El blog de los empleados
de Telefónica I+D

Autor: David Prieto

Thomas Jefferson: “La eterna vigilancia es el precio de la libertad”. Este principio se puede aplicar para la seguridad en la red.

A finales de año es necesario hacer un balance de las amenazas a la seguridad y trending topics recogidos por el grupo de hacking ético durante el año pasado. Esta entrada intenta proporcionar no solo temas importantes en nuestra actividad sino que también presta especial atención a tendencias claves en la seguridad previstas para el 2012 desde la perspectiva de los hackers.

Para mostrar la complejidad y sofisticación del mapa de la seguridad podríamos destacar 5 bloques de seguridad:

• “Context Aware” en Seguridad.
• Trustability
• Difusión de Conocimientos e Innovación: CMD in RootedCON & Foro Seguridad RedIRIS, Escuela de excelencia técnica Telefónica (EET), V Jornadas Seguridad CCN-CERT.
• Colaborar con terceras partes (ISC).
• Servicios “pentesting” para Cloud (Seguridad en TCloud).

Context Aware en Seguridad

Se define contexto como cualquier información que caracteriza la situación de una entidad (persona, lugar, u objeto) que es relevante para la interacción entre usuario y aplicación, incluyendo el ambiente que les rodea. Por tanto, Context-aware en Seguridad es un sistema capaz de utilizar distintas fuentes de información para aumentar la toma de decisiones en seguridad y promover su uso en el desarrollo de servicios.

Trustability

De acuerdo con el tema anterior, debemos cambiar nuestro concepto de confianza y romper con las ideas existentes del mismo. En vez de hablar de confianza (la cual nunca tuvimos), proponemos utilizar trustability, que nos permite proporcionar al usuario o servicios con unos niveles variables de confianza y seguridad dependiendo del contexto.

Difusión de conocimientos e Innovación

A pesar de movernos en el ámbito de ideas en seguridad, en el mundo “interconectado”  de hoy en día es muy importante compartir todas las ideas con tus compañeros para que puedan ser aceptadas. Y ha sido muy gratificante ver como han sido aprobadas en muchos eventos: CMD en RootedCON & Foro Seguridad RedIRIS, Escuela de Excelencia Técnica Telefóncia (EET) V Jornadas Seguridad CCN-CERT.

Colaborar con terceras partes (ISC)

Cuando se trata de temas de seguridad, no hay duda de que si quieres llegar a cualquier tipo de conclusión, necesitas crear estrategias en base a colaborar con terceras partes. En nuestro caso, debido a nuestros estudios del protocolo DNS y su amplia gama de usos, ambos legales y no tan legales, hemos estado en contacto con gente de ISC (Consorcio de Sistemas de Internet, Inc) el cual  ha dirigido a la industria con la más completa referencia de implementaciones estándar de DNS ( BIND).

Pentesting la Cloud (Seguridad en TCloud)

La influencia de los servicios cloud en la política de seguridad de las empresas se está convirtiendo en una pesadilla para un profesional de la seguridad como resultado de ceder control de datos corporativos a la cloud, sobre todo una parte de la cloud que la empresa no controla. Esta situación hace plantear preguntas  sobre la seguridad de la información. Para abordar este asunto en la Plataforma Cloud de Telefóncia, concretamente TCloud, hemos aplicado nuestra metodología de hacking para identificar posibles vulnerabilidades en la cloud Pública de Telefónica y para evitar que un usuario tuviera acceso a la información de otro usuario.

Seguridad IPv6

Y por último pero no por eso menos importante, está la Seguridad IPv6. Como ya se sabe,  el principal conductor para IPv6 es el agotamiento de las direcciones IPv4, pero además de obtener más direcciones IP, IPv6 va a proporcionar nuevas ventajas en una amplia gama de áreas, y la mejora de la seguridad es una de ellas (enfoque estándar y homogéneo). Está previsto que 2012 será el año en el que la nueva generación del protocolo de Internet (IPv6) sea desplegada de forma completa por los ISPs y empresas, por ello es inevitable pensar en el despliegue de IPv6 en las redes de Telefónica y sobre todo, en el nuevo esquema de seguridad.