Han sido unos días intensos para el equipo de jtsec, pero a la vez tremendamente gratificantes y, por qué no, también divertidos. ¡Cuatro días para dar tres conferencias en dos congresos con un solo objetivo! Mejorar la ciberseguridad de los sistemas de información.
El pasado martes nuestro CTO, José Ruiz, cogía el avión para dirigirse a Otawa la edición anual del ICMC (International Cryptographic Module Conference).
Fue una conferencia excepcionalmente interesante, y pudimos vislumbrar algo de lo que será el futuro de Common Criteria, un tema muy discutido en diferentes charlas, entre las que destacamos las siguientes:
- Brexit, and what it means for product evaluations in the UK and Europe. Simon Milford.
- The EU Cybersecurity Act: Is this the first tangible evidence of the balkanization of Common Criteria. Joshua Brickman and Elaine Newton.
- Building Certification Bodies. Wouter Slegers.
- Is 2018 a make or break year for CC? John Boggie.
¡Nos esperan años muy interesantes en el mundo de la certificación de ciberseguridad! Sin duda, se nota preocupación en la industria, es el momento de que trabajemos unidos para definir un futuro mejor.
Las diferencias entre las visiones Europa-USA fueron también un tema muy presente, algo de lo que ya hablamos también nosotros en el pasado Common Criteria User Forum en Noruega.
El jueves 10, nosotros también tuvimos la oportunidad de realizar una presentación sobre el Catálogo de Productos STIC lanzado por el CCN (gracias por tu soporte Estefanía!) y sobre cómo los gobiernos de todo el mundo están lanzando nuevas maneras de manejar las adquisiciones de productos de seguridad IT, enfocándose en concreto en la nueva taxonomía de productos y cómo se encuentran perfectamente alineados con el estándar Common Criteria.
El desarrollo de este sistema está permitiendo a la Administración española dotarse de equipos que han superado los controles de seguridad más avanzados, al tiempo que proporciona a los fabricantes una mayor flexibilidad para evaluar sus productos de forma rápida y eficiente, respondiendo a la rápida evolución de las demandas del mercado. El consumidor final, la Administración española, ya dispone así de un catálogo sencillo y manejable que le permitirá saber qué equipamiento necesita adquirir para garantizar la seguridad del ciudadano.
Jose pudo hacer sentir a sus padres orgullosos, el quinto mandamiento de nuestro decálogo, y toda la audiencia pudo dar cuenta de ello.
Make your parents proud! Something like this is the 5th commandment of our decalogue in jtsec. And our CTO knows very well how to do it! Making history at @CryptoModConf #ICMC18 talking about @CCNCERT @CCNPYTEC #CatálogoCPSTIC pic.twitter.com/HgnnqMadIa
— jtsec (@JTSecES) 11 de mayo de 2018
Por otro lado, Javier Tallón y José Manuel Pulido, COO y PM de jtsec, pudieron viajar durante el fin de semana a la vecina Almería, para compartir sus conocimientos sobre desarrollo seguro en Supersec, el primer Congreso nacional sobre desarrollo seguro de software, organizado conjuntamente por la Universidad de Almería, los chicos del hacklab de Almería y la fundación OWASP (Open Web Application Security Project).
Destacamos las presentaciones del reputado hacker del código abierto Michael Meeks, desarrollador de la suite ofimática LibreOffice, que nos habló de cómo realizaban el testing de los formatos de documentos soportados por su aplicación, así como del manejo de los bugs en un producto de enorme tamaño y de Luis Jiménez, subdirector general del Centro Criptológico Nacional, que nos puso al día en materia de ciberamenazas y tendencias, recordándonos que la ciberseguridad se construye desde los 1s y los 0s.
El sábado 11 José Manuel tuvo la oportunidad de instruir magistralmente a la audiencia sobre cómo utilizar Common Criteria como una herramienta para el desarrollo seguro, presentando la norma además de como una metodología de evaluación, como una herramienta para garantizar el desarrollo de un producto teniendo en cuenta la seguridad desde el inicio, donde la obligación de definir los requisitos de seguridad implementados por el producto o el diseño de la arquitectura de seguridad son solo algunos de los pasos que permiten mitigar las vulnerabilidades en productos que siguen el standard Common Criteria.
Y por último, el domingo 12, Javier Tallón estuvo hablando de técnicas de defensa en profundidad para mitigar desbordamientos de buffer, realizando una completa exposición sobre el estado del arte en materia de compiladores para obtener un código mucho más seguro sin necesidad de modificar ni una sola línea de código, realizando un recorrido histórico por las mitigaciones propuestas a lo largo del tiempo por los investigadores en ciberseguridad, y como estas han sido vulneradas, obligando a desarrollar nuevas e ingeniosas contramedidas.
Hemos tenido tiempo de conocer nuevos e interesantes amigos con los que establecer nuevas alianzas y por supuesto, trabajar juntos para mejorar la calidad y seguridad de los sistemas de información.
#SuperSEC Postureo #cybersec con @olea y Javier Tallon @JTSecES ¡Esto hay que repetirlo! pic.twitter.com/IE0dyzlbBf
— Pedro J. Molina (@pmolinam) 13 de mayo de 2018
Os dejamos nuestras presentaciones de estos días para que las podáis disfrutar:
Spanish Catalogue of Qualified Products: A New Way of Using CC for Procurement
Common Criteria: Herramienta para el desarrollo seguro
Mitigando overflows usando defensa en profundidad. ¿Qué puede hacer tu compilador por ti?
