(Toni nos remite esta entrada desde el congreso ENISE, con el aliciente añadido de que la ha escrito con la Blackberry, lo que no deja de tener su mérito)

Como algunos ya sabíais y otros imaginábais, un año más estamos en el congreso ENISE, en León, organizado por INTECO. Este año nos hemos acercado Fernando y yo, para poder repartirnos por los talleres más interesantes de cada sesión, y a mí me ha tocado el correspondiente a la protección de infraestructuras críticas. Más allá del programa, ponentes, etc. que tenéis disponibles en la web del evento, comentamos en este post algunas opiniones y reflexiones acerca de lo que escuchamos en la jornada de ayer.

Comenzó el día con una sesión plenaria sobre los esquemas nacionales de seguridad en Europa, sesión en la que lo más repetido fue el término COLABORACIÓN para poder proteger las infraestructuras críticas de los países miembros y de Europa en su conjunto de forma adecuada. ¿Recordáis el congreso del CNPIC al que acudimos en febrero y que ya contamos en este blog? Ponentes diferentes pero la misma idea una vez más; si tan necesaria es la colaboración… Por qué nos cuesta tanto potenciarla?

Tras la plenaria, un par de talleres (mañana y tarde) sobre protección de infraestructuras críticas, ahora con dos términos que destacaron por encima de los demás: SCADA y resiliencia (esta última aún no incluida en el DRAE, pero estamos en ello). Parece que el problema de la PIC se centra en la (in)seguridad en los entornos SCADA, algo que parece obvio pero que me hace plantearme algunas preguntas: ¿qué pasa con los ataques a las personas? ¿Qué pasa con los accidentes y los desastres naturales? Qué pasa con el terrorismo “clásico”? La protección frente a actos delictivos, ciberterrorismo y demás esta muy bien (por supuesto), pero no debemos descuidar ningún otro aspecto o acabaremos mal. Hablar de SCADA “mola”, pero garantizando la seguridad de estos sistemas no garantizamos la “invulnerabilidad” de una infraestructura crítica.

En cuanto a resiliencia, palabra que también está de moda, una pregunta que nos lanzó el ponente: ¿sirven los paradigmas clásicos de seguridad para proteger las infraestructuras críticas o debemos ampliar nuestra visión? ¿Seguimos hablando de confidencialidad, integridad y disponibilidad o ahora hay algo más? Casi nada :) Como decía Darwin, no sobreviven los más fuertes ni los más inteligentes, sino los que mejor se adaptan al cambio…

Para acabar, una reflexión adicional. Se habló mucho (sobre todo en la plenaria) de CERTs. El concepto clásico de CERT está a punto de cumplir 22 añitos (ahí queda eso) y, bajo mi punto de vista, la visión clásica de estos centros es necesaria pero no suficiente. Por supuesto que debemos estar preparados para responder adecuadamente a incidentes, pero en la actualidad creo que los centros de seguridad (SOC o como los queramos llamar, pero no CERT) deben ser más preventivos que reactivos y además potenciar no una respuesta focalizada en la parte técnica sino una respuesta integral, por supuesto junto a otro tipo de servicios que sobrepasan el ámbito de un CERT tradicional… ¿Por qué seguimos hablando de CERTs? Esto será un tema para otro post, del que ya tenemos el título: del gusano de Morris a Stuxnet (gracias Xavi :).

Seguiremos informando.

Como ayer apuntaba José Luis, estuvimos presentes en el congreso de ISACA Valencia 2010, realizado los días 19 y 20 de octubre en la Universidad Politécnica de Valencia. La sesión de ayer miércoles, dedicada a la e-Administración, comenzó con un par de ponencias dedicadas la primera de ellas al estado general de la administración electrónica en España, a cargo de Lorenzo Cotino (Universidad de Valencia), y la segunda a la interoperabilidad, a cargo esta de Roberto Santos, de Telefónica -o Movistar- (videoconferencia desde León con algún que otro problemilla técnico que finalmente pudo subsanarse).

Tras un café, continuó la jornada con una excelente ponencia de Manuel Caño (LBIGroup) en la que se desgranó de una forma muy clara la necesidad de la contratación electrónica para todos (AAPP, empresas…), los problemas a los que se enfrenta en la actualidad y las líneas de resolución que se están adoptando a nivel europeo -que pasan todas por la estandarización-. Tras Manuel, se formó una mesa redonda en la que participaron José Benedito (Diputación de Valencia), Mar Ibáñez (ACCV, en representación de la Generalitat Valenciana) y Ramón Ferri (Ayuntamiento de Valencia), y en la que se plantearon trabajos, problemas y reflexiones en torno a la e-Administración desde el punto de vista de la propia administración pública. Tengo que decir una vez más que lo que yo entendía por “mesa redonda” sigue sin coincidir con lo que entiende el resto del mundo, porque las mesas redondas que llevo viendo desde hace unos años se limitan simplemente a presentaciones más cortas que el resto de las expuestas en el congreso; pero salvado este detalle, decir que me gustaron especialmente las reflexiones personales de José Benedito a la hora de plantearse qué requiere un ciudadano de la administración (hablando de trámites administrativos, no asistenciales -sanidad, educación…-) y dejando en el aire si realmente hace falta todo lo que tratamos de hacer. A fin de cuentas, el 90% de los ciudadanos tenemos unas comunicaciones con las AAPP muy simples: declaración de la renta con AEAT, algunos impuestos con el ayuntamiento y poco más… ¿no estaremos matando moscas a cañonazos con tanta e-administración? Ahí queda eso :)

Para finalizar, decir que este año, para mi sorpresa, la afluencia de público al congreso ha sido mínima, tanto el primer día como el segundo (el último día había un poquito más de gente, pero nada perceptible). Comparado con el éxito de asistencia del congreso 2009, este año nos hemos llevado un chafón; confiemos en que 2011 sea mejor…

P.D. Aquí teneis la presentación con la que S2 Grupo participó en el congreso. Disfrutadla :)

Estos días, tras la vuelta de vacaciones, volví a poner en marcha mi viejo receptor de onda corta, junto al que tantas noches pasé cuando era joven :) ¿El motivo? Simple curiosidad: quería ver si la actividad de estas bandas de radio seguía siendo tan interesante como hace quince o veinte años, cuando podías escuchar desde VOA (Voice of America) o REE (Radio Exterior de España) hasta Radio Teherán -esta última con un buen número de interferencias, posiblemente provocadas-, pasando por emisoras de pequeños grupos religiosos estadounidenses y sudamericanos o la todopoderosa Radio Vaticana -con unas antenas cuyo tamaño deja pequeña a cualquier torre de alta tensión que podamos imaginar-. Tras la recepción, el escucha enviaba un informe de recepción y a las semanas recibía una tarjeta QSL junto a folletos informativos de la emisora, con horarios, frecuencias, etc. en cualquier idioma y, en algunos casos, incluso propaganda “política” de un régimen más o menos cerrado.

Efectivamente, pude comprobar que la actividad en onda corta sigue siendo ajetreada, con las grandes emisoras oficiales de todos los países emitiendo junto a pequeñas estaciones, posiblemente piratas, que transmiten desde algún punto indeterminado del mundo; pero sin duda lo que más me llamó la atención es que, como antaño, todavía siguen emitiendo las number stations. Las estaciones de números son emisoras que se limitan a transmitir códigos formados por letras o números, tanto en voz (habitualmente digitalizada) como en Morse, de una forma continua y monótona durante la emisión, que suele durar menos de una hora y que por supuesto en ningún momento identifica la emisora; la emisión comienza con unos minutos de llamada, tras los cuales (en ocasiones existe algún tipo de encabezamiento tras la llamada inicial) se comienza a transmitir una retahíla de números o letras en grupos cortos y con una pausa entre sí, para acabar después con algún código que indique el final de transmisión. Una vez alcanzado dicho final, la frecuencia utilizada queda vacía. Raro, ¿verdad?

Efectivamente, las emisiones de las estaciones de números son cuanto menos extrañas; no está muy claro su origen, y se suele especular con radiobalizas, transmisiones meteorológicas y mil cosas más. Pero la hipótesis más arraigada entre todos los escuchas es la de que estas emisiones son mensajes cifrados de las agencias de inteligencia a sus espías desplazados en otros países, y esta hipótesis cobra fuerza tanto por casos de espionaje que han llegado a los tribunales (en los que se ha demostrado el uso de la onda corta para envío de información cifrada) como por el hermetismo que las agencias tienen al respecto (si estas emisiones fueran pruebas de la BBC, dudo que hubiera tanto mutismo envolviéndolas).

En estos días de Twitter, Blackberries, Facebook, 3G y mil cosas más, parece que las agencias de inteligencia siguen enviando mensajes cifrados por el canal más público que existe: el aire. Pensémoslo bien: con un pequeño receptor de onda corta, un espía ubicado en medio del desierto puede recibir el mensaje, descifrarlo y actuar en consecuencia, sin necesidad de ningún equipamiento de alta tecnología (que en muchos países llamaría la atención y podría poner en peligro la vida del agente), de conexión a Internet o de un móvil tribanda: sólo con un lápiz y un papel. Sencillo, ¿verdad… o no? Quizás los servicios secretos las utilicen como medio alternativo cuando no existe otra posibilidad, como entrenamiento de agentes en situaciones simuladas o, simplemente, como elemento que introduce ruido en el enemigo (mientras dedica recursos a tratar de descifrar mensajes radiados sin sentido, no los dedica a intervenir otros canales).

Si las estaciones de números se usan de verdad para transmitir mensajes cifrados a los espías, más allá de discusiones criptográficas encontramos dos problemas claros en esta técnica. El primero de ellos es obviamente la unidireccionalidad de la información: puedo transmitir instrucciones a las personas desplazadas en una zona, pero si esas personas quieren comunicarse conmigo tendrán que utilizar otro medio, salvo que estén en algún sitio donde un equipo emisor de onda corta no levante sospechas :) El segundo gran problema relativo a las number stations es la correlación: quizás no pueda descifrar el mensaje concreto, pero si una emisora transmite mucho más de lo que es normal en ella, más rápido o con algo que diferencie una emisión de las demás, puedo llegar a determinar que algo pasa o va a pasar. De esto último se cuida muy mucho quien sea que emita, y de ahí que el tono monótono y pausado de las estaciones de números sea lo primero que nos hace abandonar la escucha que hemos iniciado por simple curiosidad (aunque dicen las malas lenguas que algunas estaciones rusas transmitían como locas cuando, en agosto de 1991, se produjo un intento de golpe de estado en la antigua URSS).

En definitiva, el objetivo de las number stations sigue siendo algo misterioso en nuestros días, relacionado aparentemente con los servicios de inteligencia y que tras muchos años de actividad siguen operativas: ahí están y cualquiera las puede oir. Si alguno se aburre, puede comprar un receptor -los hay de cualquier precio, y para recibir estas transmisiones no necesitamos ninguna maravilla de equipo- y pasar el rato buscando estaciones de números; es más, puede entretenerse tratando de descifrar el mensaje: todos los que hemos sido radioaficionados o radioescuchas lo hemos intentado alguna vez y dudo que ninguno de nosotros haya tenido éxito… pero para todo hay una primera vez :)

Mañana es lunes cinco de diciembre de 2060 y cumplo 85 años, por lo que tras la reforma laboral de 2028 al fin puedo jubilarme… por tanto, aunque seguiré participando de vez en cuando en el blog, quería preparar un post recopilatorio de todo lo que hemos ido viendo y sufriendo durante todos estos años que hemos pasado juntos. Ha llovido mucho desde 2007, cuando empezamos con SecurityArtWork y, como siempre decimos, la seguridad cambia no de año en año, sino de segundo en segundo, tanto para bien como para mal… por lo que con 53 años a nuestras espaldas, nos podemos permitir el lujo de recapitular un poquito.

¿Quién no recuerda, por ejemplo, cuando existían ejércitos que peleaban entre sí en el campo de batalla, por tierra, mar y aire? Algo inimaginable hoy en día, pero que hasta bien entrado el siglo era lo habitual; en lugar de utilizar a fondo la ciberguerra, los países desplazaban enormes cantidades de personas y armamento para conseguir algo que tenían a un clic de distancia, con todo lo que eso implicaba (costes, riesgos, etc.). Actualmente nos parece primitivo, pero os aseguro que hasta hace unos años no era tan raro; es más, cuando hablablas de protección frente a ataques “diferentes” de paises enemigos te miraban mal, hasta aquel gran atentado que hubo sobre 2020, en el que casi se hunde a una gran potencia mediante el bloqueo de su sistema eléctrico, la interrupción de sus comunicaciones y la apertura de las presas más importantes (¿cómo era aquello, SCADA se llamaba?).

Pero sin duda, lo que más entradas y comentarios en este blog ha generado durante este tiempo fue la imposición de los tags RFID subcutáneos, allá por 2045. ¿Os acordais de toda aquella polémica? Menos mal que los gobiernos tenían todo bien atado, ya que con la proliferación de las redes sociales que se produjo a principios de siglo era fácil identificar y neutralizar a los elementos perturbadores, y al final la cosa no fue a más… cuatro críticas en favor de la privacidad y asunto olvidado, y la verdad es que, con el paso del tiempo, a día de hoy es algo que se agradece… ¿o no nos gusta a todos llegar al super y encontrar directamente ofertas personalizadas para nosotros (o mejor, no llegar al super, sino que el super directamente nos envíe a casa lo que sabe que nos hace falta)? ¿y qué quereis que os diga de la localización geográfica mediante estos tags? No sé cómo podíamos vivir antes sin saber dónde estaban nuestros amigos o familiares en cada momento… Además, otra ventaja de RFID es que ha dejado de llegarnos spam; ahora le llamamos publicidad dirigida y no llega por correo electrónico (que los más jóvenes no sabrán ni lo que es), sino directamente a nuestros tags personales gracias a las enormes antenas que todos tenemos en nuestras calles y que nos envían la información que alguien sabe que necesitamos

También nos reímos un rato con esas casas inteligentes que nos vendían como rosquillas a finales de los años 20, y que al principio no resultaron tan inteligentes como sus diseñadores creían. Y es que tener una persiana, unas luces o un electródoméstico conectados a Internet 3.0 parecía interesante, pero introducía más problemas que ventajas… y si no, que se lo digan a todos los que llegaron a casa tras unas vacaciones de verano, con 55 grados en las calles -maldito cambio climático-, y descubrieron que alguien les había encendido la calefacción desde China y necesitaban oxígeno para respirar en el salón, o que su nevera había encargado cinco toneladas de arroz por una feature no documentada de Windows 2025… ¡qué gran negocio para las empresas de seguridad… y para los supermercados! :)

¿Y os acordais cuando derogaron la LOPD? Total, en la práctica muy pocos la cumplían, gracias a aquello que nos vendieron -ya ha llovido- como “la nube”. Esa nube que al final se convirtió en nubarrón, porque a cambio de un reproductor MP4 no tuvimos problema en dejar todos nuestros datos en ella, accesibles a empresas de cualquier punto del mundo, y así nos fue… ¿Datos de carácter personal? ¿Yesoqués? Con lo que se llamó la globalización y temas similares, muchas leyes nacionales dejaron de tener sentido y se empezó a trabajar en una legislación internacional equivalente para todos y, sobre todo, efectiva. De esto hace ya bastantes años, y en ello siguen (y seguirán).

Pero por supuesto, no todo han sido cambios durante estos largos años: hay cosas que se mantienen casi como el primer día; y si no, fijaos en la Sociedad Global de Autores Digitales, la SGAD -antes tenía otro nombre que no recuerdo-, que aunque ha variado un poco desde principios de siglo -en aquél entonces no cobraban el canon de nacimiento, quizás porque los niños tarareaban canciones sin derechos de autor- en esencia sigue manteniéndose casi como entonces… antes perseguían el P2P y ahora persiguen el intercambio de archivos a través de los dispositivos humanos de almacenamiento (HSD), esos que podemos conectar a nuestro cuerpo simplemente acariciando su interfaz táctil y que nos permiten no sólo ampliar nuestra memoria, sino compartir conocimiento -y otras cosas- con los demás.

En resumidas cuentas, finalizar una etapa siempre produce nostalgia; ayer tuve que explicarle a mi nieto lo que era un libro, y sólo acerté a decirle que es parecido al resultado de imprimir en papel un archivo de unos cuantos K. ¡Y no veais lo que me costó explicarle lo que era el papel, ahora que ya no tenemos árboles! Al final, las dichosas gafas de realidad virtual personalizadas que se pusieron tan de moda hace unos años nos han hecho perder hasta las impresoras…

Según el DRAE, la disuasión es la “acción y efecto de disuadir”, y disuadir significa “inducir, mover a alguien con razones a mudar de dictamen o a desistir de un propósito”; básicamente, la disuasión consiste en convencer a alguien, de una u otra forma, para que cambie su manera de actuar. Cuando hablamos de seguridad, las medidas de disuasión son las que tratan de “convencer” a alguien hostil para que cese su actitud -al menos ante nosotros-; en muchos casos, son el efecto colateral de salvaguardas reales, pero en ocasiones se utilizan de forma pura, sin ningún otro mecanismo de seguridad real más allá de la intención de “convencer” a un delincuente de que nos deje tranquilos…

Desde siempre, la disuasión ha sido uno de los pilares básicos de la seguridad, junto aspectos como la prevención, la canalización o la detección; las medidas puramente disuasorias eran habitualmente tan baratas (cámaras de seguridad falsas, carteles de conexión a CRAs inexistentes, desfiles militares con misiles de cartón…o un simple cartel de “Cuidado con el perro”) que justificar (o amortizar) su coste era trivial, así que con una rentabilidad justificada, no había impedimentos para echar mano de estas salvaguardas. Por supuesto, la efectividad de una medida estrictamente disuasoria es cuestionable: volviendo a los ejemplos anteriores, si un potencial atacante descubre que las cámaras son falsas, que no estamos conectados a ninguna CRA, que nuestros misiles se rompen si llueve o que no tenemos perro, tendrá el camino libre hacia su objetivo; así, llegado este punto, la disuasión pura habrá dejado de funcionar y deberán entrar en juego otro tipo de salvaguardas más eficaces… Adicionalmente, otro aspecto de las medidas de disuasión puras es el efecto negativo que pueden llegar a tener; si nuestra casa está plagada de controles de acceso, carteles, etc. puede llegar a convertirse, con o sin razón, en un buen reclamo para un potencial atacante, y en ese caso deberemos disponer de más medidas de seguridad para frenar el ataque. Por tanto, el uso excesivo de medidas disuasorias puede ser, en ocasiones, contraproducente.

[Read more…]

Como todos los años, llegan por fin las ansiadas vacaciones de verano para -casi- todos, y en Security Art Work también nos vamos a tomar nuestro (quiero creer que merecido) descanso estival. Y por supuesto, nos despedimos hasta septiembre, al igual que años anteriores, con un post titulado “¡Vacaciones!” cuyo objetivo principal no es otro que desearles un feliz verano y, de paso, agradecerles a todos su participación (escribiendo o leyendo) en nuestro blog.

Echando la vista atrás, durante estos meses han sucedido cosas muy destacables, buenas o malas, en nuestro mundillo; desde la aprobación del Esquema Nacional de Seguridad o la Ley Ómnibus a la primera BlackHat celebrada en España, pasando por los problemas de seguridad en redes sociales o en tecnologías como RFID hasta llegar a temas de Protección de Infraestructuras Críticas o de information sharing, que por fin parece empiezan a calar en nuestro país. Y por supuesto, lamentamos decir que el terrorismo ha seguido siendo noticia estos meses (ETA asesinó este año a un policía francés, y dos ciudadanos españoles permanecen secuestrados en África).

En Security Art Work hemos tratado de hacernos eco de algunos de estos temas; desde aquel post de nuestro compañero Manolo hace ahora unos once meses, titulado El cinturón de seguridad (I) hasta este que publicamos hoy, hemos “colgado” un total de 182 artículos de temática tan dispar como la monitorización de usuarios en Solaris, el RDLOPD, la esteganografía o el Esquema Nacional de Seguridad, por citar sólo unos cuantos, además de series como GOTO o Seguridad Sectorial, que mejor o peor, han tratado de poner de manifiesto realidades o ilusiones que nos encontramos en nuestro día a día todos los que trabajamos en Seguridad (seguiremos con estas series a partir de septiembre, y con alguna otra ;)

Desde aquí queremos también dar la bienvenida a todos los nuevos colaboradores que durante estos meses se han “estrenado” en el blog: Adrián, Alex, Toni, David, Iván, Ximo, José, Maite, Marcos, Pedro, Raúl, Samuel, Sergio… y creo que no se me olvida ninguno (y si se me olvida, perdón por adelantado… será que me hacen falta vacaciones ;). También queremos dar las gracias por su tiempo y sus opiniones a todos los que han escrito en Security Art Work estos meses artículos o comentarios, animando a todos una vez más (nuevos y antiguos, colaboradores ocasionales, lectores habituales…) a participar en el blog, a escribir entradas y opiniones y, sobre todo, a debatir.

Aprovechen las vacaciones para hacer lo que no han podido hacer durante el año, para recargar pilas y para pasarlo bien. Cuiden de su seguridad estos días, sobre todo al volante, y al igual que cuando salen de casa toman ciertas medidas de seguridad para evitar robos, no olviden hacer lo mismo con su información y sus sistemas. Descansen y aprovechen el tiempo (o piérdanlo ;), que las vacaciones se pasan muy rápido y, sin darnos cuenta, estamos de vuelta…

Un saludo para todos y, de nuevo, feliz verano. ¡Hasta septiembre!

(Sí, la foto es la de siempre).