Sorry, you need to enable JavaScript to visit this website.

XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información

Fecha: 
Jueves, Marzo 22, 2018 - 13:00
Sesión: 
Sesión completa
Comisión: 
Seguridad
Sala: 
Sala 5
Presidente: 
Lic. Niurka Edith Milanés Sarduy
Secretario: 
Juan Miguel Alonso Torres
Relator: 
Ing. Yolanda de los A. Varela Paez
Cantidad total de actividades: 
4
Personalidades presentes en la sesión: 

MSc. Henry Raúl González Brito, Coordinador de la Especialidad de Posgrado en Seguridad Informática, Universidad de las Ciencias Informáticas, Cuba.
Ing. Darien García Tejo, Jefe de Centro de Seguridad de la División de Ciber Seguridad y Tecnologías Bancarias, XETID, Cuba.
Lic. Niurka Edith Milanés Sarduy, Directora General de Segurmática, Cuba.
Lic. Juan Miguel Alonso Torres, Director de Desarrollo, Segurmática, Cuba.
Lic. José Bidot Peláez, Director General de Desoft Habana, Cuba. 

Principales temas abordados e intervenciones realizadas: 

Se abordó el tema de seguridad en aplicaciones web mostrando graficas que muestran el crecimiento de incidentes de ciberseguridad que involucran aplicaciones web. Este tipo de incidentes tienen como causas las vulnerabilidades de este tipo de productos. Entre las principales vulnerabilidades se encuentra la inyección de código la perdida de autenticación la exposición de datos sensibles la configuración de seguridad incorrecta entre otras. Las principales causas de las vulnerabilidades porque funcionan sobre http un protocolo sin estado, fácil de vulnerar. Es difícil mantener actualizadas las tecnologías que se utilizan ya que pueden ser muchas. El número de dispositivos conectados a internet a crecido muchísimo. Las vulnerabilidades del IoT Interfaz insegura, autenticación insuficiente entre otras a eso sumarle que las personas no se preocupan de que sus dispositivos sean seguros. Las aplicaciones web son la principal plataforma objetivo de búsqueda de vulnerabilidades. También son objetivo de minería de criptomonedas.

Un ciberataque parte de una fase de reconocimiento para obtener las vulnerabilidades, seguidamente la creación del arsenal de ataque utilizando las vulnerabilidades encontradas, que pueden ser explotadas por años incluso después de solucionadas porque no se parchean los sistemas. Las evaluaciones de seguridad son muy importantes para detectar problemas de este tipo. Para ello están las auditorias de seguridad, el escáner de vulnerabilidades y las pruebas de penetración.

OWASP es un proyecto de código abierto para gestionar el desarrollo seguro de aplicaciones web. Google es una herramienta muy útil para detectar vulnerabilidades en nuestras aplicaciones. Los controles proactivos y otras prácticas de programación segura deben minimizar la presencia de vulnerabilidades.

Se presentó el Prestador de Servicios de Certificación ACXETID el cual tiene sus orígenes en el año 2013 con la certificación de profesionales. Comenzó después el análisis la asimilación y personalización de la tecnología PKI. Cera del 2015 se certificó la tecnología y la librería criptográfica por el MININT y posteriormente se publica de cara a internet.

El Prestador de Servicios de Certificación ACXETID cuenta con todos los elementos necesarios. Se elaboraron los documentos rectores de este tipo de servicios siguiendo normas internacionales y nacionales. Los servicios están públicos y ya son utilizados en la pasarela de pago en el país lo que ha permitido hacer ajustes en la seguridad y la calidad del servicio.

Uno de los procesos más importantes es la firma digital que es uno de los usos fundamentales. Actualmente en el país se usan soluciones de terceros que tienen vulnerabilidades y no tenemos acceso al código fuente. A partir de eso se implementó y está en despliegue una solución de firma digital en la web. Permite el sellado de tiempo está basado en estándares internacionales es mantenido y escalado por su personal técnico y es accesible desde cualquier lugar. Cumple los 4 pilares de la seguridad informática. Permite la gestión de identidades digitales la gestión de aspectos de firma, la gestión de certificados de confianza la gestión de repositorios de certificados y la gestión de servidores TSA. Permite además la gestión de documentos la visualización de documentos y la certificación de firmas entre otros. Tiene como clientes al Banco Central de Cuba, Etecsa, Banco Popular de Ahorro entre otros.

Se han identificado varios problemas, entre ellos que no existe una ley de firma digital en Cuba, los certificados digitales no son reconocidos por terceros, no hay prestadores de certificados aprobados, falta de promoción de los prestadores de servicios de certificados y la falta de cultura general en el empleo de la firma digital.

Este tema es muy importante porque todas las entidades que proveen servicios hacia el extranjero han tenido que comprar sus certificados en el extranjero no porque los nuestros no sean seguros sino porque no son reconocidos internacionalmente.

Se plantea que lo más importante es eso, el reconocimiento internacional y tenemos que apresurarnos para lograr este reconocimiento.

Henry plantea que hay documentos que se pueden firmar digitalmente y es muy importante que se avance en este tema y que además se comience ya a educar a las personas en esta dirección.

Se plantea que nuestra legislación se está quedando muy atrás en este tema. Para los órganos reguladores es muy difícil a la hora de realizar inspecciones. Por ejemplo, los expedientes digitales van a agilizar mucho nuestro trabajo y estos deben estar firmados digitalmente.

Darien responde que se está trabajando en la legislación para regular este proceso. Además, los directivos pueden decidir por resoluciones que documentos se van a firmar digitalmente y quienes están autorizados a firmar para que en las auditorias se tenga en cuenta. El problema es que no se puede interactuar entre ministerios y es por eso que es tan importante la legislación.

El conferencista aborda el tema de seguridad en aplicaciones web mostrando graficas que muestran el crecimiento de incidentes de ciberseguridad que involucran aplicaciones web. Este tipo de incidentes tienen como causas las vulnerabilidades de este tipo de productos. Entre las principales vulnerabilidades se encuentra la inyección de código la perdida de autenticación la exposición de datos sensibles la configuración de seguridad incorrecta entre otras. Las principales causas de las vulnerabilidades porque funcionan sobre http un protocolo sin estado, fácil de vulnerar. Es difícil mantener actualizadas las tecnologías que se utilizan ya que pueden ser muchas. El número de dispositivos conectados a internet a crecido muchísimo. Las vulnerabilidades del IoT Interfaz insegura, autenticación insuficiente entre otras a eso sumarle que las personas no se preocupan de que sus dispositivos sean seguros. Las aplicaciones web son la principal plataforma objetivo de búsqueda de vulnerabilidades. También son objetivo de minería de criptomonedas.

Un ciberataque parte de una fase de reconocimiento para obtener las vulnerabilidades, seguidamente la creación del arsenal de ataque utilizando las vulnerabilidades encontradas, que pueden ser explotadas por años incluso después de solucionadas porque no se parchean los sistemas. Las evaluaciones de seguridad son muy importantes para detectar problemas de este tipo. Para ello están las auditorias de seguridad, el escáner de vulnerabilidades y las pruebas de penetración.

OWASP es un proyecto de código abierto para gestionar el desarrollo seguro de aplicaciones web. Google es una herramienta muy útil para detectar vulnerabilidades en nuestras aplicaciones. Los controles proactivos y otras prácticas de programación segura deben minimizar la presencia de vulnerabilidades.

Se sugiere que deben realizarse evaluaciones periódicas de seguridad. Se recomienda definir bien los roles en las aplicaciones, buscar las vulnerabilidades de las tecnologías utilizadas y eliminarlas manteniéndolas actualizadas. Minimizar los riesgos a la hora de autenticarse. Además, se recomienda realizar pruebas de seguridad a la validación de entradas que donde se encuentran la mayoría de vulnerabilidades. También se deben realizar pruebas de seguridad a la lógica de negocios y validar y codificar los datos, tanto de entrada como de salida del lado del servidor. Establecer mecanismos para en caso de un incidente de seguridad saber qué fue lo que sucedió. Para ello es necesario la vigilancia tecnológica que es todo un mecanismo y es un factor clave para la prevención de incidentes de seguridad. Es muy importante involucrar a los directivos.

Se habló sobre los certificados digitales como el documento electrónico generado por una entidad de servicios de certificación que permite identificar a la persona que firma el documento de forma oficial. A diferencia de la firma manuscrita, la firma digital es difícil de falsificar ya que contiene información codificada que es única del autor de la firma y que puede verificarse. Actualmente en la Universidad de las Ciencias Informáticas (UCI) se utiliza la herramienta DigiSigner versión 4.0 desarrollada en la propia institución, mediante la cual se realiza la firma digital de documentos mediante la solicitud y obtención del certificado digital, los cuales son gestionados por la Dirección de Seguridad Informática (DSI) de la propia universidad. Sin embargo, la DSI detecta la necesidad de realizar la firma de los documentos digitales no solo en las estaciones de trabajo desktop, sino que los usuarios puedan realizar la misma en los dispositivos con sistema operativo Android, teniendo en cuenta su amplía utilización por los directivos, profesores y especialistas de la producción en la universidad. Por ellos surge el sistema PDFDISIG versión 1.0, aplicación para firmar documentos con formato PDF desde dispositivos con sistema operativo Android.

Posteriormente se trató de los sistemas biométricos que son sistemas de reconocimiento de patrones que operan a partir de la adquisición de datos biométricos de un individuo, extrae un conjunto de características de los datos capturados y los compara con los almacenados. Diferentes análisis han detectado ocho puntos de vulnerabilidad en la arquitectura general de un sistema biométrico en el que es posible obtener el rasgo biométrico. La razón principal es que los datos son transmitidos por el sistema biométrico en texto plano. Para su protección no es posible utilizar algoritmos criptográficos tradicionales, ya que no están diseñados para tolerar cambios en los datos. En esta situación, se han propuesto modelos de protección de plantillas de miniaturas de huellas digitales, sin embargo, se han encontrado varias vulnerabilidades, lo que reduce su seguridad criptográfica. Se presentó un modelo de protección de plantillas de minucias de huellas dactilares. Estos modelos se pueden clasificar en dos grupos, los cripto sistemas biométricos y las transformaciones cancelables o no invertibles. Para la representación y extracción de información de las minucias, se propone utilizar una estructura compleja. Los resultados de la comparación de la estructura compleja reflejan su potencial para la representación y la extracción de características de identificación de rotación e invariante de traducción. Los resultados de la comparación de los datos protegidos utilizando el método implementado muestran un ligero aumento en comparación con otros modelos analizados.

Se presentaron los resultados de la implementación de un modelo para la detección y prevención de ciberataques en aplicaciones web a partir del análisis de patrones de comportamiento. Como componente fundamental del modelo se emplea el sistema SIEM Open Source Security Information Management (OSSIM) mediante una arquitectura distribuida y basada en sensores. Se describió el proceso de análisis de las diferentes fases de un ataque realizado a aplicaciones web y la toma de decisiones a partir de reglas de correlación lógica utilizando el sistema SIEM OSSIM. El modelo propuesto permite la creación de un entorno colaborativo para la detección y prevención de ataques a las aplicaciones web a través del intercambio de ciberamenazas. Como aporte fundamental de la investigación, se encuentra el incremento en la detección y prevención de ataques nuevos a las aplicaciones web con respecto a mecanismos tradicionales como Sistemas de Detectores de Intrusos (IDS) y Firewall de Aplicaciones Web (WAF). Los resultados de la aplicación del modelo en el entorno real de la infraestructura tecnológica de la Universidad de las Ciencias Informáticas, validan la pertinencia y factibilidad de este tipo de propuestas a nivel nacional.

Se habló sobre lo imprescindible de que la información sobre la cual se sustentan las decisiones que se toman, en cualquier empresa que pretenda ser competitiva, proceda de datos que cuenten con la calidad adecuada, identificándose la integridad como uno de los atributos más importantes. Disímiles han sido los estudios realizados, cuyos objetivos se centran en identificar los escenarios donde pueden desencadenarse problemas en la calidad de los datos, así como definir métodos y mecanismos para garantizarla y medirla. No obstante, en ninguna de dichas investigaciones se toma en cuenta un claro escenario en el cual ante la materialización de amenazas de seguridad se puedan generar problemas de calidad de datos. En el trabajo presentado se sigue el principio de la seguridad cómo un atributo de calidad de los sistemas, particularizando en la seguridad de los datos y la calidad de los mismos. La principal contribución radica en el uso de código de autenticación de mensajes para evaluar la calidad con que cuentan los datos almacenados en una fuente de datos vulnerable. Conjuntamente, se realiza un análisis de los tiempos de respuesta del sistema luego de incorporada la solución propuesta. Los resultados obtenidos en la experimentación revelan una variación de los tiempos que no es significativo, así como un aumento en el volumen de la fuente de datos que se deja a consideración de la entidad si es significativo o no.

Se habló sobre ataques de canal colateral contra implementaciones de AES, un algoritmo criptográfico ampliamente utilizado. En los últimos años se han reportado ataques que aprovechan las vulnerabilidades del dispositivo físico donde se implementa y en dependencia de la información que utilizan, se clasifican en ataques de potencia, análisis de tiempo, análisis de fallo, entre otros. Los ataques de fallo, a diferencia del resto, afectan directamente al dispositivo físico objeto de ataque y provocan que la salida del algoritmo sea errónea, con la cual logran obtener la clave secreta del algoritmo. Los dispositivos criptográficos modernos donde se implementa el AES, tales como los FPGA, son vulnerables ante este tipo de ataques. Para proteger al algoritmo se emplean contramedidas de protección, que detectan los ataques de fallo y evitan la obtención de la clave por parte del atacante. En este trabajo se aplicó una contramedida para la detección de fallos a un componente de cifrado con una implementación compacta de AES en Microblaze. El componente presentado está protegido contra ataques de fallo simple. Se validó la contramedida del componente con experimentos de efectividad para varios modelos de ataques, demostrando que detecta el 100% de los fallos simples en el proceso de expansión de la clave, en la transformación de sustitución, a nivel de ronda y a nivel de algoritmo. El nuevo componente es aproximadamente 3 veces más lento que el original.

Se presentó un Generador de Números Pseudoaleatorios Criptográficamente Seguro (CSPRNG) inspirado en el modelo de seguridad de un PRNG con entrada propuesto por Dodis et al. en 2014. El CSPRNG tiene el objetivo de ejecutarse en una librería criptográfica por lo que en este artículo se sustituyen algoritmos y parámetros del esquema base que le proporcionará un mayor rendimiento sin perder las propiedades de seguridad demostradas en el esquema base. Además de un esquema de fuente de entropía y se comprueban sus fuentes de ruido a partir de las recomendaciones y estimadores de entropía mínima dados por el NIST. La implementación se realizó con el lenguaje Java y se comprobó la aleatoriedad con el paquete de pruebas estadísticas del NIST y el estimador de entropía NSB.

Posteriormente se habló del incremento del despliegue de redes WiFi en el país, sin embargo, existe un desconocimiento casi masivo de los problemas que afectan a este tipo de infraestructuras y de las posibles consecuencias de los mismos. Las redes WiFi son víctimas de innumerables ataques producto de las vulnerabilidades no solo de su estructura y composición, sino también del propio protocolo 802.11. A estas deficiencias, existen mecanismos y configuraciones que, combinados entre sí, pueden aumentar la fiabilidad de nuestras redes y servicios. Siguiendo esta premisa internacionalmente se han desarrollado varios protocolos de seguridad con la intención de garantizar la privacidad e integridad de la información que navega en la red, sin embargo, han sido rotos su sistema de cifrado, incluso hasta WPA2 recientemente. No siendo suficientes los protocolos de seguridad, se ha implementado una solución integrada por varias herramientas que monitorean y controlan el acceso a la infraestructura y a sus recursos, mitigando los posibles ataques de usuarios mal intencionados. Esta solución permite integrar mecanismos de autenticación para los usuarios que acceden a los servicios, detección de ataques y monitoreo de la infraestructura inalámbrica en tiempo real, control y tarificación del empleo de recursos (ancho de banda, tiempo) por cada usuario, entre otros, facilitando las labores de implementación, monitoreo y control de redes WiFi a los administradores de entidades nacionales.

Seguidamente se plantea que el auge de la sociedad de la información y el aumento de los niveles de conectividad, han llevado a las organizaciones a mejores mercados económicos para la sostenibilidad. Pero a la par de estos desarrollos, el cibercrimen está creciendo rápidamente, lo que hace que sea vital adoptar y mantener un sólido perfil de ciberseguridad. Debido a esto, las organizaciones necesitan un enfoque pragmático para implementar la efectividad de las contramedidas de seguridad que les permita ajustar sus estrategias y decidir sobre las inversiones, lo cual significa que la ciberseguridad se convierte en un desafío moderno para la gobernanza. Para ayudar a las organizaciones a abordar y evaluar los aspectos relacionados con la ciberseguridad, el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) ha desarrollado un marco de trabajo para la ciberseguridad (NIST CSF) con un conjunto de buenas prácticas. Aun así, cada empresa es diferente, creando desafíos únicos para su implementación. En tal sentido, el marco de gobierno de COBIT 5 ha demostrado ser extremadamente valioso. Este trabajo describe los pasos para llevar su programa de ciberseguridad NIST CSF bajo una estructura COBIT 5, estableciendo las similitudes de principios, procesos y niveles de madurez con respecto al NIST CSF, lo que hace que el acoplamiento de estos marcos en un enfoque de gobernanza coherente sea una buena decisión.

Más adelante se plantea que como consecuencia de la adquisición de grandes volúmenes de equipos de cómputo para el desarrollo del proceso docente educativo de la Universidad de la Habana, se han incrementado los índices de gastos económicos por conceptos de roturas y modernización tecnológica, lo que ha constituido un riesgo de seguridad para el control de partes, piezas y componentes de los equipos, además de registrarse un marcado aumento en el número de incidencias de carácter técnico que afectan el adecuado uso y explotación de estos recursos.  Con el objetivo de minimizar estos riesgos se desarrolló un concepto que integra los aspectos de la lógica y la técnica informática. Como resultado de su implementación, la Universidad ha logrado disminuir los gastos económicos, reducir las incidencias de seguridad e incrementar la responsabilidad administrativa y disminuir las causas y condiciones que propician actividad delictiva.

Posteriormente se presenta el Gestor de Recursos de Hardware y Software (GRHS), desarrollado en la UCI, el cual permite automatizar el inventario de hardware y software en una red de computadoras, ofreciendo información detallada por cada estación de trabajo. Detecta incidencias que se pueden producir y alerta a los interesados, genera estadísticas que posibilitan la toma de decisiones, controla algunas de las políticas de seguridad y visualiza el expediente técnico de cada estación. Este trabajo se enfoca en la versión 1.1 del sistema GRHS, en la cual se han realizado mejoras significativas respecto a la versión anterior. Para el desarrollo de la herramienta que da solución a esta problemática se empleó la metodología de desarrollo de software Proceso Unificado Ágil (AUP) en unión con el modelo Capability Maturity Model Integration for Development. GRHS v1.1 se ha desplegado en varias instituciones y empresas del país, dentro de las cuales se pueden mencionar la UCI, el Tribunal Supremo Popular (TSP), la Empresa Comercializadora del Cemento (ECOCEM) y la Fiscalía General de la República (FGR).

Se presentó un componente para la herramienta OCS Inventory capaz de inventariar las aplicaciones web y sus componentes desplegados en los servidores web de la UCI. Esto debido a que las aplicaciones web presentan gran volumen de información por la alta concentración de tecnologías utilizadas en su desarrollo y las herramientas actuales no permiten inventariar las aplicaciones web y sus componentes desplegadas en los servidores web.

Seguidamente se presenta el Sistema Integral para el Control de Trazas; en sus siglas SINTRAZ, el cual es un conjunto de módulos y aplicaciones que conforman todo un sistema con el objetivo de obtener primeramente trazas provenientes de servidores que proveen internet (más conocidos como servidores Proxy) y servidores de correo electrónico y como segundo; el control de objetos en una red local (LAN). Este sistema realiza servicio multitarea el cual puede controlar varios objetos tales como archivos de sistema, impresiones, aplicaciones o sectores de aplicaciones, entre otros, además:

·         Los servicios de control podrán o no estar hospedados en los servidores que controlan.

·         Los servicios soportan caídas tanto de los servidores de los cuales se nutren como del servidor de base de datos no perdiendo bajo ninguna circunstancia información.

·         Bajo consumo de memoria RAM por parte de los servicios.

·         En dependencia del tráfico de la empresa así será el tamaño de la base de datos alojada en el servidor de base de datos.

·         Múltiples reportes

·         La base de datos ha sido particionada, logrando así una mejor respuesta en la petición de las consultas para reportes.

·         El servicio de acople se ajusta a las exigencias del manual de seguridad informática en cuanto al ciclo de vida de las trazas y a la vez sus respaldos.

Actividades más relevantes: 

La conferencia magistral “Seguridad en Aplicaciones Web: Evaluaciones y Soluciones” del MSc. Henry Raúl González Brito, Coordinador de la Especialidad de Posgrado en Seguridad Informática, Universidad de las Ciencias Informáticas.

La conferencia magistral “Experiencias en la Creación del Prestador de Servicios de Certificación ACXETID” del Ing. Darien García Tejo, Jefe de Centro de Seguridad de la División de Ciber Seguridad y Tecnologías Bancarias, XETID, Cuba.

Actividades suspendidas: 
0
Actividades no realizadas: 
0
Causas: 

Desconocido

Recomendaciones: 
Durante la sesión se recomendó realizar evaluaciones periódicas de seguridad. Se recomienda definir bien los roles en las aplicaciones, buscar las vulnerabilidades de las tecnologías utilizadas y eliminarlas manteniéndolas actualizadas. Minimizar los riesgos a la hora de autenticarse. Realizar pruebas de seguridad a la validación de entradas que donde se encuentran la mayoría de vulnerabilidades. También se deben realizar pruebas de seguridad a la lógica de negocios y validar y codificar los datos, tanto de entrada como de salida del lado del servidor. Establecer mecanismos para en caso de un incidente de seguridad saber qué fue lo que sucedió. Para ello es necesario la vigilancia tecnológica que es todo un mecanismo y es un factor clave para la prevención de incidentes de seguridad. Es muy importante involucrar a los directivos.
Evento: 
XIV SEMINARIO IBEROAMERICANO DE SEGURIDAD EN LAS TECNOLOGÍAS DE LA INFORMACIÓN

Añadir nuevo comentario

Filtered HTML

  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Etiquetas HTML permitidas: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Saltos automáticos de líneas y de párrafos.

Plain text

  • No se permiten etiquetas HTML.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Saltos automáticos de líneas y de párrafos.
CAPTCHA
Esta pregunta es para comprobar si usted es o no un visitante humano y para evitar envíos automáticos de correo no deseado.
Image CAPTCHA
Ingrese los caracteres mostrados en la imagen.