CSA: La Nube importa. La seguridad de la Nube importa más.

CSA_AR_Summit_2016_logo_RGB_Web-1024x423Un par de semanas atrás se hizo por primera vez la CSA Argentina Summit organizada, no podía ser de otra manera por la CSA, e’cir, la Cloud Security Alliance. Más precisamente, su capítulo argentino, organizada, entre otros, por el amigo Julio César Balderrama. Que tuvo, justo es decirlo, una asistencia inesperada hasta por los propios organizadores: alrededor de 400 personas en todo el día. Que no es poco. Y quien también estuvo ahí fue nada menos que nuestro amigo y colaborador el Microsaurio, a quien ya le cedemos la palabra.

 

(Por Rubén Borlenghi, el Microsaurio) Resumen para ansiosos: Primera conferencia técnica local destinada a los que tienen que cuidar la Nube. Para los que no se enteraron, existe una Cloud Security Alliance (no me harás traducir…) Y el Argentina Chapter, pues claro que hay uno, la puso en marcha con lleno total el 29 de junio pasado, en muy bien ubicado hotel de la City. En una frase: Organizar y educar a los que cuidan la nube, versión local. Otra: La seguridad de la Nube importa a muchos.

 

Como si lo hubieran hecho una docena de veces, cumplieron con las etapas imaginables: recibir a los inscriptos, encaminarlos a paneles y tracks de conferencias individuales, darles café, almorzarlos (es un decir) y dejarlos a todos contentos. Sí, puse el resumen al principio. Es para ahorrarme opiniones al final. Me gustó, y espero otra. Ahora cuento porqué.

 

Eso parecía indicar la larguísima cola en la recepción. Aunque Julio César Balderrama, consejero del directorio de CSA Argentina, atendía distraídos y solucionaba problemas de inscripción, el momento del inicio de la sesión plenaria se atrasó porque claro, aparecieron casi todos a último momento. Cosas de la puntualidad porteña.

El pelaje de la audiencia era similar al que se ve en las mayores reuniones del tema en BAires: bastante traje corporativo/financiero, unos cuantos integrantes de las No Such Agency locales, mucho BOFH comercial y de dependencias oficiales. Más unos cuantos abogados y auditores estatales/corporativos/bancarios.

Pero no fue grave. Con apenas quince minutos de retraso arrancó la bienvenida, a cargo de Leonardo Rosso y Luciano Moreira, presidente y vice de CSA Argentina, que presentaron la entidad y le pasaron el uso de la palabra a Jim Reavis, co fundador y CEO de CSA, quien fundamentó la necesidad de existencia de CSA, y cerró su exposición afirmando que en Argentina estaban muchos de los mejores especialistas en seguridad informática. Cosa que es conocida, pero queda lindo que te lo diga un experto extranjero…

 

La mañana de paneles

Aplausos de por medio, arrancó el panel “Crime-as-a-Service” con el abogado Daniel Monastersky; Gabriel Rojas, jefe del Departamento Investigaciones Especiales Complejas de la Policía Metropolitana; Adrián Acosta, del Digital Crime Center de INTERPOL y el fiscal Horacio Azzolin, de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) de la Procuración General de la Nación.

Sí, para empezar, para abrir el apetito.

Cada uno relató vicisitudes, dificultades y aciertos, tocando, por ejemplo, el tema de la jurisdicción. Asunto interesante, dado que mucho se habla de nube, pero sabemos que se trata de datacenters cuya ubicación física puede ser muy, muy remota.

Nota del escriba: comparar este panel con uno similar de apenas cinco años atrás (no diré cual) me llevó a deducir que, a pesar de las dificultades de vivir acá en el Sur, la Justicia y las fuerzas de seguridad ya tienen quién se haga cargo, con conocimiento.

 

Comentario aparte, la breve intervención de Monastersky mencionando la iniciativa No Encontrado – Error 404 que ayuda a difundir información sobre chicos perdidos usando las 404, en colaboración con Missing Children Argentina. Enterate acá: noencontrado.org. (Nota del dire: poné en la barra de direcciones www.tecnozona.com/cualquierverdura y verás cómo funciona)

 

Llegó el primer reparto de café, y luego de cargar combustible la audiencia se repartió entre el Track Tango (área de negocio) y Milonga (área técnica).

Arranqué por la presentación de Mauricio Daguer, especialista de ventas de Dell, que bajo el título “Cualquier aplicación, desde cualquier dispositivo, en cualquier momento, con Cloud client-computing” detalló varias iniciativas (y productos…) de su empresa destinadas a lo que describió como un eficiente y fácilmente auditable conjunto de software y componentes destinados a trabajar en sistema terminal boba/servidor, estando ese servidor on-premises o remoto, para ser productivos en cualquier lugar, y admitiendo en el proceso a todos los BYODs.

Cuarenta minutos después (los organizadores marcaban el paso de los presentadores con firmeza) me acerqué al panel “To Cloud or not to Cloud”, dedicado al concepto de Cloud en el sector Financiero y Bancario. Lo integraron Leonardo Goldim, fundador y presidente de CSA Brasil; Cristian Borghello, director de Segu-Info y co fundador de ODILA, Observatorio de Delitos Informáticos de Latinoamérica, y el ya mencionado Julio Balderrama, consejero del directorio de CSA Argentina y director de FSA Latinoamérica (tan ubicuo que parecía estar en dos pisos del hotel al mismo tiempo). Goldín analizó el concepto de privacidad en el ambiente bancario, tema crítico cuando existe la posibilidad de que se esté en un entorno de virtualización tal que no se sabe si el proveedor de servicios de nube no tiene a un competidor nuestro como cliente, en el mismo servidor físico. Planteada la nube privada como solución, Goldín mencionó también al SDP, Software Defined Perimeter, como otra variable dentro de los conceptos de una arquitectura de seguridad actualizada. Cristian Borghello, un especialista cuya trayectoria no hace falta detallar (y flamante miembro de ElevenPaths Buenos Aires), señaló, entre muchas otras cosas, que en algunas organizaciones “…ir a la Cloud se transformó en una moda, sin medir las consecuencias de llevar los datos a la nube…” Luego de lo cual mencionó la necesidad de conocer y cumplir las normativas del BCRA e hizo sabrosos comentarios sobra la metodología de algunos auditores. Este tema le interesó a Julio Balderrama (es auditor) y explicó brevemente temas afines, además de mencionar que tal vez falte normativa. Frente al problema de cómo implementar convenientemente el servicio, Balderrama insistió en la necesidad de planificar correctamente y tener buenos especialistas. Borghello agregó que el problema de Cloud no es la tecnología, es un problema de estándares y de gestión.

 

Seguían siendo puntuales, así que dieron paso a Alexis Aguirre Zambrano, de British Telecom, que se dedicó a comentar el nuevo rol del CISO en la transformación digital. Apoyado en abundantes estadísticas mencionó que a los CISOs se les pide que sean pensadores y líderes, pero que están dedicados a la técnica y el cumplimiento de regulaciones. Indicó que en muchos casos no forman parte de directorio de la empresa y que suelen ser chivos expiatorios cuando algo sale mal desde el punto de vista de la seguridad de los datos o de la continuidad del negocio. Mencionó cuatro tipos de CISO a los que llamó gerente de IT, táctico, estratega y transformacional, augurando mayor avance en su carrera profesional a quien logre ser transformacional, porque será quien “sobreviva al ataque” cuando haya un incidente que perturbe la actividad de la empresa.

 

Llegó la hora del almuerzo. Cuando regresé al prolijo hotel de la City (prefiero comer sentado) decidí cambiarme al “track técnico”, que según pude averiguar, había estado colmado en capacidad de sala, en las tres conferencias de la mañana.

 

La tarde de tracks

Estaba por comenzar “Crozono, Crack is in the air”, presentado por el ingeniero Pablo Romanos y la muy buena programadora Sheila Berta. Si el nombre del software (crozono) y los apellidos de los presentadores resultan familiares, es porque estuvieron en Ekoparty del año pasado presentando la primera etapa de este trabajo. Crozono es un framework escrito en Python, que contiene las rutinas necesarias para explorar una conexión wifi, levantar la contraseña, ingresar y auto-declararse como una máquina más de la red, y levantar tráfico que haya en la red… o seguir ingresando, según lo desee el investigador. Nota del escriba: hice un feroz resumen. Si les picó la curiosidad, pasen por acá.

En la práctica, es software cargado en una placa Raspberry convenientemente seteada, conectada a un modem wifi; todo eso viaja en la barriga de un dron chico, que tiene una autonomía de una media hora, luego de lo cual regresa solito, convenientemente, a casa. Los pasos: ubicar un edificio y establecer sus coordenadas geográficas, que se pasarán a un GPS. Llevar al dron cerca del edificio. Ponerlo a trabajar. El dron da unas vueltas y detecta señal wifi, levanta los SSID, hace un ataque para quebrar contraseñas; si fracasa, puede transmitir los datos al investigador que podía quebrar las contraseñas en un laboratorio y seguir. Ingresado a la red, puede buscar una computadora y atacarla. Graba lo que necesita, o facilita, como intermediario, el trabajo de un atacante remoto.

Según contó Sheila, la Policía Metropolitana lo tiene para ensayo.

Tomen nota.

Por supuesto, en el mejor estilo hacker, se hizo en CSA Argentina Summit una demostración exitosa de quiebre de contraseña de un modem wifi que pusieron a la vista, a unos metros del dron. El software habrá demorado unos 40 segundos en obtener el password, ante los aplausos de la audiencia.

Esto es más o menos lo que ya habían presentado el año pasado. Este año le agregaron la posibilidad de generar mapas de actividad radioeléctrica dentro de un perímetro determinado, midiendo la potencia de señal y las áreas cubiertas.

 

La siguiente conferencia sufrió un cambio, dado que la presentadora… recibió una auditoría en la empresa en que trabaja. Justo ese día. Así que se hizo cargo Cristian Borghello, para presentar un rápido pero muy completo panorama de la normativa relacionada con los servicios de nube. Entre las muchas recomendaciones, destacó la necesidad de contar con un abogado *especializado* a la hora decidir la contratación de un servicio de este tipo. Y para los que levanten una ceja frente a *especializado*: sí, los hay, en la sala había varios, que pudorosamente no saltaron a ofrecer sus tarjetas a la audiencia…

 

Nuevo cambio de orador. Esta vez, el ingeniero Gustavo Presman, perito informático de muy extensa y reconocida actividad, presentó “Recolección de evidencia digital en la Nube: ¿Un nuevo paradigma para el análisis forense?”. Ante una hinchada totalmente a su favor, desplegó pacientemente los pasos en la protección de la cadena de custodia, la oportunidad de acción frente a una computadora encendida o apagada, cómo se puede realizar un análisis forense de datos que se alojan en un servidor remoto… en fin, una presentación sin desperdicio y valioso contenido académico.

 

Nueva pausa para café, luego de lo cual el ya mencionado Leonardo Goldín indicó cuáles son las fuentes de conocimiento para los profesionales de seguridad de cloud, en su presentación “Who can protect us? Education for cloud security professionals”. Y recomendó acudir a instituciones especializadas, tal como la Cloud Security Alliance.

 

Y me tuve que retirar, justo cuando anunciaban “The Big Brother”, un panel sobre transparencia, privacidad y datos personales en la Nube. Los panelistas anunciados eran Gustavo Linares, responsable de seguridad informática del gobierno de la Ciudad de Buenos Aires; Marcelo Temperini, abogado especialista en Derecho Informático, Doctorando de CONICET en Delitos Informáticos y Cibercrimen; Miguel Sumer Elias, abogado especialista en Delitos Informáticos, fundador y Director de Informática Legal, e Ivan Arce, director del Programa de Seguridad en TIC (STIC) de Fundación Sadosky y socio fundador de Core Security Technologies. Un lujo, que lamenté perderme.

 

Mi opinión sobre la reunión ya se ha leído arriba. Algún sponsor/presentador tal vez debería haber expuesto un “caso de éxito” y no describir el producto tan directamente. Pero lo consulté con varios de los presentes, y coincidieron en que vinieron a aprender, y lo lograron. Y esperan volver a encontrar algo similar periódicamente.

Esta fue una mirada diferente, nueva, en el panorama de las conferencias locales sobre seguridad informática. Académicamente sólida, con presentaciones técnicas no acartonadas.

En fin, birds of a feather, y’ know, they fly together.

Una muestra de la inesperada convocatoria que reunió la CSA Summit Argentina 2016
Una muestra de la inesperada convocatoria que reunió la CSA Summit Argentina 2016

Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

Ver todas las entradas de Ricardog →

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.