Auditorías de seguridad para proyectos con Blockchain y SmartContracts

By | Auditoría, Blockchain, Conformity Assessment | No Comments

Según algunas estimaciones, las empresas de tecnología de blockchain pueden esperar volúmenes de negocio de 6 mil millones de euros en 2020. Sin embargo, antes deben lidiar con las vulnerabilidades de seguridad de blockchain, que, a pesar de su relevancia se siguen minusvalorando cuando se trata de la  llamada tecnología de “contabilidad distribuida”.

Un inciso terminológico, para acotar el término “libro mayor distribuido” (distributed ledger technology, DLT) que cuenta con una traducción más afortunada como “contabilidad distribuida”.  En mi opinión se ajusta más a la realidad el término “RJT Replicated Journal Technology”  ya que el tipo de libro contable que registra los movimiientos en las blockchains es el llamado “libro diario”. Por ello, mi preferencia frente al término DLT es el de  RJP Replicated Journal Paradigm o RJT Replicated Journal Technology

Vulnerabilidades de seguridad en cadenas de bloques

Algunos aspectos de la seguridad tienen que ver con el uso de la criptografía, y dado que en los contextos de cadenas de bloques se usa intensivamente la criptografía, existe la creencia generalizada de que los sistemas de blockchain, son seguros de por sí.

Sin embargo en sistemas complejos aparecen continuamente diferentes vectores de ataque que hay que identificar y remediar, por lo que el exceso de confianza en la tecnología puede ser peligroso.

De hecho, la tecnología denominada DLT está sujeta a una serie de problemas que las bases de datos centralizadas no tienen.

Los riesgos de seguridad de Blockchain  existen, y deben ser reconocidos y mitigados para que  blockchain cumpla su promesa de transformar la manera en que se almacenan los datos y cómo afectan a los proyectos que las usan.

A medida que más sectores gubernamentales, industriales y comerciales adoptan la tecnología, la necesidad de abordar estos problemas más pronto que tarde se convierte en primordial.

Vulnerabilidades de Blockchain

Vulnerabilidades del sistema de interfaz

Una de las vulnerabilidades más probables con DLT se origina fuera de la propia blockchain.

El sistema de interfaz es el equipo que un usuario emplea para acceder a servicios basado en blockchain.

En ese sistema se introducen las credenciales, motivo suficiente para atraer atacantes que aprovechen vulnerabilidades. Otras veces, manipular el “clipboard” la zona de memoria usada para las funciones de copiar y pegar puede permitir a un atacante cambiar la cuenta de destino de una transacción.

La detección de malware es una funcionalidad deseable en las herramientas que prevean minimizar los ataques a sistema de interfaz.

Seguridad de la criptografía de clave pública

Quienes proponen transacciones para que formen pare de la cadena (por ejemplo, transferencias de valor en el caso de los criptoactivos y criptomonedas) las firman con una clave privada y dan información sobre su clave pública. La clave privada se archiva con la cartera o mecanismo equivalente. La protección del equipo es de nuevo, esencial. Pero existen ciertos riesgos (por ejemplo, en base a la computación cuántica) que en el futuro podría permitir obtener la clave privada a partir de la pública. Para minimizar el riesgo, hay técnicas asociadas a carteras de un solo uso que se pueden adoptar.

Los backups de claves no se deberían conservar en el sistema que se usa a diario. Y aún menos sin cifrar.

Plataformas de terceros

Conforme se popularizan las cibermonedas y las aplicaciones que emplean tecnologías afines (como DLT) el mercado de soluciones de terceros experimentará crecimiento. Algunos posibles servicios a ofertar por terceros son:

  • Plataformas de integración de Blockchain
  • Procesadores de pago
  • Carteras
  • Entidades Fintech
  • Plataformas de pago de criptomonedas
  • Contratos inteligentes

Estas plataformas usan diferentes tecnologías vulnerables, además de las específicas de blockchain. Son verdaderos Prestadores de Servicios de Confianza Digital y deberían cumplir la norma EN 319 401 que el Reglamento EIDAS impone a los Prestadores Cualificados.

Control del paso a producción

Cuando se inicia un proyecto o se evoluciona dentro de el, deben realizarse pruebas exhaustivas para detectar vulnerabilidades en el código antes de su paso a entorno final de ejecución. Eso es de especial relevancia en los smartcontracts. En los smarcontracts se usan con frecuencia lenguajes como Solidity, con “defectos” similares a los de Javascript. Un caso de especial relevancia puede ser incluir entre comillas las direcciones de las carteras. De no hacerlo, las direcciones se truncan y los montos remitidos pueden acabar en un limbo irrecuperable.

Tamaño de la cadena de bloques

Dependiendo del tipo de criptoactivo y de como se ha diseñado su sistema de gestión de transacciones para su anotación en la cadena de bloques, puede ser que sea necesario conservar toda la cadena de bloques desde sus orígenes. Algunas variantes permiten convertir el histórico de transacciones en una “foto de estado” a partir de la cual puede desecharse el histórico anterior. Sea como sea, cuantas más transacciones se hacen más crece la cadena, lo que puede crear problemas de dimensionamiento en los equipos en los que se gestionan.

Ataques del 51%

Algunos sistemas de criptoactivos con diferentes filosofías de confirmación de bloques (PoW, Proof of Work, PoS, Proof of Stake, …) podrían atacarse por colectivos que que superen el 51% de participación en el mecanismo de consenso. Por tanto convendría prever si es necesario contar con mecanismos de reversión, y la responsabilidad de ejecución de tales mecanismos.

Se han dado casos reales de este tipo de ataque sobre mecanismo Pow (teórico hasta hace poco tiempo) que se entiende sabiendo que un gran número de centros de acumulación de equipamiento de minería se construyen en países donde la energía eléctrica es barata y la supervisión escasa

Falta de madurez de la tecnología

En todas las tecnologías se aprenden lecciones esenciales conforme se adoptan y se generalizan. Se descubren problemas y se reselven. La tecnología blockchain todavía está en los estadios iniciales de desarrollo y no se comprenden todos los riesgos y sus efectos.

Riesgos por normalización insuficiente

Muchos de los sistemas de blockchain se despliegan con un “Whitepaper” y código fuente del proyecto disponible en Github. Aunque es un ejercicio de transparencia, a menudo se revela que los promotores de tales proyectos tienen escaso interés en conocer los estándares o en adoptarlos.

Es particularmente llamativo en el ámbito de la firma electrónica, cuyo mercado principal ha madurado a lo largo de los años dando lugar a diversas leyes y normas técnicas que crean presunciones legales a quienes adoptan la tecnología y que define los estándares que facilitan su interoperabilidad.

En cambio, el uso de la tecnología de firma electrónica en los proyectos de blockchain parece provenir de alumnos de grado que han leído lo básico de la teoría de firma electrónica y que ignoran el avance de los estándares. Parecen ejercicios académicos, en vez de responder  exigencias de un mercado que impone que los sistemas puedan interoperar y que sus desarrolladores conozcan las leyes y los estándares.

Afortunadamente UNE e ISO (entre otros organismos de estandarización) están comenzando a proponer estándares para el mundo de blockchain, que no deberían soslayar los avances producidos en las tecnologías comunes con cierto nivel de madurez.

Cabe recordar que la estandarización, contra lo que afirman sus críticos, no cercena  la innovación sino que abre nuevas posibilidades para ella. Y deja resueltos problemas que se acometieron en el pasado minimizando el riego a reinventar a rueda cada vez.

Vulnerabilidades sutiles

Existen vulnerabilidades difíciles de detectar que se hacen visibles tras incidentes de cierta magnitud. Conviene prever mecanismos de reversión antes del despliegue para poder gestionar los problemas que no se han podido identificar con anterioridad.

Un ejemplo nos lo enseña el caso de “The DAO”

Una”DAO” (Distributed autonomous organization) es una Organización Autónoma Descentralizada construida en algunos tipos de blockchain, con funcionalidad de ejecución de código para contratos inteligentes asociados a inversiones en el capital de empresas marcadamente digitales. Se podría decir que un DAO es un fondo de capital  riesgo de crowdsourcing que se gestiona en base a smartcontracts embebidos en una cadena de bloques. Hay muchos DAO, cada uno creado para alojar y ejecutar contratos inteligentes para organizaciones específicas.

Uno de esos DAO, conocido como “The DAO”, fue fundado en 2016 por miembros del equipo de Ethereum. Durante su período de creación, The DAO hizo historia en el ámbito del crowdfunding recaudando 150 millones de dólares. Poco después, The DAO hizo historia, una vez más, al ser el primer DAO en ser pirateado.

Durante el crowdsale, muchos miembros de la comunidad de Ethereum expresaron su preocupación de que el código DAO fuera susceptible de ser atacado. Posteriormente, un miembro del equipo de la DAO encontró un “error recursivo” pero erróneamente creyó que no había fondos de la DAO en riesgo. Un hacker demostró que estaba equivocado.

El ataque se produjo cuando el atacante explotó dos vulnerabilidades en el código DAO. El hacker sabía que el código estaba diseñado para permitir tanto una división como una transferencia de tokens entre cuentas. El hacker también se dio cuenta de que el código no actualizaría los saldos de las cuentas lo suficientemente rápido como para evitar la transferencia de los mismos tokens más de una vez.

El hacker ejecutó una función de escisión, creando una cuenta “child DAO” y realizó repetidas solicitudes de transferencia desde su primera cuenta en rápida sucesión. Como el código no disminuía los saldos de cuenta originales después de cada transferencia, no había nada que impidiera que los mismos tokens se repitieran unas 40 veces cada uno, sin que se destruyeran los tokens originales.

Después de transferir $ 55 millones en Ether, el hacker dio por terminado el ataque y algunos hechos adicionales se sucedieron, por lo que invito a investigar sobre este asunto del que se extraen grandes eseñanzas.

A quien acudir.

Cuando se plantean proyectos serios de blockchain, sus impulsores invierten en los desarrolladres de tecnología que ayudan a definir los tipos de transacción, los modelos de gestión de identidad, los mecanismos de confirmación de bloques, los ritmos de producción de bloques y el límite de transacciones por bloque. Hay muchos aspectos que hacen diferencial cada proyecto.

Uno de que deberá empezar a tenerse en cuenta es el de la auditoría de proyecto. Quizá no detecte todos los problemas, pero descubrirá los principales. hay que empezar a poner en valor lo que ya se conoce y evitar cometer errores que ya se cometieron.

Contacte con Trust Conformity Assessment Body (TCAB) si necesita auditar un proyecto de blockchain.

24-28/09: Cita con NIS Summer School en Grecia

By | Ciberseguridad, Cybersecurity | No Comments

La quinta edición de NIS Summer School sobre Seguridad de Redes e Información (NIS’18) tendrá lugar del 24 al 28 de septiembre en Heraklion (Grecia).

NIS Summer School, organizado por la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA) y la Fundación para la Investigación y la Tecnología (Hellas), reunirá durante cuatro días  a distintos players del sector tales como la Administración Pública, empresas del sector privado y organizaciones sin ánimo de lucro.

La temática de esta edición es «El desafío de un panorama de riesgos en constante cambio». En un sistema como el actual el sector IT vive en constante evolución, lo que plantea importantes desafíos. Para ello, los actores implicados deben acelerar su tiempo de reacción y fomentar el intercambio de colaboración e información para lograr dar respuestas adecuadas y efectivas a los desafíos que se plantean.

Con estas jornadas, ENISA busca promover la cultura de la ciberseguridad en la UE, que servirá para mejorar la capacidad de los Estados Miembros a la hora de responder a ciberataques. ENISA sigue una estrategia de mitigación de riesgos mediante la concienciación y la publicación de estudios e informes sobre temas actuales NIS.

Dando a conocer trabajos sobre Inteligencia de Amenazas de ciberseguridad

Las organizaciones sin ánimo de lucro en el área de Inteligencia de Ciberamenazas tendrán la oportunidad de presentar sus trabajos durante el evento, que pueden estar relacionados con proyectos de Horizon 2020, investigaciones académicas nacionales, proyectos de desarrollo y comunidades open source.

Ponencias en NIS Summer School

A lo largo de NIS Summer School habrá un gran número de ponentes procedentes tanto del sector público como del privado y del ámbito universitario. En concreto, destacan los siguientes:

  • Nektarios Tavernarakis (Presidente de FORTH)
  • Udo Helmbrecht (Director Ejecutivo de ENISA)
  • Damien Cauquil (Jefe de I+D en Seguridad Digital – Econocom)
  • Piotr Kijewski (Jefe de Programas Estratégicos en The Shadowserver Foundation)
  • Prof. Dr. Ir. Bart Preneel (Profesor de la Universidad Católica de Lovaina)

Datos del evento

Fecha: 24-28 de septiembre de 2018
Lugar: Galaxy Hotel Iraklio – Leof. Dimokratias 75, Iraklio 713 06, Grecia
URL: https://nis-summer-school.enisa.europa.eu/

Para ver el programa de NIS Summer School 2018, haga click aquí.

La UE invierte en el futuro de la Transformación Digital 2017-2021

By | Digital Transformation, Transformación Digital | No Comments

La Comisión Europea publicó el pasado mayo el presupuesto multianual de la Unión Europea, llamado Marco Financiero Multianual, que entre otras partidas dota económicamente la transformación digital en la Unión Europea durante el periodo 2017-2021.

Dentro de esta dotación presupuestaria existe un programa denominado «Europa Digital», el cual forma parte de la estrategia del Mercado Único Digital, y que está dotado con 9.200 millones de euros . La finalidad del programa consiste en impulsar la transformación digital de la UE mediante el incremento de las inversiones, especial interés en áreas de interés público y refuerzo de varios proyectos de cooperación con los Estados Miembros.

Líneas de actuación del programa Europa Digital

El programa se basa en cinco líneas de actuación que impulsarán la transformación digital:

  • Supercomputadores: Se destinará un total de 2.700 millones de euros para apuntalar las capacidades de procesamiento de la computación de alto nivel en la UE. Además, se fomentará el uso de los supercomputadores en áreas de interés público como la salud, el medioambiente, la seguridad. Por último, se harán llegar estas capacidades a pequeñas y medianas empresas (PYMES) de la UE.

 

  • Inteligencia artificial: Los objetivos en esta área consisten en fomentar y reforzar el uso de inteligencia artifical tanto en empresad como en Administraciones Públicas; facilitar el acceso seguro y el almacenamiento de grandes conjuntos de datos y algoritmos; y en reforzar y apoyar las instalaciones de prueba y experimentación en los Estados Miembros. En total, se van a destinar 2.500 millones de euros a esta partida.

 

  • Ciberseguridad y confianza: Aunque las tecnologías digitales han abierto un mundo de posibilidades a los  ciudadanos, estas también llevan aparejado un riesgo. Entre otros, destacan los ciberataques, el fraude y el robo de datos. Hasta el momento, la UE ha respondido adoptando la primera legislación a nivel europeo sobre ciberseguridad, la NIS.

En total, se van a destinar 2.000 millones de euros a:

– Promover la provisión de equipos avanzados de ciberseguridad.

– Difundir, a nivel europeo, conocimiento, capacidades y habilidades relacionadas con la ciberseguridad.

– Asegurar el despliegue de las últimas soluciones de ciberseguridad en la economía.

– Reforzar las capacidades para asegurar un nivel común de seguridad de redes y sistemas de la información en   la UE.

 

  • Habilidades digitales avanzadas: La UE se ha propuesto invertir en la formación de ciudadanos de la UE en competencias digitales. El programa «Digital Europe» ofrecerá a los estudiantes y expertos IT numerosas oportunidades de formación en tecnologías digitales avanzadas. En total, se van a destinar 700 millones de euros a la formación de personal cualificado.

 

  • Asegurar un uso amplio de las tecnologías digitales en la economía y la sociedad: La UE busca impulsar la digitalización de las Administraciones Públicas y sus servicios, así como asegurar la interoperabilidad a nivel europeo y facilitar el acceso a la tecnología y el know-how a todas las empresas.
    Este apartado va a contar con un total de 1.300 millones de euros.

Si desea más información, por favor pinche aquí.

 

Digital Transformation

ETSI Security Week 2018

By | Ciberseguridad | No Comments

ETSI Security Week 2018ETSI Security Week 2018 tuvo lugar la semana del 11 al 15 de junio en la sede de ETSI, localizada en Sophia Antipolis (sur de Francia).

El evento, de carácter gratuito, abordó los principales retos en el sector de  la ciberseguridad en un mundo cada vez más digital. La cita se centró en los temas más actuales del sector como: políticas de ciberseguridad, acciones legislativas, ciberataques y las últimas tecnologías en este campo. Además, no olvidó debatir sobre los retos de fondo en el mundo de la ciberseguridad y las acciones técnicas y de normalización emprendidas para superarlos.

 

Presentaciones en ETSI Security Week 2018

En concreto, hubo presentaciones sobre los siguientes temas:

  • Últimos controladores de Ciberseguridad, considerando las últimas políticas y acciones legales, así como los últimos ataques cibernéticos.
  • Seguridad / privacidad / seguridad de IoT.
  • Seguridad 5G / privacidad.
  • Tecnologías de registros distribuidos.
  • Servicios de creación de firmas remotas eIDAS.
  • Seguridad de Middlebox y Hackathon.

El calendario de presentaciones durante el mes de junio fue el siguiente:

  • Día 11: Latest drivers for Cybersecurity
  • Días 12 y 13: Future-Proof IoT Security and Privacy
  • Día 12: Hot topics in Middlebox security
  • Días 12 y 13: Middlebox Hackaton
  • Día 13: Remote Signature Creation Services by TSP: Protocols and Audit Requirements
  • Días 13 y 14: What does 5G Security offer?
  • Días 14 y 15: Security and Trust in ICT: the Value of Distributed Ledger Technology

Si desea ver algunas de las presentaciones que se realizaron durante Security Week 2018, por favor haga click aquí.

Sobre esta edición

Por su parte, los conferenciantes procedían de diferentes ámbitos: agencias de seguridad nacional, líderes IT, expertos en ciberseguridad, organizaciones de estándares globales, desarrolladores, investigadores, universidades y responsables políticos. En total, participaron más de 300 visitantes de toda Europa.

La charla que más atención atrajo por parte del público fue «Seguridad 5G / privacidad«, en la que se describió el futuro del UICC integrado. Por otro lado, el hackathon ofreció un ejemplo concreto de las especificaciones del protocolo de seguridad middlebox ETSI TC CYBER y sus implementaciones.

Si desea más información sobre el evento, haga click aquí.

Más información también disponible en Twitter.