Resumen del IX Foro de Seguridad de RedIris en Valencia

Como sabrán, la semana pasada se celebró el IX Foro de Seguridad de Rediris en la Universidad Politécnica de Valencia, que ya presentamos en otra entrada con el lema «Seguridad en el Cloud Computing», en las que S2 Grupo ha participado tanto como organizador como ponente. Este es un pequeño resumen de lo visto estas dos jornadas:

Sobrevolando el cloud computing. Seguridad y cumplimiento normativo.

Ramón Martín (Cloud Security Alliance, Autoritat Catalana de Protecció de Dades) nos hizo una breve introducción al Cloud Computing, enfocando las cuestiones relevantes en materia de seguridad de la información y definiéndolo como un modelo evolutivo de prestación de servicios, potenciado por distintos factores entre los que encontramos la conjunción de distintas tecnologías (virtualización, velocidad de acceso, uso dispositivos móviles), socialización de las tecnologías con un uso intensivo por parte de los usuarios y como casi siempre, la cuestión económica. Ramón nos mostró la arquitectura del cloud basada en componentes: características esenciales del servicio (acceso a red, velocidad, elasticidad), modelos de servicio (Saas, Paas, Iaas) y modelo de despliegue (publico, privado, publico, híbrido, comunitario) junto con distintas gráficas de beneficios, amenazas y retos existentes en el cloud.

La presentación está disponible para su descarga en la página del evento: descargar (PDF, 10.6MB)

Aspectos legales del Cloud computing: especial referencia a productos de Google y Microsoft

Eduard Chaveli (Socio Director de GESDATOS) nos dió la visión legal del estado del Cloud, que exige un nuevo análisis de riesgos, junto con la introducción de distintos problemas legales debido
principalmente a la subcontratación de servicios. El ponente nos ofrece cinco consejos legales a tener en cuenta durante la contratación de servicios basados en Cloud, como son la revisión de las cláusulas de exclusión de responsabilidad y los límites de las mismas, la revisión del tratamiento que se hace de los datos debido al amplio concepto del dato personal, la legislación aplicable en cuanto a privacidad de nuestras organizaciones y la figura del encargado.

Finalmente, Eduard nos dió da unas pequeñas pinceladas relativas a las transferencias internacionales de datos y a los acuerdos de puerto seguro (safe harbor).

La presentación está disponible para su descarga en la página del evento: descargar (PDF, 600KB)

Cloud Malware Distribution; DNS will be your friend

Francisco J. Gómez y Carlos J. Díaz (Telefónica I+D) realizaron la charla más técnica (y para mí, la más entretenida de la mañana), en la que nos mostraron mediante una prueba de concepto la posibilidad de
usar servicios, protocolos y arquitectura accesibles no sólo en la nube, para realizar distribución de malware sin necesidad de explotar vulnerabilidades de aplicaciones o protocolos.

En la charla, nos presentaron un escenario donde una posible botnet, en lugar de actualizarse mediante el protocolo HTTP, lo realiza mediante consultas DNS debido principalmente a puesto que es un protocolo no tan inspeccionado como puede ser el HTTP. A través de distintas consultas a servidores DNS del proveedor consiguen descargar pequeños binarios troceados hasta la maquina cliente. La función del atacante es simplemente codificar en binario, dividiéndolo en distintos trozos y cargar los distintos trozos como entradas en un servidor DNS. Una vez cargados, el atacante puede desaparecer dejando la tarea de distribución de las actualizaciones, a los servidores DNS cache de los operadores.

La presentación está disponible para su descarga en la página del evento: descargar (PDF, 1.5MB)

Confianza en entornos de servicios web: WS-Trust y STS

Antonio David Pérez (RedIRIS) nos presentó la nube como distintos dominios de seguridad donde residen múltiples tipos de información, los cuales deben interoperar entre si.

Antonio nos presentó las especificaciones WS-Trust, como evolución de WSS (Web Services Security), para emitir, revocar y validar tokens de seguridad, así como entablar relaciones de confianza entre distintos participantes, y STS (Security Token Service), como servicio de token de seguridad. Para finalizar su charla, nos presentó los modelos de confianza y estructuras de los protocolos basados en una estructura petición/respuesta, mostrando distintos escenarios de uso posibles, tanto genéricos como el caso particular del STS de RedIRIS, el cual hace uso de tokens de seguridad y tokens de sesión.

La presentación está disponible para su descarga en la página del evento: descargar (PDF, 1MB).

Security Management in OpenNebula. Cloud Architectures

Javier Fontan (UCM) nos presentó la plataforma OpenNebula, la cual trabaja como Iaas (Infraestructure as a Service), con un nodo frontend que gestiona los distintos nodos que ejecutan el software y los nodos físicos donde se ejecutan las maquinas virtuales. La arquitectura de OpenNebula está basada en un demonio central (sobre un servidor web y peticiones xml-rpc con posibilidad de securización SSL), un planificador, y un conjunto de drivers (VMM, TM, IM), configurados a través de distintos scripts.

Para finalizar, y centrándonos más en aspectos de seguridad, Javier nos indicó que el sistema posee de forma nativa una autenticación basada en usuario y contraseña, aunque dispone del plugin auth, el cual ofrece mejoras en la autenticación (RSA key, X.509, LDAP) y en la autorización (gestión de permisos y cuotas).

La presentación está disponible para su descarga en la página del evento: descargar (PDF, 1.5MB)

Poniendo a SIR por las nubes: WS y externalización con federación de identidad

Diego López (RedIRIS) nos presentó el servicio de identidad digital, recordándonos que la seguridad de nuestros entornos en estos momentos es nuestra y la tenemos controlada, no obstante, en la nube, la seguridad es bajo acuerdo con el proveedor del servicio pero no bajo nuestro control. Diego presento SIR (Servidor de Identidad de RedIRIS) como backend común, el cual posee distintos conectores de entrada (con distintos protocolos como SAML, GENID o PAPI, cada uno de ellos con sus propias recomendaciones en cuanto a atributos a enviar) y distintos conectores de salida.

Finalmente, nos dio una visión de integración con googleapps y distintos casos prácticos con tokens, protocolos propietarios, y distintos proxys, presentándonos el proyecto STORK, que seguro que da para entradas futuras.

La presentación está disponible para su descarga en la página del evento: descargar (PDF, 6.3MB).

Seguridad dentro y fuera de la nube.

Nuestro compañero Toni Villalón nos mostró una relación entre la implicaciones de seguridad en la nube y estándares como ISO 27002, analizando los distintos dominios de control, asumiendo que es necesario un nuevo análisis de riesgos debido a las nuevas amenazas y niveles de riesgo, haciendo referencia también las posibles implicaciones de procedimientos y normativas corporativas. Revisando los distintos dominios de control de la norma, Toni presentó la problemática asociada a cada uno de ellos, como la seguridad en las relaciones con terceros, de los que no tenemos por que conocer ni siquiera su ubicación física, la clasificación de la información y su criticidad, la gestión de activos, la seguridad ligada a los procesos de selección del personal,la seguridad física, continuidad de negocio, gestión de incidentes, control de acceso y finalmente, cumplimiento legal.

Toni destacó distintos pros (coste, flexibilidad, escalabilidad) y contras (pérdida de control, confidencialidad, dependencia de proveedores, etc.) presentados por ENISA y proporcionó una serie de recomendaciones para migrar o no a la nube, dejando claro que se esté o no en la nube, existen aspectos de seguridad que no hay que descuidar, como el cifrado de pendrives, la información impresa en papel o la información clasificada en equipos finales.

La presentación está disponible para su descarga en la página del evento: descargar (PDF, 600KB), aunque la publicamos en este blog la semana pasada.

Acceso móvil a la nube: un punto vulnerable.

José Picó y David Pérez (Taddong) nos recordaron con su charla las implicaciones de seguridad que lleva implícito el acceso a Internet desde dispositivos móviles, cada vez mas usados para conexiones de datos. Tras presentarnos la arquitectura GPRS/EDGE y los distintos vectores de ataque posibles, su charla se centró en la explotación de vulnerabilidades del protocolo usando para ello una estación BTS falsa. Mediante distintos vídeos demostrativos, mostraron distintos ataques a la red de datos mediante ataques de MitM contra dispositivos móviles, portátiles, routers 3G u otros dispositivos como cámaras GSM.

Finalmente, dieron algunos consejos para securizar nuestros dispositivos móviles, como el uso único de redes 3G, el cifrado de conexiones o la posibilidad de instalar firewalls en los terminales. Esta charla fue la última del foro, similar a la realizada en la Asegur@IT y de la que ya hablamos en este blog, pero esta vez, centrada en la red de datos y acceso a Internet.

La presentación está disponible para su descarga en la página del evento: descargar (PDF, 2.4MB).

Por último, Paúl Santapau de la Universitat Jaume I (descargar, PDF, 300KB), Francesc Rovirosa Raduà de la Universitat Oberta de Catalunya (descargar, PDF, 1MB)y Jordi Guijarro i Olivares del Centro de Supercomputació de Catalunya (descargar, PDF, 3MB) participaron en una interesante mesa redonda moderada por Miguel Macías Enguídanos de la UPV, cuyo título fue «Viviendo en las Nubes«.

Por supuesto, aunque les hemos proporcionado los enlaces, las presentaciones las pueden descargar directamente desde la página del evento. Esperamos que les parezcan tan interesantes como nos lo han parecido a nosotros.

Trackbacks

  1. […] Resumen del IX Foro de Seguridad de RedIris en Valencia […]