1 21 Table of Contents 23 84

redseguridad 076

actualidad tecnológica noticias especial 22 red seguridad primer trimestre 2017 Building Management System (BMS) que permiten centralizar la energía, los ascensores, el control de accesos, las alarmas… Arriols alertó sobre la exis- tencia de una serie de puertas traseras en dichos sistemas que pueden poner en peligro su seguridad y dejarlos a merced de los atacantes. En concreto, se refirió a las versiones 1 y 2 de la plataforma Tridium Niagara, y a su sistema de identificación de usuarios, de tal forma que, en manos expertas, se podía llegar a controlar sistemas como el alumbrado, la electri- cidad o la videovigilancia. “Se han iden- tificado unos 5.000 sistemas BMS de este tipo en edificios de todo el mundo, de los cuales unos 3.000 eran vulnera- bles. En ellos se ubican desde grandes empresas y entidades bancarias, hasta hospitales”, comentó el directivo. Sobre vulnerabilidades también trató la siguiente ponencia. En esta oca- sión, Fermín Serna, de Google, habló sobre una en concreto que detectó su compañía hace unos meses: Glibc CVE-2015-7547. Afectaba a los servi- dores DNS Linux, por lo que, dada la gran proliferación de dichos sistemas, podrían llegar a verse comprometidos un gran número de clientes y servido- res, e incluso dispositivos relacionados con el Internet de las Cosas. “Todo comenzó en noviembre de 2015, cuando vimos algo raro relacio- nado con SSH. A continuación, nos esforzamos por entender el fallo y su criticidad, y a partir de ahí, pusimos en marcha el proceso para asegurar a los usuarios y que el tiempo de vul- nerabilidad fuera el mínimo”, explicó el directivo. Posteriormente, se pusieron en contacto con los desarrolladores de Glibc, quienes ya conocían la existencia de esta vulnerabilidad, por lo que tra- bajaron en conjunto para que, meses después, estuviera resuelta. A pesar de ello, según reveló el ponente, el fallo estuvo ahí expuesto durante siete años. Fraude digital y DNIe Seguidamente, les tocó el turno a Roberto Peña y José Luis Sánchez, de Mnemo, quienes presentaron el proyecto Glauco, relacionado con el fraude digital, y más concretamente con el phishing . Se trata de una inicia- tiva impulsada con el fin de investigar los métodos más efectivos para paliar ese tipo de ataques. “Las soluciones tradicionales ponen un javascript en la página, de tal forma que cuando se clona avisa a su dueño. Sin embargo, hoy en día se pueden encontrar en el mercado negro portales completos que emulan a los de las compañías desde cero”, explicó Peña. Por ello decidieron dar un paso más y desarrollar tres motores de descubri- miento: parasite , visual y semántico. A partir de ahí desarrollaron una librería que, en vez de analizar el código fuente de la página, evalúa lo que se muestra. “Generamos una librería que analiza la forma de mostrar la web y compara los textos que hay por detrás. Así, cuan- do un cliente hace una petición a un sitio legítimo, se activarían los motores anteriores, y a partir ahí se puede mos- trar una alerta a la víctima”, comentó Sánchez, quien confirmó que la ratio actual de descubrimiento con este sis- tema se sitúa entre el 80 y el cien por ciento de detectados. Sobre fraude también trató la ponen- cia de Ricardo Rodríguez, profesor de la Universidad de Zaragoza, pero en esta ocasión del robo de identidad de una persona a través del sistema NFC que incorporan los nuevos DNIe. Para ello, hizo un breve repaso a la historia del Documento Nacional de Identidad español desde que se expidió el pri- mero en 1951. Con el transcurrir de los años fue evolucionando hasta llegar a la versión 3.0, que se lanzó el año pasa- do, con nuevas medidas de seguridad y con conectividad NFC incorporada. Partiendo de esta base, el profesor explicó la existencia de dos protocolos para comunicarse con el DNIe: “Está el estándar ICAO, que protege con- tra ataques de integridad y replay ; y Diffie-Hellman para generar claves de sesión, el cual se usa para intercam- biar claves seguras entre gente que no se conoce previamente”. A partir de ahí expuso sus investigaciones respecto al grado de seguridad del estándar NFC en el DNIe, concluyendo que es seguro, aunque matizando que todavía se puede mejorar algo más. Para finalizar la jornada intervinieron Raúl Siles, fundador y analista de seguridad de DinoSec, y Juan Garrido, consultor del Grupo NCC. El primero centró su exposición en la importancia de utilizar en las páginas web el proto- colo TLS, en lugar de SSL, con el fin de mejorar su seguridad. El segundo, por su parte, centró su charla en el crypto-malware , un tipo de software malicioso que, tras cifrar los datos del equipo infectado, restringe su acceso para después solicitar un pago a modo de rescate. Más de 1.400 asistentes acudieron a las jornadas durante sus dos días de celebración en el Cine Kinépolis de Madrid.

RkJQdWJsaXNoZXIy MTI4MzQz