Segurinfo 2014: Cuando el tamaño no es todo (3a. parte)

 

ISO_SEGURINFO_COLOR09(Por Rubén Borlenghi, el Microsaurio) Como te conté la última vez que nos leímos, me hubiera gustado escuchar a Ezequiel Sallis, de la División Cibercrimen de la Policía Metropolitana, y Gustavo Pressman, director del Estudio de Informática Forense, hablar sobre el Tratamiento de los Delitos Informáticos en Entorno Corporativo, pero llegó la hora de la conferencia de prensa, donde estuvieron Pedro Maidana y Enrique Rubinstein, además de Alberto Chehebar, vicepresidente de USUARIA, Daniel Di Giorgio, presidente del comité académico del BCM Forum, y Dell’Acqua que llegó un ratito después, sacándose el sombrero de organizador para ponerse el de RRPP.

En la primera nota de esta reseña en cuotas, mencioné la decisión de Usuaria de modificar la estructura de la Conferencia, pero también hicieron notar la cantidad de especialistas que asistieron a las 34 anteriores, más de ocho mil, la decisión de acercar las mejores prácticas a los usuarios, el incremento de descripciones o presentaciones de elementos para la defensa de los sistemas, y a todo esto agrego, que no puede dejar de mencionarse que Segurinfo versión internacional (Washington y Madrid incluidos) más la conexión con la OEA, le han dado a Usuaria un presencia que habrá que seguir de cerca en los próximos años. En efecto, la Organización de Estados Americanos reconoció a Usuaria como ONG Asociada a la institución. En lo del aumento de presencia, mediten sobre el lema de la conferencia de este año en BAires: “Un Negocio Seguro”. De bísnes estamos hablando, sea PyME, Big Iron o Punto Gov/Gob. ¿O dónde creés que trabajan los asistentes al evento?

 

Saludos de los organizadores, periodistas a almorzar, y al trote para ver otra vez a Cerrudo, en “Hackeando como en las películas”. Detrás del título ganchero, la presentación mostró escenas con hacks cinematográficos risibles, imposibles (“¿porqué en cine todo termina explotando después de que intervino el hacker?”, se preguntó César) y otros realmente posibles. Porque lo que se ve en las pantallas, algunas veces, sí se puede hacer. Un ejemplo: los controles automáticos que en mitad de la nada regulan el flujo de petróleo o gas en una cañería kilométrica… ¿sabías que se manejan por WiFi??? Bah, por radio (que es lo mismo) en bandas absolutamente conocidas. Justamente el año pasado, en Ekoparty, Lucas Apa y Carlos Penagos, de IOActive (la empresa donde trabaja Cerrudo…), mostraron las groseras fallas de seguridad que permitirían a un malvado atacante (no a ellos) controlar los sistemas de una planta fabril, o una refinería.

Y tal como podrás leer en esta nota del gobierno estadounidense, la empresa proveedora (una Gran Empresa) ostenta una impresionante lista de productos que tienen passwords ridículos y otras fallas desesperantemente fáciles de atacar (una vez que te rompiste el coco descubriéndolas, claro) ¿Y sus clientes? Petroleros, plantas atómicas de generación eléctrica, una pavada.

La nota cómica, en el cierre de la presentación, fue un inodoro de superlujo, que ya está en venta, con control remoto, que tiene funciones de bidet. Por lo cual puede enviar un chorro de agua (de caudal controlable vía remoto). La temperatura del agua puede también controlarse remotamente. Todo esto posibilitaría, atacando el celular del usuario para llegar al control remoto de este aparato, mandar un chorro de agua hirviente hacia arriba, ya que todo se conecta por bluetooth e infrarrojos. Mucha gente en la sala se reía. No todos.

 

Rozando el tema de Data Leak Prevention, o sea, cómo copiaron todos los archivos de tu servidor, fui a escuchar al panel conducido por Rodrigo López, con Lucas Coronel, del CSIRT de Banelco; Gustavo Hofmann, CISO del Hospital Británico, y el ingeniero español Ignacio Paredes, joven Experto Evaluador de la Comunidad Europea. La “turbo talk” (estos barbarismos…) a la cual habían bautizado “¡ALERTA! Hoy vuelvo a casa tarde…” en realidad fue una muy interesante presentación donde se expusieron técnicas, procedimientos y experiencias en el campo de la gestión de incidentes de seguridad.

Definieron los tipos de incidentes en el ámbito financiero (Lucas), de la gestión de archivos de historias clínicas y afines (Gustavo) y de las instalaciones industriales (Ignacio). El representante del CSIRT de Banelco mencionó el aumento del phishing en el último año (87%); que el malware causó incidentes en el7% de los casos, y que el 89% de las intervenciones fue resuelta dentro de las 24 horas de apertura del caso. El fraude financiero que involucró en el pasado año más de 400 millones de dólares en Latinoamérica exclusivamente… y se destacó la actividad de los ciber delincuentes, que llegaron a copiar “excelentemente” (sic) sitios bancarios. No, no indicó qué bancos.

El CISO del Hospital Británico dio ejemplos de fallas en las políticas de seguridad, que permiten que aparezcan, por ejemplo, imágenes de tomografías computadas, o de placas radiográficas, completas con nombre, apellido, fecha; y hasta escaneados de análisis clínicos, también con datos personales completos. Hofmann indicó que este tipo de filtración pública de datos médicos podría incidir negativamente, por ejemplo, en la carrera laboral del paciente.

Ignacio Paredes señaló la falta de profesionales especializados, y la existencia de un círculo vicioso: los dispositivos de control industrial no contemplan sistemas de seguridad, y, los clientes no los exigen.

 

Se acercaba la hora del cierre, y quise escuchar “Seguridad en el Desarrollo de Software: Del Dicho al Hecho”, la presentación de Hernán Racciatti, director de SIClabs. Y aparecieron algunas cifras interesantes, tomadas de una estadística un poquitín añeja (2008) pero que de todas maneras fue ilustrativa. Tomando como base que un desarrollador redactara 6.000 líneas de código por año, y que existiese un universo de 17 millones de desarrolladores, podría encontrarse un bug por cada 10.000 líneas de código. Eso da (dijo Hernán) unos diez millones de defectos por año, de los cuales el 1% podría ser explotable. Por otro costado de la pantalla apareció algo como “Cien Mil Zero Day por año” (era la cuenta del 1%), y como Racciatti se dedica a la seguridad ofensiva, según propia definición, algo sabrá del tema.

Un día de estos, completamos la fructífera jornada que fue Segurinfo 2014.

 

A pesar de la hora, todavía había mucha gente escuchando a un profesoral Racciatti
A pesar de la hora, todavía había mucha gente escuchando a un profesoral Racciatti

Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

Ver todas las entradas de Ricardog →

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.