viernes, 30 de noviembre de 2007

CIBSI 2007

Cada dos años se realiza el Congreso Iberoamericano de Seguridad Informática (CIBSI). Este año la sede de su cuarta edición fue la ciudad de Mar del Plata (Argentina) y se llevó a cabo en el Hotel 13 de Julio desde el 26 al 28 de noviembre. Contó con la organización de la Universidad Nacional del Centro de la Provincia de Buenos Aires (Argentina) y la Universidad Politécnica de Madrid (España).


Luego de muchas idas y venidas finalmente pude concurrir al mismo y acá va como viví experiencia.

El lunes 26 de noviembre, luego del acto inaugural, arrancaron las sesiones plenarias.
La primera estuvo a cargo del Dr. Hugo Scolnik de la Universidad de Buenos Aires quien propuso un nuevo método de factorización de enteros para atacar RSA. Basádose en la aplicación del método de Fermat (1643) el problema se centraría en la definición de filtros para descartar las ramas de soluciones que no conducen a ningún lado. Scolnik y su equipo han demostrado una cantidad de teoremas y algoritmos, sumado al desarrollo de software de precisión múltiple que los implementa.

El Dr. Alejandro Helvia de la Universidad de Chile habló de "Seguridad y composición de Protocolos Criptográficos" y propone una nueva definición del concepto de "Seguridad Informática". No fuimos pocos los sorprendidos cuando Helvia arrancó presentándose en idioma inglés ante el auditorio. ¡Era un congreso IBEROAMERICANO guevón!.

Al otro día el Dr. Paulo Barreto, de la Universidad de Sao Pablo (Brasil), presentó el tema "Criptografía post-cuántica" en donde propone una serie de métodos criptográficos para utilizar en futuros computadores cuánticos de suficiente potencia computacional.

El 26 y 27 de noviembre comenzaron las presentaciones de los trabajos sobre seguridad informática y criptografía seleccionados. De los 69 trabajos recibidos, un comité de 43 expertos de 13 paises de Iberoamérica eligieron 48 de los cuales 43 se presentaron en el evento.

Las presentaciones se llevaban a cabo simultáneamente en dos salones. Gracias a la puntualidad garantizada por los moderadores, era posible saltar a la otra sala cuando finalizaba la charla en la que estábamos. De todas maneras, por la imposibilidad física de estar en dos sitios a la vez, pude presenciar la mitad de las conferencias.

El nivel de las presentaciones y de los trabajos en general fue muy alto, especialmente los de España, Argentina y Brasil. Las que más me impactaron fueron las siguientes:

Juan Pedro Hecht (Argentina) habló de su propuesta de utilizar autómatas celulares caóticos en la generación de funciones hash de mayor resistencia a los ataques de colisiones diferenciales.

Andrés Riancho (Argentina) presentó w3aaf (Web Application Attack and Audit Framework), un entorno de trabajo para la búsqueda de vulnerabilidades en servidores web. La aplicación está escrita en Python y es de código abierto. Aunque todavía no la bajé (prometo hacerlo) pero por lo que vi parece muy interesante.

Oscar Delgado Mohatar del Instituto de Física Aplicada, CSIC, Madrid (España) nos hizo un recorrido por las nuevas tendencias en fraude electrónico. El malware ha evolucionado volviéndose día a día más ingenioso y sofisticado. Y detrás ya no están hackers en busca de reconocimiento sino verdaderas redes mafiosas. Además, se puso en tela de juicio la utilidad de las protecciones criptográficas usadas hasta el momento. Siendo el usuario el eslabón más débil en una transacción electrónica, un atacante puede hacerse de los datos del PIN de la tarjeta de crédito, por ejemplo, aún cuando dicha transacción se esté llevando a cabo en un canal seguro. Una técnica usada para esto por los troyanos es instalarse en la forma de Browser Helper Object (BHO). Las BHO son extensiones de Internet Explorer que se usan por ejemplo en la barra de Google o para visualizar documentos PDF. Sin ambargo, los troyanos pueden usar esto para manipular los datos recibidos y enviados por el navegador, aún cuando estos hayan sido previamente cifrados. Inyectando código HTML antes de presentar la página al usuario, pueden agregar campos en los formularios de autenticación solicitando información sensible.

Aunque no pude presenciarla tuve muy buenas referencias de la charla "Metodología para la evaluación de la seguridad de aplicaciones web frente a ataques Blind SQL Inyection" de Chema Alonso (España) quien en vivo mostró como se lleva a cabo un ataque de este tipo contra la página de un conocido club argentino.

Otros trabajos me generaron mucha expectativa pero luego de las presentaciones me sentí defraudado. Uno de los caso fue la conferencia "Concepción, diseño e implementación de un laboratorio de seguridad informática" donde el orador (no voy a dar su nombre) se concentró en mostrarnos las ventajas de usar VMWare para ese fin. Con una total falta de conocimiento, afirmó que el software que corre en una máquina virtual no tiene forma de darse cuenta que no está corriendo en una máquina real. Van a sorprenderse cuando empiecen a analizar troyanos modernos en este laboratorio...

Tampoco el trabajo "Análisis forense de equipos de telefonía celular" estuvo al nivel del resto. El título prometía mucho pero fue un fiasco. Sólo se recordaron los pasos para realizar un análisis forence informático y se nombraron cuatro programas que extraen información de los chips GSM. A la hora de las preguntas el orador no pudo responder al vendaval de consultas que los presentes tenían para hacer.

Existieron algunas fallas en la organización del evento que se podrían responsabilizar a la empresa WorkTec que tenía esa responsabilidad. Nunca pude tener en mi mano un programa con las actividades actualizadas. Lo pedí un par de veces sin éxito. Así que para saber quién estaba disertando había que leer una hoja pegada en la puerta de cada salón. Como éramos varios (sino todos) los que estábamos en la misma, las puertas siempre estaban atestadas de personas leyendo el programa. Las gráficas del congreso y el programa (desactualizado) impreso figuraba como organizadora a la "Universidad Politénica de Madrid".

En fin, son cosas que pasan.

En el cierre del evento se anunció que la sede del CIBSI 2009 será Montevideo, Uruguay.

1 comentario:

Jorge Ramió dijo...

Gracias Federico por tus comentarios respecto al nivel del congreso.

Como es de esperar, siempre se dan esos casos de ponencias más interesantes que otras en cualquier evento. Lo importante es la visión global que tenemos al final del mismo, y en este caso creo que en general el nivel de ponencias y conferencias ha sido muy alto.

En cuanto al tema de la organización que comentas, tienes toda la razón y me habrás visto desesperado intentando solucionar esos problemas. No debe ser lo habitual que el coordinador del congreso esté solucionando estos temas sobre la marcha pero no había otra solución si queríamos que el congreso saliera adelante, como así fue.

Para ello hay una supuesta universidad anfitriona (Universidad Nacional del Centro de la Provincia de Buenos Aires) que brilló por su ausencia y que no ha demostrado tener un mínimo nivel académico ni seriedad alguna, y una empresa -Wortek- que debería haber tenido todo planificado... pero no ha sido así, y de verdad lamento mucho los problemas que puedan haber ocasionado a asistentes y ponentes.

Sólo puedo decirte que todos esos asuntos de organización local (programas mal confeccionados, erratas en carteles como bien indicas, bolsos sin nombre del evento, falta de información, falta de agilidad en inscripciones, problemas con las facturas, algún micrófono que no funcionaba, agilidad en el servicio y calidad de la comida, etc.) no tiene responsabilidad alguna la Universidad Politécnica de Madrid.

Hemos tomado buena cuenta para que esto no suceda en el CIBSI 2009, a celebrarse en Montevideo, Uruguay, donde espero volver a verte.

Un fuerte abrazo

Dr. Jorge Ramió
Coordinador de CriptoRed
http://www.criptored.upm.es/
Promotor de los congresos CIBSI