Securmatica'99

SECURMÁTICA'99
X Congreso de Seguridad en Tecnologías de la Información y Comunicaciones
26, 27 y 28 Abril. Madrid
[notas para un artículo o lo que yo llamo el código fuente periodístico]

# Análisis del estado de la seguridad informática en las empresas españolas. Jesús Merino, Daevid Lane. Ernst&Young.

Los riesgos no han cambiado (confidencialidad, integridad, disponibilidad, eficacia y eficiencia), pero ha aumentado la probabilidad de que tengan lugar (por outsourcing, aumento pirateria, complejidad infraestructura, internet y correo-e)

# Recreación de un escenario real externo a la empresa para realizar pruebas de adaptación al Efecto 2000. Juan Gaspar. Bull

Recomendaciones:
-26/12/99. Hacer copias de seguridad de TODO
-La mitad de los empleados, localizables los días 1 y 2
-Sacar estado cuentas con bancos, fondos de inversión, etc
-Guardar copia papel transacciones de la semana y copias de seguridad de los ficheros (si es en caja fuerte, NO TEMPORIZADA :)
-Contratar un seguro adecuado
-Contratar un buen abogado (lo que se gastará en pleitos será muchos más que en técnica)

"I don't know what Y2K effect is, but I'll change my hardware, my software and my underwear, just in case". J. Gaspar. Great Y2K Humour Contest

EL PÚBLICO se queja de que hay un desconocimiento sobre si la administración pública está preparada, especialmente las empresas que trabajan con ella (cajas, bancos..) dicen: ya puedo estar yo preparado, si ellos no lo están!)

# Protección corporativa frente a la amenaza evolutiva de los códigos maliciosos. M. Teresa Núñez (Europa Management), Carlos Jímenez (Network Associates), Feliciano Rivera (Trend Micro), Antonio Martínez (eSafe).

Encuesta CSI: el 74% de ataques a empresas, por virus

La evolución del código malicioso va hacia los ROGUES: applets java y activeX..

En tres años, los mecanismos de propagación más usados serán Internet y correo-e, que serán en el 80% de casos el medio de propagación.

La mentalidad del creador de virus es similar al vandalismo y graffiti %)

Los que más: ataques internos, para robar información o subirse el sueldo, por lo que el firewall no es ninguna solución, tampoco para los virus

La amenaza no es sólo de códigos maliciosos, también de contenido (información confidencial, SPAM, buffer overflow..)

NAI habla más de W2000 que de él

VIRUS CIFRADOS -> con la criptografía, la seguridad del firewall no es tal. Se necesitaría la recuperación de claves de los usuarios del servidor

Los desarrolladores de código malicioso han evolucionado muchísimo y, en cambio, los de antivirus no.

# Autenticación de usuario simple, fuerte y biométrica para el acceso a aplicaciones corporativas. Jorge Hurtado, responsable de Servicios de Seguridad Lógica SGI.

Autenticación se puede hacer de lo que el usuario
sabe (password) -- tiene (tokens, certificados) -- es (biometrics)

-----------------------------------------------------------------------

BIOMETRICS

Tipo Precio por nodo Fallos

Reconocimiento de cara 210.000 ptas Falsificable
Requiere buena iluminación

Huella dactilar 168.000 ptas Estado del dedo puede cambiar

Palma/Geometría mano 301.000 ptas Lento, menos fiable que dactilar

Exploración iris/retina 700.000 ptas Intrusivo (esp. retina)

Imagen termal 7.700.000 ptas Precio

Reconocimiento de voz 168.000 ptas Lento, afectado por condición
física y emocional

Reconocimiento de firma 140.000 ptas Afectado por condición física
y emocional

-------------------------------------------------------------------------

Futuro -> explosión certificación digital, combinada con tarjetas inteligentes y sistemas biométricos.

Problema: no estándares, no está integrado con todas las aplicaciones..

Problema biometrics con la autenticación remota. Además, son passwords que no se pueden cambiar ;)

# La tarjeta inteligente como medio seguro. Eric Vernhes. Bull España.

La tarjeta ayuda a superar las limitaciones de SET
-> permite pequeños pagos
-> secretos guardados en tarjeta y no en PC, no viajan por la red
-> se puede comprar desde cualquier PC y no sólo el que tiene el certificado
-> la tarjeta (con microprocesador en el chip) de momento es imposible de reproducir.

Futuro boom de las tarjetas inteligentes -> de 300 millones ahora a 2.000 millones en el año 2000

experiencias en Francia, Italia, Japón, de TIs + SET 1.0 ya. Aunque la mayoría son DES, RSA será mayoritaria.

JAVA Card gran revolución - rompe con sistemas propietarios

# Técnicas de intrusión y ataque a sistemas de información. Gustavo San Felipe. Consultor senior de seguridad de Innosec-Grupo ABS

Tendencia a atacar el cliente (Java, trojans...) ya que en el servidor se les pone difícil

Back Orifice: muestra de que son más completos algunos programas hechos por 'esta gente' que los realizados por profesionales de seguridad.

Tipos:

Está de moda ser hacker [y todo el público corporativo está preocupado por ello, durante el turno de preguntas harán un montón, más que en ningún otro panel. En la comida posterior, les hablas de webhack y se les ponen los pelos de punta, están horrorizados por su imagen]

MercHACKdising (cds, camisetas..)

Comercio electrónico será la víctima cada vez más, en vez de las páginas web

!!! Importante -> formación personal. Muchos problemas son por fallos configuración o porque no hay política de seguridad

[El orador se muestra beligerante con los hackers: "Por suerte para ellos, no me he enfrentado nunca a ninguno". Les identifica totalmente a la palabra delincuente. Da como cierto el caso del satélite de UK, cuando incluso un señor de Mataró que rondaba por allí sabía que era una falsa o como mínimo dudosa noticia]

# Tecnología de sistemas de detección y respuesta a intrusiones y vulnerabilidades para entornos de red. Javier Areitio. Director del Grupo de Investigación de Redes y Sistemas. Facultad de ingeniería ESIDE de la Universidad de Deusto.

Elevado número de intrusiones no son detectadas

Tecnologías de detección/respuesta a intrusiones como segundo nivel de protección o complemento al firewall

Ataques sutiles, lo más nuevo

Retos -> interoperabilidad con otras herramientos y minimización
      -> autoverificación -> tomar medidas previas
      -> tener en cuenta que ataques cambian -> falsas alarmas
      -> infraestructura heterogénea, distribuida, veloz, conmutada..
      -> información incompleta para toma decisiones

Tecnologías: procesadores digitales de señales, minería de datos, sistemas expertos, redes neuronales..

Mercado en 1998 -> ~100 millones $
futuro de elevado crecimiento, mercado no temporal, componente clave en seguridad.

# Tipología de delitos informáticos perpetrados contra organizaciones.
Antonio López, Policía Nacional. José Lozano, Guardia Civil.

[interesante: mientras la brigada de delitos informáticos de la PN sale del grupo de delitos económicos, la de la GC se inscribe en el grupo de delincuencia organizada]

**López

Pirateo de soft es con lo que se empezó, ahora es menos, aunque el tema de los cracks aún dará que decir.

Delitos informáticos están desbordando todas las previsiones:
->estafa electrónica (tarjetas crédito)
->email anónimo (amenazas, injurias..). Como la criptografía, es anónimo hasta que no se invierten recursos en descubrirlo
->adoptar identidades y ofrecer favores sexuales en news (ofreciendo teléfonos, etc)
->pornografía infantil
->intrusiones informáticas (webs hackeadas, daños, descubrimiento y revelación de secretos)

Explica 2 casos -- universidad de Madrid en la que el intruso tenia login y passw de usuarios. Se le cazó no mientras hackeaba sino pinchando su teléfono [en aquellos años (1995/6) alguien me dice que la policía no tenía aún buena tecnología, intentaron primero pinchar el mail pero el 'pinchador' no funcionaba]

-- ISP en el que despidieron a un empleado, que se las había dado de hacker para que le cogiesen y después resultó no ser nada bueno. Cometieron el error de no cambiar los passwords después de haberle echado. El ex-empleado, junto a un auténtico hacker, robó la base de datos de clientes del ISP y le amenazó con hacerla pública en las news

Las intrusiones suelen tener su origen en la mala gestión de usuarios y pw. En una gran institución que estamos investigando, resultó que tenían
LOGIN - 3 primeras letras de la empresa + iniciales usuario
PASSWORD - El mes actual

**Lozano

Casos habituales: revelación de secretos, interceptación de telecomunicaciones, daños, fraude, copia ilegal, falsificación de hardware, pornografía infantil, apología del terrorismo.

Bueno de Internet: posibilidad de tener un copia exacta del delito, gracias al log o registro de sucesos. El problema es que los ISPs no tienen obligación de guardar los logs (cuando investigamos una empresa, le pedimos los logs a ella y a su isp). Otro problema es que muchos administradores no tienen conocimientos de seguridad, los descuidos son el principal problema.

1997. 50% delitos eran por propiedad intelectual e industrial
1998. 60% delitos eran por daños y revelación de secretos. Se duplican accesos ilegales a sistemas
1999. Se dispararán denuncias por fraude electrónico

Necesidad muy importante: enlace estrecho investigadores - empresas

Obstáculos: no se hacen denuncias, internacionalidad de la red, etc

Explica algunas operaciones. La Operación Giralda (un ISP hace teardrop a otro para captar sus clientes insatisfechos) es la que indigna más al público, también les indigna el saber que se precintan las máquinas implicadas en caso de intrusiones o problemas de seguridad

Divertido (ehem): para explicar las operaciones, muestra gráficos y dibujos de como se desarrollaron los hacks. Cuando se inician en un ordenador en casa, se destaca entre paréntesis (uso de Linux) [posible moraleja: cuidadín, empresarios, con Linux, que es cosa de los malos (?) ]

Última operación, marzo 99: Operación Condado. Antiguos empleados de una empresa cogen los códigos fuente y montan su propia empresa

**López: Problemas con los logs. Una vez, le entregé uno a un juez y me preguntó: "Pero, ¿usted ha visto esto?". Los suelen dar por buenos pero.. se tendrán que poner las pilas.

# Proyecto CERES. Jesús Pita Andreu. Director de Sistemas de Información de la FNMT y Director Técnico del proyecto CERES.

CERES para que empresas y ciudadanos puedan hacer cualquier gestión en la ventanilla electrónica de la administración

Correos (y ayuntamientos u organismos involucrados en el sistema) para hacer de oficina de registro -> te dan una tarjeta y allí también habrá ordenadores y puntos de acceso

Ventajas: tramitación más rápida, atención 24 h., ahorro costes y desplazamiento.

Hasta que no se publique el Real Decreto que le da validez legal.. nada

Ya hechas pruebas piloto:
*administración <-> gobierno balear
*empresas transporte Madrid <-> administración
*declaración renta 98 (simplificada porque el ciudadano no tiene aún lector de tarjetas, se les da el certificado en soft, en disquete)

Se está haciendo ya en:
*Fomento - ventanilla única
*Conexión entre ministros de presidencia
*Compra material informático en el MAP

Proyecto CERES nominado en 1998 por la Smithsonian Institution por su visionaria labor

Convenios con .de y .uk para hacer certificación cruzada

ceres@fnmt.es

La tarjeta-chip se llama CRIPTONITA :)))))
desarrollada por FNMT. Procesos criptográficos en su interior. Clave se crea en FNMT y se destruye.. ehem.. -> la clave privada de firma se destruye cuando se graba en la tarjeta, la clave de cifrado es voluntario por parte del ciudadano si se conserva o no.

Investigación también en Time Stamping. Tenemos ya sistemas para hacerlo

Sólo certificamos la identidad del ciudadano, será como el DNI

Cifrado: RSA 1024 + Triple DES

# El proyecto de identificación electrónica EID. Finlandia. Pedro Robledo. Director Técnico de Teamware Iberia.

Ministerio economía finlandés espera que en el 2020 el 70% de las transacciones sean electrónicas.

Autoridad de Certificación -> Population Register Center

34% finlandeses son internautas

Tarjeta inteligente con chip y foto, basada en estándares abiertos (tan abiertos como permita Europa, donde aún no hay uno claro). La asociación SEIS (www.seis.se) definió especificación claves para tarjetas inteligentes y a partir de aquí Finlandia hizo sus especificaciones.

1998. Primer contrato firmado electrónicamente, con un certificado X.509

Diciembre 99, todos los ciudadanos tendrán tarjeta

Se ha hecho va una VPN con policías

Tarjeta usa RSA, tiene clave y certificado de la firma digital, clave y certificado para encriptar y certificado para validar la información (de la AC). Email basado en S/MIME

Los Population Register Center's almacenan las claves públicas y certificados de los ciudadanos, en un directorio X500

Sanidad, banca y transporte ya tienen la tecnología creada. En diciembre lo tendrá también la administración

Número de serie incluido en la tarjeta. De momento, no se puede duplicar

# Esquema español de evaluación y certificación de la seguridad. Arturo Ribagorda. Director del departamento de Informática de la Universidad Carlos III de Madrid

Futura Oficina Nacional de Seguridad de los Sistemas de Información para la Certificación de las Tecnologías de la Información

Se encargará de la evaluación y certificación de los productos (programas, servicios, sistemas...) de seguridad. Sería un organismo nacional de certificación, que homologaría a instalaciones y laboratorios que evaluen los productos, en una escala de E0 a E6

También tendrá algo que decir en transacciones electrónicas -> que certifica a ACs (y de aquí viene que, después de años parado, ahora se vuelva a reactivar)

Este sistema se está haciendo ya para Defensa, que tiene su propio esquema y ya está evaluando lo suyo

Dependería del MAP

[mi impresión es que esta Oficina iría a tomar el control de todo el floreciente mercado de seguridad -> auditores de empresas, consultores, tendrán que depender de su "sello" y estar homologados por ella. Posteriormente, alguien disipa mis dudas y dice que no es exactamente así, que funcionaría sobre todo para cosas de la administración y al resto nos dejaría tranquilos.. no se, no se]

# Impacto en la LORTAD de la transposición de la Directiva de protección de datos personales 95/46/CE. Juan Manuel Fernández López. Director de la Agencia de Protección de Datos.

"De tecnología, desconozco casi todo"

Se piensa crear un Censo Promocional, con los ciudadanos no opuestos a que las empresas de marketing cojan sus datos. Dependería del Instituto de Estadística. (se quería hacer con el censo electoral pero la oficina ha dicho que no piensa dar sus datos para esto, cosa que extraña al señor Fernández López, que parece en toda su intervención protejer más a empresas y administración que al ciudadano)

Datos -> sí acceso de la policía en casos de terrorismo, etc

Ficheros manuales también estarán protegidos

Spain (lo dice con orgullo) es el primer país que ha autorizado el traspaso de datos internacionalmente + un código ético para el e-commerce (¿dónde está? ¿Qué pasa con el spam? Alguien se lo pregunta y el tío pasa de responder)

El camino del auto-control será el más adecuado -> que las empresas digan, como reclamo publicitario o algo así: yo protejo la intimidad

Sólo cuando una imagen se incorpore a un fichero tendrá protección de la LORTAD. ¿Y audio? (voz de clientes en telemarketing, etc) En principio, grabar a alguien sin su consentimiento va en contra de la ley

Datos históricos (clientes que ya no lo son, etc): mientras no retiren su consentimiento, se pueden tener. Pero si es por una relación negocial, cuando acaba se deben eliminar (los asistentes corporativos se indignan ante esta afirmación -> ninguno lo debe hacer)

# La propuesta de Directiva sobre Firma Electrónica. Francisco López Crespo. Jefe del Área de Sistemas Telemáticos de la Subdirección General de Coordinación Informática del Ministerio de Administraciones Públicas.

Para el reconocimiento legal e internacional de las firmas y ACs. Desde 1998 existe un acuerdo de reconocimiento mutuo.

Asegura la neutralidad tecnológica -> que haya interoperabilidad

Propiedades del certificado: AC que lo expide, nombre o pseudónimo de la persona, datos relacionados, límites (caducidad, uso, etc)

No se podrá limitar el número de ACs.

Los estados pueden introducir sistemas de acreditación voluntaria de ACs

No habrá requisitos específicos para las ACs, excepto en caso de firma electrónica avanzada (la buena). Entre estos requisitos, destaca que no se podrán mantener copias de las claves privadas (no especifica si de firma o de cripto) pero la AC deberá registrar toda la información relevante para investigaciones posteriores.

# Qué es una PKI y a qué problemas pretende dar solución. José Antonio Mañas. Catedrático de Ingeniería Telemática. ETSI Telecomunicaciones de la Universidad Politécnica de Madrid. Manuel Heras. Consultor independiente especializado en tecnología criptográfica.

Great exposición, la única que arranca aplausos del público.

PKI contempla dos autoridades: Autoridad de Certificación y Autoridad de Registro (interfaz, relación con usuarios)

Problemas con la revocación de los certificados (CRLs no sirven, imposible comprobar la validez cada vez, ni Amazon lo hace. A nivel global, grandes problemas de escalabilidad en directorios)

Infraestructura:
-> X509. Tiene muchos problemas. NO
-> SDSI/SPKI. No importa la identidad del usuario, es más fácil, pero hoy por hoy son juguetes

Time Stamping super importante pero hasta ahora ISO no se pone a mirar como hacer normas

Pone más que en duda SET

# Algunas soluciones de PKI disponibles en el mercado español:
Entrust-PKI. José Luis Reyes. Director Técnico de Sistemas Informáticos Abiertos.

Sí hacemos revocación certificados
Sí hacemos recuperación de claves privadas (la excusa mayoritaria es para ofrecer mejor servicio al cliente: por si pierde la clave y tiene información importante que no puede abrir, la AC se la guarda)

Tienen certificados para todo (web, routers, SET..) incluso para contadores eléctricos

Clientes: CERES, ACE, Bancos portugueses, Shell

# PKI-PS, de Penta 3

No hacemos key recovery, de momento, pero se va a ello

Software para CAs y RAs, tarjeta y servidores criptográficos. También para Linux (estamos en ello)

# UniCERT y PKI-Plus, de Baltimore Technologies. Luis Rodríguez, responsable del Área de Seguridad de Ideal Business

Problemas PKIs:
->estándares no lo son tanto, familias API's no se hablan.. PKCS usado en 80%, pero hay otros
->restricciones exportación y uso criptografía (custodia de claves, 40 bits)
->confianza en la AC que tiene mis claves privadas
->identificación usuarios (x509 no sirve) y política control accesos
->escasa penetración de las smartcards
->falta transporte seguro (IPSec?)
->sistema complicado para usuarios finales
->marco legal y financiero (relaciones contractuales, etc)
->revocación, el gran problema (sobrecarga CRLs)

Hay soluciones, alternativas, es cuestión de tiempo

Riesgo: balcanización de los servicios de certificación corporativos, islas de confianza sin interoperabilidad

Futuro: estamos en un punto de inflexión hacia la 3a generación, que añade nuevos servicios o módulos como el Time Stamping, registro, orientación a red, política central de seguridad..

Machaca a SSL

Más futuro: nuevos modelos de confianza, no sólo la jerarquía del root sinó también de abajo a arriba, compartida, etc

UniCERT: el key recovery no es obligado (como sí lo es en EnTrust). NT y Trusted Solaris

Alguien del público le dice: "Poner una Autoridad de Certificación en un NT es como poner una caja fuerte en un barrio donde venden droga"

# Certificate Management System, de ID2 Technologies. Carlos Moreno. Director del Area de Productos de Syseca.

Todo va con NT

Sólo funcionamos con tarjeta inteligente. En Alemania y países nórdicos se hace mucho banking web con smartcard

SET lo lleva claro -> en USA no pita y sí en cambio SSL + AC

Acabadas las presentaciones, estalla una guerra entre defensores de SET y SSL. También se critica a los que hacen key recovery, porque no todos confían en la AC. Alguien del público les conmina: ¿¿¿Cuándo vais a entenderos???

end

### CHARLA CON PEPE DE LA PEÑA, director de la revista SIC, organizadora del congreso

Décimo aniversario

Primero nace el congreso. Yo trabajaba en Feria de Madrid, donde se hacía el SIGUR, un salón de seguridad electrónica. Por aquel tiempo, aparece la informática, que se abre y empiezan a crecer los problemas de seguridad. Al principio, los que lo controlaban se conocían todos, pero pronto no. Éramos un grupo de periodistas, Arturo Ribagorda, Luis Fernández, yo.., que pensamos hacer el congreso para cohesionar a un sector profesional naciente.

Al principio sólo se hablaba de SAIs, virus... el cifrado era una cosa exótica. Hicimos la primera edición con algunos profesionales, en las grandes compañías los había ya. Es un congreso dedicado exclusivamente a profesionales desde siempre, el primero en España que ha tenido continuidad, se hacían y hacen otros, pero más asociados a bancos, cajas..

Después, en 1992, empezamos también la revista de seguridad

En 1996, la imagen del congreso se afianza como El Pensador de RODIN, porque los informáticos y telecos son gente que debe pensar. La mecanización esclaviza, la automatización excluye, y entre ambos conceptos está el factor humano.

Ahora, se necesitan profesionales de esto. Es un mundo muy interdisciplinar, se echa en falta gente que sepa de todo, que no tenga miedo a nuevas tecnologías. Hay gente que se ha quedado obsoleta.

Es idílico que una empresa tenga un responsable de seguridad y no parches.

La seguridad informática se ha visto superada por las telecomunicaciones, de donde han venido muchos de los problemas de seguridad. La revista, al principio se llamaba sólo SI (Seguridad Informática) y después se le añadió la C de comunicación.

Los SOs fueron el primer gran bastión, ahora se han olvidado mucho. Ahora prima la seguridad lógica (autenticación, etc)

Hay muy pocos profesionales en España que sepan de que va el paño

Gurús, fuera: son el contrario del profesor, quieren que no puedas vivir sin ellos, la mayoría hablan inglés y vendrían a hablarnos de cosas de Marte. Siempre hemos traído españoles. Sólo una vez vino un criptógrafo de Canadá.

Con Internet la seguridad empieza a ir más rápida. Se ve la separación del mundo de los auditores informáticos y los profesionales directos de las tecnologías de seguridad. Ahora hay profesionales que sí saben de todo

Algunas empresas se han abierto a la seguridad a lo loco

Hemos pasado de ~ 25/30 profesionales de público a 202. En 1994 éramos 50/60

LORTAD fue un gran impulso para el mundo de la seguridad, aunque no pone grandes multas por temas técnicos. Junto a Internet, dio el pistoletazo de salida a los profesionales de la seguridad. La criptografía también ha ido calando.

### TIPS

--> Público: gente de la administración y empresas, departamentos de informática, administradores de sistemas, consultores seguridad, etc. Desde una empresa de punto hasta Tabacalera o Repsol, pasando por gente de los CERTs españoles, SGI, Ericsson... Todo corbatas. Gente también de Telefónica I+D, guiris trabajando en facciones españolas de las multinacionales, un portugués relacionado con grupos bancarios de su país...

--> Lo que echamos en falta en ponencias, IMHO: IPSec, seguridad en IPv6, criptografía... menos trajes y más hackers

--> Qué me dices: vuelve Anselmo, después de unos meses sabáticos, como capitán y, puede que sí puede que no, destinado otra vez a la brigada de Delitos Informáticos de la Guardia Civil. Temblad, herejes de la Nueva Internet.

--> Todas las demostraciones, con Netscape :) Aunque el congreso tiene patrocinadores (Bull, NAI..), para nada Microsoft. Pregunto: ¿Es raro, no? Responden: ¿Cómo va a patrocinar nada de seguridad?. Yez, tonta soy.

M&M