmente comprometido, expresó también su convencimiento sobre la importancia de relacionar la investigación y los objetivos es-tablecidos para el progreso de la sociedad. Tam-bién fue unánime la opinión de todos sobre el fracaso del modelo multidisciplinar en la resolu-ción de problemas complejos. La fragmentación de tareas, y por tanto de responsabilidades, está impidiendo una visión global de los problemas y las necesidades de la sociedad, traduciéndose en soluciones parciales descoordinadas y muchas veces incompatibles entre sí.

Protección de datos en la Sociedad de la Información: nuevas obligaciones y responsabilidadesD. Artemi Rallo Lombarte, Director de la Agencia Española de Protección de Datos (AEPD) [9], habló de la importancia de la pro-tección de datos para mantener la privacidad en la nueva Sociedad de la Información, y la necesidad de alcanzar un equilibrio adecuado entre el derecho a la privacidad y el derecho a la información, ambos fundamentales en la actual Sociedad del Conocimiento. También hizo nu-merosas referencias a la Ley Orgánica de Pro-tección de Datos (LOPD) que es la normativa reguladora actual en este ámbito, y las futuras reformas previstas para adaptarla a la situación actual. Se resaltó además la responsabilidad de las empresas y organismos en la protección de datos, teniendo la obligación ética y legal de garantizar la privacidad de los datos sensibles que disponen, y destacó el papel de la AEPD como organismo sancionador. En este sentido el Sr. Rallo aludió a las sanciones impuestas a algunas empresas y organismos por la puesta a disposición involuntaria de datos en Internet, así como la gravedad de estos casos específi -

Excelente nivel de los conferenciantes y ponentes invitados, de sus presentaciones, de los interesantes debates que surgieron, del ambiente que reinó durante los congresos... todo esto llega a su culminación cuando personas con una gran vocación de comunicadores, como es el caso de Domingo González, sin pedir nada a cambio le dedica horas y más horas al repaso de la información que fue recopilando como asistente a ambas ediciones de DISI, publicando una crónica tan amplia y precisa como ésta. Todo ello con el objeto de que muchos miles de lectores e internautas sepan lo que allí sucedió y se guarde un histó-rico con lo que allí se dijo y discutió. Una labor encomiable, que ya ha desarrollado en otras ocasiones, y por lo cual deseo manifestar públicamente mi más sincero agradecimiento. Una refl exión que creo puedo permitirme por mis largos años de labor docente: si hubiese mucha más gente joven con este mismo espíritu de colaboración, posiblemente daríamos un importante paso adelante en la dura lucha por suprimir las barreras del conocimiento y la cultura entre los pueblos.

Agradecimientos del Director de la Cátedra

DISI

87

proyectos linuxDISI

www.lpmagazine.org

cos. Como no podía ser de otra forma, el pro-cedimiento por aquella fecha recién abierto a la empresa Google por el almacenamiento de los datos de sus usuarios fue uno de los temas de interés. También se habló sobre la preocupante falta de concienciación de la sociedad respecto a los temas de privacidad y protección de datos, y de su importante desconocimiento de sus de-rechos en el ámbito digital.

Delitos y peligrosen la Red: de mal en peorSi ya la situación en Internet mostrada en el primer DISI era preocupante, D. Víctor Domin-go, Presidente de la Asociación de Internautas, vino a confi rmar su empeoramiento. Hizo un recorrido por los diferentes riesgos a los que está sometida la Sociedad de la Información, haciendo fuertes críticas a aquellos aspectos que consideraba un peligro para la privacidad, la libertad y la seguridad de las personas. De es-ta forma, se alertó del peligro del llamado DNI electrónico (DNIe), que podría atentar contra la privacidad si no se establecen los mecanismos de seguridad necesarios, y se puso en duda el acierto de la legislación aprobada que podría au-torizar la interceptación de las comunicaciones digitales sin una orden judicial. Por otra parte, el Presidente de la AI mostró su preocupación sobre la Ingeniería Social, que es la base de la mayoría de técnicas de fraudes y delitos que se llevan a cabo en Internet. El phishing es actual-mente el problema de mayor gravedad, y según los datos disponibles, en cada nueva campaña se envían masivamente de 6 a 8 millones de correos fraudulentos, con un resultado de diez a quince víctimas engañadas. El incremento de correos fraudulentos ha aumentado en un 290% entre el año 2005 y 2006. También alertó sobre el scam, otro tipo de fraude que resulta ser básicamente un blanqueo de dinero encubierto sin el conocimiento de la víctima, y otros ries-gos cada vez más frecuentes como el aumento de loterías fraudulentas y el llamado phishing car. Además de pedir cautela a los usuarios de Internet para evitar este tipo de fraudes, insistió en la colaboración de las entidades bancarias como un elemento fundamental para reducir sus probabilidades de éxito.

Mesa redonda: Nuevos Desafíos en la e-SociedadEl segundo debate como tal contó con la pre-sencia de D. Adrián Moure de ASIMELEC, D. Julián Inza de Albalia, D. Rodolfo Lomascolo de IPSCA, D. Manuel Arrevola de Zitralia y Dña. Gemma Deler de Applus+. Se alertó so-bre la preocupante falta de normativa frente a los avances de la Sociedad de la Información,

y la difi cultad intrínseca para implementar los procedimientos necesarios. También se destacó el grave problema de concienciación que existe en las empresas a la hora de seguir protocolos de seguridad de la información, agravado además por la existencia de unos procedimientos de auditoría enfocados a grandes empresas, que difi cultan la implantación y la auditoría de la mayor parte del parque empresarial compuesto básicamente por PYMES. Tampoco faltó aquí la fi gura del siempre polémico DNIe [10], que se presentó como un elemento básico para esta-blecer procedimientos adecuados de seguridad en la e-sociedad que nos espera. Nuevamente fue la estrella del debate el controvertido DNIe, donde los asistentes mostraron su desconfi anza y temores sobre el mismo, e incluso se vivieron

momentos tensos refl ejo de una resistencia social razonable a la hora de aceptar cambios sustanciales como éste. Esta transición de la sociedad tradicional a la nueva e-sociedad lleva asociado un coste y una responsabilidad que ahora empezamos a asumir, y que exige un de-bate exhaustivo entre todas las partes necesario para el éxito de la Sociedad de la Información. Se alertó además de que el punto débil de la seguridad se encuentra en las plataformas de trabajo del propio usuario, pues un sistema infectado o comprometido elimina cualquier garantía de validación del interlocutor (no re-pudio), esencial en el establecimiento de una comunicación segura. Una de las conclusiones del debate sobre el DNIe fue la importancia de proporcionar a los ciudadanos una cultura

Figura 4. MAE ALEMANIA y FBCB2

88

proyectos linuxDISI

Linux+ 11/2008

DISI

tecnológico-social previa a la implantación de la e-sociedad, que implique unos cambios pro-fundos en las costumbres actuales. Los riesgos derivados de trasladar la responsabilidad de la seguridad hacia el usuario en una sociedad no preparada, y con un parque informático insegu-ro, podría resultar de una gravedad imposible de asumir.

Otras cuestiones que se debatieron fueron la validez de la fi rma electrónica como prue-ba probatoria, los certifi cados digitales como herramientas de validación, el tratamiento legal de la fi rma electrónica frente a la fi rma caligráfi ca, y se resolvieron dudas sobre e-ad-ministración y la factura electrónica. También resultó interesante conocer herramientas y dis-positivos para garantizar operaciones seguras, como son OpenDNS para Internet, USSD para dispositivos móviles, y tarjetas inteligentes para operaciones con fi rmas digitales.

Evolución del Malware: perdiendo la batallaD. Sergio de los Santos, de Hispasec, fue el encargado de certifi car los datos del presidente de la AI. Analizó la preocupante evolución del Malware en los últimos años, que ha cambiado su objetivo inicial por un enfoque orientado a los delitos informáticos con benefi cio econó-mico. Los creadores de los numerosos tipos de Malware existentes (spam, phishing, troyanos, etc.) han empezado a trabajar coordinados, con el fi n de crear grandes redes con importantes recursos y sólidas infraestructuras para llevar a cabo delitos de fraude y robo de información. Ha surgido una nueva forma de crimen organi-zado a nivel internacional, en la que destacan las redes rusas y brasileñas, que están acaparando claramente estas actividades delictivas. Estas metodologías delictivas empiezan a causar preocupación, tanto por la magnitud mundial que está alcanzando, como por la difi cultad de controlar y neutralizar estas prácticas a nivel legal y técnico. La gran cantidad de nuevo Malware que surge a diario y sus características técnicas han conseguido poner en jaque a la industria de antivirus y demás software de pro-tección. Los antivirus tienen serias difi cultades para mantener actualizadas las bases de datos de código malicioso, a la vez que la coordinación de diferente malware especializado consigue en numerosas ocasiones saltar las protecciones instaladas en los equipos. También resulta pre-ocupante la capacidad que tienen muchos virus para saltar las protecciones de los cortafuegos, lo que deja a los equipos totalmente desprote-gidos ante la Red. Además, incorporan técnicas anti-reversing que difi cultan el análisis del código malicioso, e incluso algunos troyanos empiezan a usar métodos que impiden su fun-cionamiento en máquinas virtuales para evitar ser analizados. Todo esto supone un serio obs-táculo a la hora de implementar con la rapidez necesaria protecciones y herramientas de des-infección y eliminación de Malware. Los datos estadísticos confi rman que en los últimos 5 años el número de virus y demás código malicioso se ha multiplicado por diez, duplicándose por tanto cada nuevo año. El servicio VirusTotal.com que ofrece Hispasec está recibiendo actualmente hasta 20.000 muestras diarias, lo que los sitúa en una posición única para estudiar la situación actual y su evolución. De acuerdo con los datos recogidos, aproximadamente un 30% del código malicioso que está circulando por la red es del tipo troyano, dedicado al fraude y robo de infor-mación sensible. Asimismo, Hispasec destaca la baja tasa de detección de código malicioso por parte de los motores de antivirus, debido a todo lo que se ha comentado anteriormente.

D. Sergio de los Santos realizó además demostraciones del funcionamiento de algunos troyanos bancarios analizados por Hispasec, utilizados para perpetrar delitos por phishing. Durante la demostración aprovechó para comentar las diferentes técnicas usadas por los troyanos, como la detección del acceso y activación del mecanismo basada en un listado interno de entidades bancarias, la redirección y sustitución de la página web del banco, la lectura de claves desde formularios o teclados virtuales, etc.

Seguridad en Entornos Linux: utilización en sistemas críticosD. Fernando Acero, Teniente Coronel Piloto del Ejército del Aire, Especialista en Teleco-municaciones y con el Curso de Estado Mayor, experto en seguridad informática y miembro de Hispalinux, fue el encargado de impartir una interesante charla dedicada a la seguridad en sistemas Linux. La importancia de la seguridad en los sistemas críticos ha hecho plantearse seriamente la necesidad de usar software seguro. La existencia de numerosos fallos de seguridad en las plataformas privativas usa-das actualmente, mayoritariamente sistemas Windows, obliga a mirar hacia el Software Libre como posible alternativa. Por otra parte, empezamos a ser conscientes del peligro de la monocultura informática, tanto por el impacto a nivel global que puede tener un fallo de segu-ridad en millones de ordenadores, como por la dependencia tecnológica de un pequeño grupo de empresas privadas. El Sr. Acero advierte que los estudios comparativos entre las plataformas Windows y Linux son arduos y complejos, pues las diferencias técnicas, fi losófi cas y prácticas entre ambas son muy diferentes, y en ocasiones radicalmente opuestas. Además, los criterios a tener en cuenta son variados y específi cos para cada necesidad, como puede ser la existencia de aplicaciones concretas, los tiempos de res-puesta ante fallos de seguridad, la facilidad de confi guración y control de los sistemas.

No obstante, existen estudios e informes de notable prestigio que inciden en algunas venta-jas importantes del Software Libre en cuanto a seguridad informática que pueden decantar la balanza a favor de éste en sistemas críticos. Entre otros, el informe Kenwood (2001) sobre la viabilidad del software de fuentes abiertas, encargado por el Departamento de Defensa de los EE.UU., sitúa al software de fuentes abier-tas como la plataforma ideal para sistemas críti-cos, debido fundamentalmente a su fl exibilidad, interoperabilidad y bajo coste.

El acceso al código fuente de Linux per-mite analizar rápida y efi cazmente los fallos

• Cumbre Mundial sobre la Sociedad de la Información (Ginebra, 2003)http://www.itu.int/wsis/index-es.html

• Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información. Desde la web pueden descargarse artículos, presentaciones y vídeos de las actividades realizadas.http://www.capsdesi.upm.es

• Computer Security Dayhttp://www.computersecurityday.org/

• The Honeynet Projecthttp://www.honeynet.org

• Spanish Honeynet Projecthttp://www.honeynet.org.es/es/

• NSA TEMPEST endorsement pro-gramhttp://www.nsa.gov/ia/industry/tempest.cfm

• Método de factorización de Fermathttp://en.wikipedia.org/wiki/Fermat's_factorization_method

• Algoritmo de Shorhttp://en.wikipedia.org/wiki/Shor's_al-gorithm

• Agencia Española de Protección de Datoshttps://www.agpd.es/

• Portal Ofi cial sobre el DNI electrónicohttp://www.dnielectronico.es/

• Informe Kenwood sobre la viabilidad del Software de Fuentes Abiertashttp://www.hispalinux.es/informes/MITRE/InformeKenwood.pdf

En la red

DISI

89

proyectos linuxDISI

www.lpmagazine.org

de seguridad que puedan surgir, así como realizar fácilmente auditorías de código para la detección preventiva de errores. Por otra parte, la modularidad de los sistemas Linux permite optimizar la instalación y eliminar elementos innecesarios, lo que se traduce en menos código que mantener y revisar. Además, la variedad de versiones existente es un factor que reduce el impacto de un fallo de seguridad, pues en la ma-yoría de los casos afecta solamente a versiones determinadas. En los sistemas militares existe actualmente un problema real de interoperabi-lidad entre las diferentes empresas responsables del mantenimiento de las aplicaciones privati-vas instaladas, que se traduce en una negativa a asumir errores y responsabilidades, y por lo tanto la permanencia de fallos de seguridad más allá de lo estrictamente razonable. Esto es espe-cialmente preocupante en la situación actual en que la denominada Ciberguerra se ha convertido en una realidad, como demuestran los recientes incidentes internacionales debidos a ataques a servidores gubernamentales. Durante la charla D. Fernando Acero describió varias aplicacio-nes actuales en las que se utiliza Software Libre, debido a su fl exibilidad para adaptarse a nuevas situaciones y una elevada seguridad. Es el caso del sistema de comunicaciones seguras entre Embajadas, implementado por el Ministerio de Asuntos Exteriores de Alemania, y que utiliza un sistema mixto live con tarjeta inteligente para live con tarjeta inteligente para liveel uso de redes VPN con cifrado SINA (Secure Inter-Network Architecture). También existen aplicaciones en el ámbito militar relacionadas con capacidades C4ISTAR (Command, Con-trol, Communications, Computers, Intelligence, Surveillance, Target Acquisition, Reconnais-sance), como el sistema JTRS (Joint Tactical Radio System) de comunicaciones militares. En este mismo sentido opera el sistema FBCB2 (Force XXI Battle Command, Brigade and Below) que proporciona mando y control, así como información situacional en tiempo real e inteligencia a elementos tácticos inferiores. Llegado el turno de preguntas, se habló con interés sobre la situación del Software Libre en España, tanto a nivel de administración como a nivel militar. También suscitó debate el tema de la licencia GPL y el uso de Software Libre para aplicaciones militares.

El Fracaso del SoftwarePara cerrar esta segunda edición, D. Juan Car-los García Cuartango, del Instituto para la Se-guridad en Internet, llevó a cabo una divertida exposición en la que analizó la situación de la ingeniería del software, que se encuentra en una posición de inmovilismo desde hace 30 años. En su opinión, el software está asistiendo a su

propio fracaso, pues frente a los avances tecno-lógicos espectaculares que se han desarrollado en los últimos años, el software sigue anclado en las plataformas de décadas anteriores.

Los sistemas operativos actuales son deri-vados de sistemas UNIX o MS-DOS, diseñados originalmente para plataformas tecnológicas muy poco avanzadas. Además, el tamaño del código ha aumentado drásticamente, lo que repercute en una pérdida de optimización y efi ciencia, un incremento de los errores y la difi cultad de mantener el código. Otro pro-blema derivado es la tendencia hacia sistemas operativos de tipo general, que realizan múlti-ples tareas pero con un rendimiento y fi abilidad muy baja. De igual forma, los lenguajes de programación utilizados son los mismos que se emplean desde el inicio de la Informática, cuya fi losofía y enfoque no son adecuados para unas plataformas hardware y de comuni-caciones radicalmente diferentes y mucho más avanzadas. La complejidad actual del código se traduce en una falta de fi abilidad del mismo. Las tecnologías actuales en hardware y comu-nicaciones están mucho más avanzadas que el software, que se ha convertido en un factor li-mitante. También se comentaron tecnologías de software más adecuadas como la arquitectura cliente-servidor, el modelo OSI, lenguajes de cuarta generación, etc, que no han tenido acep-tación por diversos motivos, mientras se siguen utilizando arquitecturas mucho más limitadas y completamente obsoletas. Finalmente García Cuartango hizo un llamamiento a las Universi-dades para formar a los futuros programadores con un nuevo enfoque más evolucionado de la Ingeniería del software.

DISI 2008: Internet y CibercrimenEl próximo día 1 de diciembre tendrá lugar la tercera edición del Día Internacional de Seguri-dad de la Información. Se celebrará como viene siendo habitual en la EUITT de la Universidad Politécnica de Madrid, y el registro para la inscripción ya está abierto. Esta edición contará con la presencia especial de la Dra. Radia Perl-man, que impartirá la conferencia inaugural. La doctora Perlman, Chief Technology Offi cer CTO de Sun Microsystems, ha participado en más de 50 patentes, es autora de dos libros so-bre seguridad en redes e inventora del Spanning Tree Protocol STP para la gestión de bucles en topologías de red. Por tal motivo normalmente se le señala de manera coloquial como la madre de Internet. La segunda parte del congreso esta-rá dedicada al apasionante mundo del cómputo forense y el cibercrimen, y contaremos con la presencia de D. Andrés Velázquez, Director de Investigaciones Digitales en Mattica, México,

y profesor en diversas universidades de México y Estados Unidos sobre esta materia, de D. Manuel Vázquez, Jefe de la Brigada de Inves-tigación Tecnológica de la Policía Nacional y de D. Juan Salom, Responsable del Grupo de Delitos Telemáticos de la Guardia Civil, ambos de España. Se fi nalizará el evento con una Mesa Redonda en la que intervendrán estos tres invi-tados para debatir el tema Amenazas del Ciber-crimen. Esperaremos con interés los indicado-res de la situación actual que nos deje este DISI, esperando que la batalla contra la inseguridad y la brecha digital se torne a nuestro favor. Ahora mismo preocupa el crecimiento descontrolado del código malicioso, utilizado cada vez más para fi nes delictivos, y un parque informático mayoritariamente inseguro donde se realizan operaciones de riesgo como transacciones bancarias, comercio electrónico y manejo de información sensible. Por otro lado tenemos la percepción de que la denominada Sociedad de la Información empieza a ser consciente de su propia existencia y de la importancia del rol que debe asumir en este nuevo concepto de progre-so y desarrollo. La implantación inevitable de la nueva e-sociedad está obligando a todos los sectores implicados -empresas, administración y ciudadanos- a aceptar responsabilidades diversas en el uso de las TI, no sin reticencias en algunas ocasiones. Es necesario por tanto un cambio importante en nuestros hábitos tecnológicos, centrados a partir de ahora en la seguridad informática, para lo que nos queda todavía un largo camino por recorrer. Y no pue-do fi nalizar sin agradecer gustosamente su apo-yo y colaboración a la Organización del DISI, a Dña. Emilia Belleboni y D. Rubén de Diego (DIATEL-UPM) por las fotografías cedidas, y sobre todo al Dr. Jorge Ramió Aguirre, por su ayuda en la confección de este artículo y por su valiosa labor de revisión.

El autor es Ingeniero Industrial de profesión. Su perfi l técnico le ha llevado a introducir-se en las Tecnologías de la Información, centrando su interés desde hace años principalmente en seguridad informática y sistemas Linux, con los que trabaja en el ámbito personal y profesional. Colabora en varias asociaciones de Software Libre, rea-lizando diversas actividades e impartiendo charlas sobre temas relacionados. Además, ha asistido a las dos ediciones celebradas del DISI, sobre las que ha escrito varios artículos.

Sobre al Autor