XI Jornadas SID

Un año más hemos acudido a las Jornadas SID (que ya van por su XI edición) del Ministerio de Defensa, y como el año pasado hemos estado sólo en la parte de acceso libre (jornadas 3 y 4); la bienvenida a esta parte pública de las jornadas corrió a cargo de D. Esteban Cueva Álvarez, Subdirector General TIC del Ministerio de Defensa, quien muy brevemente nos recordó a todos la importancia de la protección de la información no sólo en el ámbito de defensa, sino en general en cualquier entorno, haciendo especial hincapié en los relativos a infraestructuras críticas.

Tras las palabras de bienvenida, entró en escena un representante del CCN-CERT, quien presentó los servicios que el Centro ofrece a la Administración Pública en general y al Ministerio de Defensa en particular. De su charla, creo que fue particularmente interesante para todos la declaración de objetivos para este año 2012, en especial los relativos a correlación y generación de inteligencia de las alertas generadas por el servicio de sondas de Internet del CCN-CERT, así como la presentación de CARMEN para la aplicación de técnicas de minería de datos, aún en fase piloto pero con muy buena pinta… Además de previsiones, formación, objetivos para este año… resalta (en rojo :) dos ideas fundamentales para cerrar la charla: cooperación e intercambio de información. Nos suena, ¿no? :)

Tras el CCN-CERT, llega el turno de ISDEFE con unos interesantes comentarios sobre ciberguerra y la importancia general de la ciberdefensa, para luego focalizarse en la PIC y, en concreto, en la importancia de las infraestructuras críticas de información como base para el funcionamiento correcto de las IICC en general. Se hace especial hincapié en que todas las acciones de los países con estrategias de ciberseguridad publicadas (Alemania, Reino Unido, Francia…) van por el mismo camino, camino marcado por la Estrategia Europea de Seguridad en Internet y camino que previsiblemente también será el que siga España, donde nuestra Estrategia Española de Seguridad ya incluye el ciberespacio como un posible escenario de conflicto. Y tras ISDEFE es el turno de una mesa redonda sobre movilidad y seguridad, donde el moderador comenzó hablando de una tendencia que parece muy extendida (personalmente la desconocía): bring your own device, tanto para hardware como para software… Como hoy en día no diferenciamos en muchas ocasiones la vida personal de la profesional, los usuarios tienden a usar equipos o software personal con una finalidad profesional y viceversa, con los riesgos que eso implica… Todos los participantes parecen estar de acuerdo en la problemática de esta tendencia -obviamente-, y se focalizan en proporcionar recomendaciones para el uso de tecnologías móviles, tanto técnicas como organizativas: qué información almacenamos, qué uso y condiciones vamos a dar a la tecnología, necesidad de normativas y regulación (reglas del juego), etc., muchas de ellas en línea con el informe del CNCCS que se publicó el pasado año sobre malware en smartphones (por cierto, otro día hablamos del CNCCS…).

Ya por la tarde, asistimos a un taller de los compañeros del grupo de seguridad de everis sobre botnets (instalación, configuración y limpieza), que empieza con una curiosa presentación de malware en códigos QR. Aparte de datos generales y estadísticos sobre botnets, en el taller se muestran bastantes ejemplos prácticos, que en estos casos siempre son de agradecer, incluida la modificación de código de un troyano demo «en vivo» y el empotrado en un joiner, muy curioso (eso sí, mucho Visual Studio, Metasploit y a golpe de GUI… los tiempos del ensamblador, el trabajo manual y artesano y las consolas parece que se han perdido :). La gente de everis nos muestra desde la creación, ocultación, etc. hasta la distribución del troyano empotrado en diferentes tipos de archivo, así como la configuración de los diferentes elementos de la botnet. Un taller muy interesante y bien preparado (alguna sorpresa normal en el efecto demo, pero nada más) para cerrar la jornada, con cita final de «El arte de la guerra» incluida ;)

Al día siguiente, última jornada del congreso, Roberto Gil (MDE) resalta la importancia de la normativa en materia de seguridad y repasa la normativa de aplicación en el Ministerio: OM 76/2006, instrucción 41/2010, instrucciones 9/2011, 95/2011… Comenta además los próximos desarrollos normativos del Ministerio a segundo y tercer nivel (vamos, por debajo de la Orden Ministerial), destacando el procedimiento de notificación y respuesta ante incidentes -algo que como hemos dicho ya marcó el CNI como objetivo para 2012-… Parece que el tema de gestión de incidentes gana cada día más peso… Tras Roberto Gil, charla del Ministerio de Defensa acerca de las tarjetas de identificación TIDEFe para sustituir a todas las tarjetas del Ministerio y en especial a las TEMD (esta con más de 67.000 tarjetas emitidas en estos momentos), que presenta diferentes problemas (desde logísticos, y es que quedan pocas, hasta de seguridad -certificación EAL4+, etc.; esta charla se complementa con la exposición de detalles técnicos de la nueva tarjeta, por parte de ATOS .

Después de ver la nueva tarjeta del Ministerio, de nuevo ISDEFE entra en escena para contarnos temas relativos a los ejercicios de ciberdefensa; temas de la charla aparte (problemática, retos, etc.), lo que más me llama la atención que uno de los objetivos del ejercicio es simplemente que los diferentes POC se conozcan entre ellos y así potenciar la colaboración y la confianza personal, independientemente -o complementariamente- a formalismos, protocolos, etc. Me llama la atención y me parece correctísimo… :)

Nos tomamos un café y volvemos a la carga con tres charlas muy interesantes -al menos para mí-; la primera, de personal del Ministerio de Defensa, una demo práctica del COSDEF (el SOC de Defensa) relativa a seguridad en impresoras: descubrimiento, ataques mediante órdenes PJL, captura de documentos, modificación del firmware, spam… incluso DDoS. Una demo interesante y curiosa, la verdad: conocía algunos de los ataques y problemas que plantearon, pero desde luego de otros no tenía ni idea (empezando por la posibilidad de modificación del firmware en algunas multifunciones). Tras la demo, el Director de la Oficina Nacional de Seguridad nos habla de la seguridad de las personas y las Habilitaciones Personales de Seguridad (HPS): evolución y seguimiento de las HPS, validez, implicaciones… muy curiosas algunas pinceladas de signos de posibles riesgos o ataques de ingeniería social, y sobre todo una frase: «la investigación es un fotograma en el tiempo…pero su seguimiento es la película». Charla muy interesante y que nos enseña algo más de ese oscuro mundo que son las HPS :). Acaban las charlas con una última ponencia relativa a la seguridad de la información en poder de las empresas, por parte de la DGAM, y una mesa redonda sobre los problemas de la movilidad donde, aparte de algún comentario interesante, escuchamos algunos típicos tópicos de los que tengo que escribir algún post cuando tenga tiempo :) Tras ello, clausura por parte del Secretario de Estado de Defensa y vino de honor :)

En resumen, unas jornadas interesantes -al menos la parte a la que hemos podido entrar, seguro que la otra también lo sería ;)- a las que esperamos volver el año próximo. Eso sí, esperamos dentro de doce meses no volver a oir las palabras encriptar ni encriptación (ni sus derivados), y sí cifrar y cifrado :)

Comments

  1. Brillante, amigo Toni, como siempre. Un resumen perfecto, y demostrativo de que continuamos en las antípodas de lo que debería ser un sector de seguridad integral publico-privada que permitiera coordinar realmente actuaciones serias y eficientes. Mientras se continua con el mantra de que «la PIC es fundamental, la PIC es fundamental» y así hasta el infinito, la mayor parte de principales operadores de IC continúan encargando a empresas extranjeras su gestión de riesgos, seguridad lógica, inteligencia estratégica, etc, etc, con lo cual, en un contexto de economía globalizada donde no hay países «amigos», sino competidores, es como jugar una partida de mus con las cartas al revés, hacia afuera, para que las vean todos. Y eso sin contar con que la seguridad de los servidores de estos «private providers» continua quedando en entredicho con acciones como la del pasado diciembre contra una de las principales empresas de inteligencia privada del mundo, Stratfor, la cual cuenta con una cartera de clientes en la que se encuentran gobiernos, servicios secretos, grandes transnacionales y corporaciones (incluídas españolas), organismos internacionales, etc. Por cierto que toda la información sustraída de sus servidores se puede ver y consultar desde ayer mismo en la página web de wikileaks.
    Lo dicho, mientras que aquí seguimos debatiendo sobre el sexo de los angeles y la forma más idónea que debe tener una rueda, el resto de países de nuestro entorno se expanden económicamente ayudando a sus empresas en el exterior, se posicionan geoestrategicamente, y se implantan en futuros escenarios mundiales vitales para el mantenimiento de nuestro modo de vida.
    Disculpa el calentón Toni, pero es que tu ya sabes lo crítico que soy con el modelo actual de disgregación de «seguridades» existente, el cual nos impide avanzar y crecer conforme a las necesidades del siglo XXI.
    Más les valía a los ministerios de Defensa, Interior, e Industria, Energia y Turismo, juntarse todos, poner el tema de «las seguridades» encima de la mesa y preguntarse «¿Quo vadis, securitas?».
    Un abrazo y excelente trabajo.

  2. Antonio Villalon says

    Hola Jesús
    Completamente de acuerdo en que avanzamos más despacio de lo que deberíamos y quizás no nos estemos posicionando todo lo bien que deberíamos… lo que no sé es si vamos por el camino correcto, despacio pero bien, o no… eso lo comentaremos con una cervecita :)
    Un abrazo
    Toni