domingo, septiembre 07, 2008

X RECSI (I de III)

***************************************************************************************
- X RECSI (I de III)
- X RECSI (II de III)
- X RECSI (III de III)
***************************************************************************************

No hace mucho tiempo que decidí comenzar el camino para obtener el título de Doctor. Por ello, empecé a trabajar en el ámbito académico e ir a un nuevo tipo de conferencias: Los congresos académicos.

En esta corta andadura que llevo he tenido la suerte de participar en el EALT 2007 en Oporto, el CIBSI 2007 [Congreso Iberoamericano de Seguridad de la Información] en Mar del Plata, que tantos desvelos quita a nuestro querido Little Buda, el 6th Collecter que se celebró en Madrid y la X edición del RECSI [Reunión Española de Criptografía y Seguridad Informática].

Los congresos y las conferencias de seguridad informática, tanto los de la industria como los académicos, son una autentica pasión pues es una forma sencilla, cómoda y entretenida de poder aprender algo nuevo o lo que yo considero más importante: Un lugar dónde se te estimulan las ideas. Este año en el RECSI me lo he pasado estupendamente con las charlas que he tenido la suerte de escuchar.

Cómo eran dos tracks, uno de Criptografía y otro de Seguridad Informática, decidí rápidamente olvidar las matemáticas, lo que me llevó a escuchar algunas charlas que paso a resumiros, para que os quede una idea de lo que es estar allí.

Un framework genérico para el soporte de pagos por clic

Esta charla trata un tema de gran actualidad dentro de las empresas que se dedican a la venta online y, por supuesto, de los grandes servicios que ofrecen hoy en día los gigantes como Google, Yahoo!, Facebook o cualquier nueva red sociales. En este trabajo analizaban los problemas de los pagos por clic y ellos ofertaban una solución. Tal vez sea buena o no la solución que presentaban, pero desde luego es un tema chulo y de actualidad que estuvo interesante.

On the use of genetic programming to develop cryptographic hashes

Esta presentación estuvo muy interesante y muy bien presentada. En ella, se presentó como se podrían utilizar los algoritmos genéticos para desarrollar un nuevo algoritmo de generación de hashes. La sesión contó las características que deben tener las funciones hash, las analizó con MD5 y SHA1 y al final proponía una función generada por programación genética que era probada con los test del NIST.

Herramienta DCST. Automatización de estegoanálisis en redes sociales

Alfonso Muñoz y Justo Carrecedo presentaban este artículo que fue expuesto por nuestro amigo de la conspiración el señor Alfonso de la forma más chula y radical (¡Me encantó!). En la presentación mostraba datos encontrados con técnicas de estegoanálilsis en webs, foros, artículos, etc.. y proponía una herramienta que trabaja subyacentemente a tu navegación. Es decir, mientras navegas por webs, esta herramienta va analizando si, mediante técnicas de esteganografía, hay alguna info oculta en algún documento. Muy interesante para “tu-ya-sabes-quienes”.

Después de estas tres primeras charlas, tuve el placer de tomar el café y los bollos con una persona que tenía muchas ganas de conocer: Gonzalo Álvarez Marañón, programador de los famosos retos hacking de Boinas Negras, escritor de la sección de seguridad en la revista PC World junto conmigo (de vez en cuando), culpable de las conferencias FIST junto con Vicente y Christian, miembro del CSIC y…¡adicto al comic! Cómo os podéis imaginar, la chispa saltó, y pudimos pasar muchas horas juntos charlando después de ese momento… pero ya os contaré más adelante...

Terminado el café, los que éramos Chairman de algún track tuvimos la oportunidad de disfrutar de una visita privada y guiada a la Biblioteca de la Universidad de Salamanca, dónde pudimos ver, y ojear de cerca un libro del año 1050, es decir, de casi 1000 años de antigüedad, libros censurados por la inquisición, el primer tratado de ajedrez e incluso el famoso condón de los estudiantes. Terminamos la visita en el restaurante del colegio Fonseca para degustar las viandas y nos metimos en más charlas.

An Order independent consistency-based diagnosis for firewall rule sets

Curioso tema presentado por cargo Sergio Pozo de la Universidad de Sevilla. Imaginad unas reglas del firewall en las que se definen las reglas R1 y R2 de la siguiente forma:

R1: Permitir de: 143.132.23.8 a: Webserver puerto: 80
R2: Denegar de: *.*.*.* a: Webserver puerto:80


Como se puede ver, este conjunto de reglas tiene muy diferente efecto si el orden de las reglas es R1 y luego R2 o si el orden es R2 y luego R1. Parece una cosa evidente, pero cuando hay muchas reglas en un firewall esto es un problema pues las reglas son dependientes. La pregunta. ¿Por qué no diseñar un conjunto de reglas en las que todas sean independientes? Si pensamos en hacerlo manualmente esto puede ser complicado, pero… ¿para qué está la ciencia? Me gustó el trabajo por lo que presentó y por lo que me hizo pensar. Las ventajas a priori son buenas. La primera y más evidente: El administrador diseña las reglas, se pasan a reglas independientes y ya ningún “zarpas” puede joder la configuración del firewall. La segunda: Al ser independientes el firewall se puede autotunear, es decir, el tiempo de proceso de un firewall es directamente dependiente del número de reglas que tiene que probar antes de que una aplique. Con un firewall así se haría que las reglas se ordenaran automáticamente en función del número de veces que se han disparado. Así, la probabilidad de que la primera regla sea la que aplica es la mayor.

Análisis de seguridad y privacidad para sistemas EPC-RFID en el sector postal

Esta sesión estaba a cargo de la gente de la Universidad Oberta de Catalunya que ha realizado un estudio sobre las implicaciones de seguridad del uso de la tecnología EPC RFID en los sistemas de etiquetado postal. El artículo recoge la matriz de amenazas, las soluciones aplicadas y tres modelos de fortificación del entorno. Reconozco que no soy muy aficionado a la tecnología RFID así que escuchar la charla me vino bien para conocer un poco el laberinto tecnológico RFID.

La última charla del día fue a cargo de Oscar Delgado, del CSIC, al que conocí primero en las charlas FIST y con el que luego coincidí en el CIBSI 2007. He de decir que esta charla la había visto ya cuando decidimos pasarnos por las FIST mi “pajarraco” de los Santos y yo tras el Security Day dónde hablamos de algo similar. Además, el salir de copas con David Barroso, de Los Santos y comer algo con Bernardo Quintero de vez en cuando, hace que esté muy al día de estas técnicas pero no por ello dejó de ser interesante.

Analysis of new threats to online banking authentication schemes

La charla muestra cómo funcionan los troyanos bancarios hoy en día y cómo se van adaptando a cada uno de los entornos de autenticación que pone la banca hoy en día. Hay que decir que el objetivo de esta charla era demostrar que la banca, utilice el modelo de autenticación que utilice, puede ser atacado desde un troyano bancario situado dentro del equipo y que por tanto, mientras no se pueda garantizar la seguridad de la plataforma cliente, la banca online será insegura.

Con esta charla acabó mi primer día de participación en el RECSI en dónde yo hablé de mis cositas de LDAP & Blind LDAP, ya sabéis. Ya os contaré más cosas.....

Saludos Malignos!

***************************************************************************************
- X RECSI (I de III)
- X RECSI (II de III)
- X RECSI (III de III)
***************************************************************************************

10 comentarios:

tayoken dijo...

¡Interesantísimo!

Esta me ha encantado: "An Order independent consistency-based diagnosis for firewall rule sets"

Es una idea genial.

Por cierto, Gonzalo ya no anda por ahí con Cuartango?

Anónimo dijo...

Je je
..nuestro amigo de la conspiración el señor Alfonso....

La verdad es que no se porque me llamas asi, pero me hace mucha gracia. Eres un tio grande!!!!!

Por cierto, el regalito que me diste me sirvio para esquivar a unos agentes en la puerta..... je je.

Nos vemos proximamente..., en la recamara hay cosas radicales de verdad, joder yo que pensaba que habia estado poco hostil.....

Bueno, que sigo por Brasil de turismo academico.

Alfonso.

josemaria dijo...

¿Hiciste el antíguo DEA o uno de los nuevos masters oficiales? Y ¿en que Universidad? Te lo digo porque yo hace tiempo estoy echándole un vistazo pero no logro ilusionarme del todo con ninguno de los programas que veo...

Maligno dijo...

@tayoken, a mi me gustó mucho la idéa. Habría que ver cuanto de efectiva es, pero a priori...suena genial.

@Alfonso, jeje. Lo que se puede hacer con un "chupachus" ¿eh? Cuando vuelvas me llamas y hablamos de ..."cosas"..

@josemaria, hice un master de los nuevos en la URJC. Si quieres más info escribeme.

Saludos!

tayoken dijo...

No quería ser el primero en hacer la coña, espero que se le haya ocurrido a alguien más... pero el título de Doctor Maligno tiene guasa macho :D

¿Quién será mini yo?

josemaria dijo...

¿Dónde está la sección de Contacto en esta sucursal de Spectra? :-P

En la Rey Juan Carlos he estado leyendo sobre dos masters oficiales: el de Software Libre (aunque yo soy de los buenos) no me acaba de convencer. El del Sistemas Telemáticos e Informáticos (imagino que es este el que has hecho) tiene muy buen aspecto pero no se si ir todas las tardes a Móstoles va a superarme...

Si tienes unos minutos, please, mándame unas líneas con tu impresión a josemaria[arroba]unlugarenelmundo[punto]es

Gracias!

Maligno dijo...

@josemaría, todo el mundo sabe dónde está mi email!!. ¿Tú no?

Saludos!

xaquin dijo...

No te olvides que Gonzalo también era el editor del Criptonomicon, fantástica página web que aún tiene mucha vigencia aún a pesar de que ya tiene sus años y eso en esto de internés es mucho

Tuve el placer de que me diera unas clases en un Master de Seguridad de la Información que hice y la verdad que fue junto con Txipi de lo mejorcito

jordi dijo...

yo también estuve en la RECSI, y el resumen que has hecho hasta ahora está muy acertado. (por lo de I de III)
pero me divertí más en tu presentación de infosecurity en Madrid. :-D

muy buen trabajo.
seguiremos en contacto

Sergio dijo...

A las buenas, soy Sergio, el investigador del artículo de los firewalls. La verdad es que la idea es magnífica ;-P En serio, el problema es NP completo, o sea que hay que usar heurísticas y conformarnos con soluciones no completas a cambio de poder resolver el problema en tiempo razonable. De eso es precisamente de lo que va el artículo.
Pero también es interesante plantearse si cabría la posibilidad de tener un lenguaje fácil de usar de alto nivel a través del cuál se pudiese generar código de bajo nivel para diversos lenguajes propietarios, pero que lo que se generase fuera ya consistente. En esa línea tenemos ya una herramienta implementada usando tecnologías MDA (este artículo aún no está publicado) y otra herramienta más antigua usando tecnologías XML que hemos abandonado por carecer de potencia expresiva para lo que estamos haciendo.
Lo que comenta Maligno sobre la optización está realmente acertado :D De hecho ya hay gente trabajando en este tema (lo podéis ver por ejemplo en http://www.mnlab.cs.depaul.edu/mnlab/publications.htm donde tienen trabajos en los que realizan optimización off-line. El problema de descomponer el rule set en uno equivalente sin solapamientos (la madre de todos los problemas por otra parte), es que también es un problema NP completo en el caso peor. En la web que os he puesto hacen precisamente eso (como la mayoría de las propuestas hasta la fecha) y luego la detección de inconsistencias se vuelve trivial. Pero claro, si la descomposición es también NP, estamos en las mismas...

Bueno, os dejo ya de marear. Mis artículos en mi web están, y abierto estoy a cualquier comentario, que siempre es bienvenido. Me alegro de que os haya gustado el trabajo, pues siempre he intentado que mi tesis estuviera fuertemente ligada con problemas del mundo real.

Entrada destacada

MyPublicInbox: Perfiles destacados por categorías #MyPublicInbox @mypublicinbox1

Cuando se conceptualizó la plataforma de MyPublicInbox se pensó en un entorno que permitiera que los perfiles públicos recibieran comunica...

Entradas populares