miércoles, 1 de diciembre de 2010

Resumen del DISI 2010


Buenas a todos, ayer estuve por el DISI 2010 disfrutando en el día Internacional de la Seguridad de unas cuantas ponencias muy interesantes.

Empezó el día con una charla del Dr. Taher Elgamal, sí, el creador del algoritmo criptográfico "Elgamal", uno de los creadores de SSL y de la norma SET y un largo etcétera, que impartió una charla de más de una hora sobre la historia del eCommerce en los últimos 15 años y su futuro en los próximos 15 años, que derivó en interesantes preguntas sobre temas como la computación cuántica. Comentaron los organizadores que colgarían el vídeo de la exposición de Taher en el canal de youtube de la UPM, así que estad atentos ;)

Tras la charla de Elgamal prosiguieron "los CERT", Chelo Malagón, de IRIS CERT, Eduardo Carozo, de CSIRT ANTEL, Javier Candau, de CCN CERT y Marcos Gómez Hidalgo, de CERT INTECO para hablar sobre el ENS.

Las charlas de los Cert fueron encaminadas a aclarar ciertas dudas sobre el ENS que todavía quedan encima de la mesa de muchas organizaciones, como la aclaración de Chelo sobre la aplicación del ENS a todas las universidades públicas. También trataron temas durante el posterior debate como la posibilidad de en un futuro extrapolar el ENS a organizaciones privadas (recordemos que el ENS solo afecta a organizaciones del estado), por ejemplo, obligando a obtener la certificación ISO 27001 (salvando las distancias), lo que podría suponer un gran problema para muchas organizaciones debido a la poca preocupación que tienen muchas de nuestras PYMES por estos quehaceres, además de la repercusión que esto tendría en materia económica, ya que con la crisis actual muchas de estas empresas ya se las ven bastante mal para sobrevivir tal como están las cosas, como para ponerle mas trabas y obligarles a invertir más en seguridad. Éste tema generó un gran debate, que continuó en la siguiente charla.

Eduardo Carozo, ponente de Uruguay invitado, aprovechó su intervención para hablarnos del Proyecto Amparo, un interesante manual diseñado para aumentar la capacidad de prevención y de respuesta a incidentes de seguridad informática, que podéis descargar desde aquí.

A continuación, tras el cocktail, donde tuve la oportunidad de charlar con algunos de los ponentes, prosiguió el DISI con las charlas de Rubén Santamarta (Wintercore), El padre Parada (Microsoft) y Juan Luis Rambla (Informática 64). Faltó David Barroso por enfermedad.

En ésta charla Juan Luis nos estuvo contando sus experiencias como auditor de infraestructuras críticas y se centró también en aclarar algunas dudas sobre el ENS que habían quedado tras la anterior charla. Tras Juan Luis, continuó Rubén hablando de la seguridad en los sistemas SCADA, y que tanto miedo están produciendo en la sociedad en los últimos meses por el poder que entrega a los hackers al permitir a través de estos sistemas controlar sensores, válvulas, etc. de centrales nucleares, plataformas petrolíferas y cualquier sistema de producción y control prácticamente. Al hilo de la charla de Rubén, continuó Parada hablando sobre Stuxnet, un gusano diseñado para atacar a estos sistemas y que descubrieron hace apenas 5 meses, aunque se cree que puede llevar en funcionamiento desde hace un año. El objetivo de este gusano, aunque todavía no ha sido esclarecido, se piensa que es atacar sistemas industriales como las plantas eléctricas y los reactores nucleares de Irán. Miedo da pensar que se pueda lograr acceso a estos sistemas, porque la cosa ya no es que logren vulnerar un sistema para hacer un deface en una web, aquí corren riesgo vidas humanas y se hizo mucho hincapié en los esfuerzos por paliar las vulnerabilidades en estos sistemas.

Para que veáis un ejemplo del poder de Stuxnet, en Agosto de este año ya llevaba infectadas según Symantec los siguientes equipos:



Tras el intenso debate producido tras esta charla, volvió Taher para concluir el acto y despedir el evento hasta el próximo DISI 2011.

Saludos!

2 comentarios:

Seguridad de la Información dijo...

Muchas gracias por trasladar lo ocurrido para los que no pudieron asistir nos enteremos rápidamente! Un saludo!

Juan Antonio Calles dijo...

Un placer =)